攻击ddos攻击器

文章编号:1001-2486(2001)05-0098-05分布式网络攻击检测系统(DIDS)!
张权,张森强,高峰(国防科技大学电子科学与工程学院,湖南长沙410073)摘要:介绍了网络攻击检测系统(IDS)的运作机理,分析了IDS的优缺点.
针对传统IDS的问题提出了分布式IDS(DIDS)的概念,比较了DIDS的设计目标与目前一些IDS产品的性能.
最后从功能模块设计、攻击特征的获取和更新、提高攻击行为的检测和反应速度、攻击行为关联性分析和更加主动的反应策略五个方面详细阐述了DIDS的具体设计思路,为进一步完善网络攻击检测系统的性能提供了可行的解决方案.
关键词:IDS!
DIDS;分布式检测分析;集中式管理维护中图分类号:TP393.
06文献标识码:ADistributedlntrusionDetectionSystem(DlDS)Z~ANGGuan,Z~ANGSen-Ciang,GAOFeng(CollegeofElectronicScienceandEngineering,NationalUniv.
ofDefenseTechnology,Changsha410073,China)Abstract:Theprincipleofintrusiondetectionsystem(DIDS)isintroduced,anditsadvantagesanddisadvantagesareana-lyZed.
~ence,WebringouttheconceptofDistributedIDS,comparingthedesigngoalWiththeperformanceofsomeIDSprod-ucts.
Intheend,thedesignationofDIDSisdiscussedindetailinregardtotheaspectsofthefunctionalitymoduledesignation,theretrieveandupdateofattackcharacteristics,theenhancingoftheattackdetectionandreactivity,thecorrelatedattackanal-ysis,andthemoreactivereactionpolicy.
Keywords:IDS!
DIDS;distributeddetectionanalysis;centraliZedmanagementandmaintenance随着互联网络的普及,信息安全问题成为各界关注的焦点问题.
各国政府,各相关行业和部门以及一些科研机构也愈来愈重视网络安全与网络防攻击技术.
计算机网络攻击检测[1,2,3](ComputerNet-WorkIntrusionDetection)是最近几年才兴起的一种网络安全增强技术,它的出现有助于网络安全专家把精力集中到那些新的真正具有较大危险性的网络攻击行为上,很大程度上改变了专家们疲于应付各种攻击行为的被动局面;同时攻击检测提供了自动检测和响应机制,使安全专家彻底摆脱了手工分析和反应的不利局面.
为此,许多专家认为攻击检测是解决网络安全问题最具价值和潜力的技术之一[2].
本文介绍了IDS的运作机理,分析了IDS的优缺点,然后针对传统IDS的问题提出了分布式IDS(DistributedIntrusionDetectionSystem,简称DIDS)的概念,比较了DIDS的设计目标与目前一些现有IDS系统的性能;最后从功能模块设计、攻击特征的获取和更新、提高攻击行为的检测和反应速度、攻击行为关联性分析和更加主动的反应策略等几个方面阐述了DIDS的具体设计问题.
1IDS原理1.
1IDS工作机制攻击检测(IntrusionDetection)是一种自动识别对于计算机和网络资源的恶意行为并采取相应的保护措施以避免系统遭到侵害或进行适当的记录,以便在遭到侵害后快速恢复系统功能的过程.
图1给出了一个通用的攻击检测模型,该模型包括事件产生器、活动记录单元、规则集和检查引擎等几部分.
其中,事件产生器是模型中提供系统活动信息的部分.
事件来源于系统审计记录、网络通信或者防火墙等应用子系统.
规则集的定义来源于专家系统,用来决定是否发生攻击事件的检查引擎.
活动记录是按照系统状态机模型建立的系统运行参数集,实时改变系统的状态参数;它根据从规则集中检查出的行国防科技大学学报第23卷第5期JOURNALOFNATIONALUNIVERSITYOFDEFENSETEC~NOLOGYVol.
23No.
52001!
收稿日期:2001-03-17基金项目:国家863基金资助项目(863-307-7-5)作者简介:张权(1974-),男,博士生.
为创建新的状态记录.
活动记录和规则集的反馈表示系统的学习机制,学习规则可以采用人工智能的方法,使系统实现自学,也可以人工干预进行微调;一般两种方法联合使用.
图1通用攻击检测模型Fig.
1Generalintrusiondetectionmodel从攻击检测的定义不难看出,其功能模型包括四个方面:观测(Observe),定位(Orient),决策(De-cide)和响应(Act),这四个方面构成了一个OODA环[2],环中的前一级输出成为了后一级的输入.
图2为简化的IDS功能模型示意图.
图2IDS功能模型!
OODA环Fig.
2IDSfunctionmodel!
OODAloop!
"#IDS的优点IDS的最大优点就是减轻了网络安全管理人员的压力.
通过集中的、标准化的信息搜集和过滤,实时或定期地生成网络和系统遭受攻击的报告.
管理员们就可以从手工分析海量系统日志中解脱出来.