硕士论文-基于tcpip协议分析的入侵检测系统研究与实现
第二章入侵检测概述
第二章入侵检测概述
入侵检测技术是近二十年来出现的一种主动保护计算机免受入侵者攻击的新型网络安全技术。它一般是离线或在线地分析系统的审计数据,当发现有入侵企图或入侵行为的时候,及时向网络管理员报告,从而使管理员采取一定的补救措施,如断开连接、防止错误数据蔓延、向入侵者发出警告等。它能够提供对内部攻击、外部攻击和误操作的实时检测,是网络安全技术极其重要的组成部分。
国内外许多学者在入侵检测技术方面进行了深入研究,做出了重要贡献。JamesAnderson首先提出了入侵检测的概念,Denning提出入侵检测系统的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御的措施提出。此后,国内外的各大学和研究机构都陆续开始了入侵检测技术的研究工作,并取得了重要成果。
2.1入侵检测定义
入侵检测(IntrusionDetection,ID)是用来检测对计算机或网络的未经授权的使用或攻击的过程。在ICSA(InternationalCentreforSecurityAnalysis)中定义为:“通过从计算机网络或计算机机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象”。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,IDS)a
入侵检测的研究最早可以追溯到詹姆斯 安德森在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础,他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。
Denning在1987年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎7
百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,70教育网,提供经典教育范文硕士论文-基于tcpip协议分析的入侵检测系统研究与实现(12)在线全文阅读。
相关推荐:
