| (1)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该方法的优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断地升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
(2)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
(3)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被木马化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别极其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。
5 企业入侵检测系统的体系结构
主机型入侵检测系统和网络型入侵检测系统都有不足之处,但由于它们的缺陷是互补的,因此,可以将这两种系统有机地结合起来部署在网络内,构建成所谓的“混和”型入侵检测系统。此系统综合了主机型和网络型两种入侵检测系统的结构特点,既可以发现网络中的攻击信息,也可从系统日志中发现异常情况。为企业设计的入侵检测系统,其体系结构如图3所示。
 图3 企业入侵检测系统的体系结构
该入侵检测系统由管理节点和检测节点组成。其中,管理节点可以是一个分离的设备,也可以利用共享系统实现,它是网络管理员与整个入侵检测系统的人机交互接口。管理节点的基本功能是:
(1)为网络管理员提供监控网络的接口;
(2)当某个检测节点报告入侵行为时产生相应的响应;
(3)对各检测节点主动或被动送来的检测数据进行汇总、分析并产生相应的响应;
(4)向各检测节点分发相应指令,以完成对入侵行动的响应或加载新的检测程序。
检测节点必须是可进行检测更新规则的节点,同是也是网络中需要重点保护的对象。这些检测节点不仅可以自主地完成对信息的收集工作,还可以协同其他检测节点或管理节点的命令进行工作。其基本功能为:
(1)当发现入侵行为时,先采取主动地回应,并向管理节点报告;
(2)当发现可疑行为时,向管理节点报告;
(3)当发现可疑行为时,向其他相关检测节点发出协同工作请求,要求安装并启动对某种特征的数据包的检测,并对返回的信息进行分析;
(4)加载管理节点或其他检测节点发来的请求,进行数据分析检测并返回检测结果。
对一个良好的企业入侵检测系统来说,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给企业网络安全策略的制订提供指南。更为重要的是,使用它易于管理、配置简单、操作简便,使企业全体员工非常容易地获得网络安全。当然,入侵检测系统的规模还应该能够根据网络威胁、系统构造和安全需求的改变而改变。
参考文献
[1] 郑关胜,李含光,基于动态网络安全模型的入侵检测系统的研究[J],计算机应用,2006,26(6):160-161、185
[2] 姜卓彦,企业级入侵检测系统的设计与实现[J],计算机与现代化,2006(5):63-65、68
[3] 宋继军,校园网中分布式入侵检测系统模型的设计[J],铁路计算机应用,2006,15(3):40-43
2/2 首页 上一页 1 2 |
