《基于网络的入侵检测系统.doc》由会员分享,可在线阅读,更多相关《基于网络的入侵检测系统.doc(5页珍藏版)》请在三一办公上搜索。
1、系统检测 摘要:IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网
2、络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。关键词:安全 故障分析前言基于网络的入侵检测系统用原始的网络包作为数据源,它将网络数据中检测主机的网卡设为混杂模式,该主机实时接收和分析网络中流动的数据包,从而检测是否存在入侵行为,基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时检测并分析通过网络的所有通信业务他的攻击辨识模块通常使用四种常用技术来标识攻击标志:模式、表达式或自己匹配;频
3、率或穿越阀值;低级时间的相关性;统计学意义上的非常规现象检测,一旦检测到了攻击行为,IDS响应模块就提供多种选项以通知,报警并对攻击采取响应的反应,尤其适应于大规模网络的NIDS可扩展体系结构,知识处理过程和海量数据处理技术等。一、系统组成系统组成主要是指Editman便携数字采编系统产品由那几部分组成。根据不同的客户需要,Editman的产品配置也不同,一般来说Editman便携数字采编系统是由SONY小型DVCAM摄录一体机、带有IEEE1394接口的SONY笔记本和相应的非线性编辑软件三部分组成。二、系统缺陷1998年2月,Secure Networks Inc.指出IDS有许多弱点,主
4、要为:IDS对数据的检测;对IDS自身攻击的防护。由于当代网络发展迅速,网络传输速率大大加快,这造成了IDS工作的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。三、通信协议IDS系统内部各组件之间需要通信,不同厂商的IDS系统之间也需要通信。因此,有必要定义统一的协议。IETF目前有一个专门的小组Intrusion Detection Working Group(IDWG)负责定义这种通信格式,称作Intrusion Detection Exchange Format
5、(IDEF),但还没有统一的标准。设计通信协议时应考虑以下问题:系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输(同时防止主动和被动攻击);通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外措施保证系统正常工作。四、检测技术4.1辨识真故障与假故障平时常见的计算机故障现象中,有很多并非真正的硬件故障,而是由于软件故障或者不熟悉某些设置、系统特性而造成的假故障现象。认识下面的微机假故障现象有利于快速确认故障原因,避免不必要的故障检索工作。(1)、检查电源线、插座、开关和各外设连接线。各种线、插座开关等
6、脱落、接触不良均会导致设备工作异常,遇到独立供电的外设故障时,首先应检查设备电源是否正常,插头/插座是否接触良好。检查微机各部件间数据、控制连线是否连接正确和可靠,是否有松动现象。(2)、检查系统新特性和设置方面的问题。很多“故障”现象其实是硬件设备或操作系统的新特性造成的,也有设置方面原因的造成的。例如:显示器设置、硬盘跳线、多了解主机、外设、应用软件的新特性,有助于增加排除假故障发生了故障,首先应先判断自身操作是否有疏忽之处,而不要盲目断言某设备出了问题。(3)、辨识软件故障和硬件故障。计算机故障中因病毒、软件损坏、冲突等原因导致的软件故障占有较高的比例,可通过判断计算机硬件启动过程是否正
7、常,或重新安装系统软件等方法辨识是软件故障还是硬件故障。4.2常见硬件故障检测维修方法(1)、直接观察法:观察是维修过程中第一要法,它贯穿于整个维修过程中,观察时运用“望、闻、听、切”四种方法。“望”即观察系统板卡、芯片表面是否有烧焦、变色、开裂痕迹,还要看有无异物掉进主板的元器件之间(造成短路)。“闻”即辨闻主机、板卡中是否有烧焦的气味,便于发现故障和确定短路所在地。“听”启动时内置喇叭、电源风扇、软/硬盘电机或寻道机构、显示器变压器等设备的工作声音是否正常。“切”即用手按压各接口和活动芯片,看是否松动或接触不良,另外在系统运行时可用手轻触CPU、显示器、硬盘等设备的外壳,根据其温度判断设备
8、运行是否正常。观察要认真全面,兼顾设备运行环境和用户操作习惯,有助于对故障准确定位。(2)、拔插添加/去除法:计算机运行的最小系统由电源、主板、CPU、内存组成,这个最小系统主要用来判断系统是否可完成正常的启动与运行。以最小系统为基础,每次只向系统添加一个部件/设备,来检查故障现象是否消失或发生变化,以此来判断并定位故障部位。另外采用拔插添加/去除法也可确定故障在主板或I/O设备上,关机将部件逐块拔出,每拔出一块板就开机观察机器运行状态,一旦拔出某块后主板运行正常,那么故障原因就是该部件故障或相应I/O总线插槽及负载电路故障。若拔出所有插件板后系统启动仍不正常,则故障很可能就在主板上。(3)、
9、替换法:本法是将有相同功能的部件或同型号外设相互交换,根据故障现象的变化情况判断故障所在,此法多用于易拔插的维修部位,使用交换法可以快速判定是否是部件本身的质量问题。如果没有相同型号的计算机机部件或外设,但有相同类型的主机,则可把部件或外设插接到该同型号的主机上判断其是否正常。(4)、比较法:运行两台或多台相同或相类似的计算机,根据正常机与故障机在执行相同操作时的不同表现可以初步判断故障产生的部位。(5)、敲打法:敲打法一般用在怀疑电脑中的某部件有接触不良、虚焊的故障时,通过手指轻轻敲击机箱外壳、振动、适当的扭曲,甚或用橡胶锤敲打部件或设备的特定部件来使故障复现,从而判断故障点。(6)、升降温
10、法:根据故障促发原理,人为改变计算机机运行环境的温度,可以检验各部件(尤其是CPU)的耐高温情况,因而及早发现事故隐患。在降低微机运行环境温度时,如果微机的故障出现率大为减少,说明故障出在高温或不能耐高温的部件中,可以帮助缩小故障诊断范围。升降温的方法有:室内空调升降温法、关机冷却法、电风扇加速降温法、电吹风升温法、长时间开机升温法等。(7)、程序测试法:随着大规模集成电路的广泛应用,焊接工艺越来越复杂,同时随机硬件技术资料较缺乏,靠硬件维修手段如果找不出故障所在,则根据随机诊断程序专用维修诊断卡及各种技术参数(如接口地址),使用专用诊断程序来辅助硬件维修则可达到事半功倍之效。程序测试法的原理
11、就是用软件发送数据、命令,通过读线路状态及某个芯片(如寄存器)状态来识别故障部位。此法往往是用于检查各种接口电路故障及具有地址参数的各种电路。(8)、清洁法:对于机房使用环境较差,或使用较长时间的机器,应进行清洁,一是用毛刷(或吸尘器)轻轻拭去主板、外设上的灰尘,二是注意插头、座、槽、板卡金手指部分的清洁(可用酒精棉擦拭),同时注意计算机运行环境的保洁工作,使计算机工作在良好环境中。 结束语在目前的计算机安全状态下,基于防火墙、加密技术的安全防护固然重要,但是,要根本改善系统的安全现状,必须要发展入侵检测技术,它已经成为计算机安全策略中的核心技术之一。IDS作为一种主动的安全防护技术,提供了对
12、内部攻击、外部攻击和误操作的实时保护。随着网络通信技术安全性的要求越来越高,入侵检测技术必将受到人们的高度重视。致 谢 词我能够比较顺利的完成网络安全漏洞防范措施这一论文,得益于很多老师和同学的关心和帮助!首先我要感谢我的指导老师陈老师,还有我们的系领导支持。是您们给我创造了实战的机会;在整个论文书写的过程中,陈老师一直给我悉心的指导和帮助。使我受益非浅。也要感谢对我完成本次论文提出宝贵意见的其他同学!参考文献1. 叶颖; 严毅,基于通用入侵规范下网络入侵检测系统的实现D 20122朱杰,黄烟波,翁艳彬,如何保护入侵检测系统的安全J, 微机发展 20113黄惠烽,网络入侵检测系统在高校图书馆中的应用J吉林省教育学院学报(上旬), 20134徐小梅,基于马尔可夫链模型的异常入侵检测方法研究D 20105刘从军, 马骏,入侵检测系统研究与探讨D 20106入侵检测系统综述, 数字制造网
