英语论文
原创论文
留学生作业
英语论文格式
免费论文
essay
英国硕士论文
英国毕业论文
英语论文
留学生论文
澳大利亚论文
新西兰论文
澳洲Report
澳洲留学生论文
美国留学论文
Dissertation
美国硕博论文
essay case
Eassy
Term paper
英语毕业论文
英文论文
课程作业
德语论文
德语专业论文
德语本科论文
德国留学论文
Assignment
日语论文
韩语论文
法语论文
俄语论文

Recherche de système de détection d'intrusion

时间:2015-10-23 来源:未知 编辑:ying 阅读:

Introduction

 

Ces dernières années, avec le développement rapide des technologies de l'information et des réseaux, ainsi que de politique, économique ou militaire d'intérêt, l'infrastructure informatique et de réseau, en particulier des sites à divers organismes officiels, l'objectif de devenir une attaque de Pirate sexy.Au cours de ces dernières années sur le commerce électronique demande ardemment, d'intensifier cette croissance des événements d'intrusion de tendance.En raison de pare - feu ne externe de protection anti -, et facilement contournée, donc compter uniquement sur le système informatique de pare - feu ne peut pas contre l'intrusion de plus en plus nombreuses, contre l'intrusion de la deuxième ligne de défense, un système de détection d'intrusion est activé.

 

Un système de détection d'intrusion (IDS) Concept

 

En 1980, le premier système de James P.Anderson introduit le concept de détection d'intrusion et de comportement d'intrusion est divisé en dehors de la pénétration, de pénétrer à l'intérieur de l'acte illicite et trois, a également proposé de [l'idée de l'audit des données de surveillance de l'invasion de l'activité 1.C'est - à - dire sa après 1986 Dorothy E.Denning proposé [le concept de détection d'anomalie en temps réel et en temps réel de 2 pour établir le premier modèle de détection d'intrusion, appelé système expert de détection d'intrusion (ides), 1990, L.T.Heberlein et la conception d'un système de détection d'intrusion dans le réseau de surveillance de flux de données, NSM (Network Security Monitor).Depuis lors, le système de détection d'intrusion vraiment développé.

 

Anderson sera l'invasion de tenter de définir ou de menace pour l'abrégé: potentiel et prémédité, sans accéder aux informations, des informations d'autorisation de fonctionnement, de sorte que la tentative de système non fiables ou inutilisables.[la définition et la détection d'intrusion 4 Résumé: la découverte de l'utilisation autorisée de l'ordinateur individuel non (tels que la "Pirates") de l'individu ou un système informatique de l'utilisateur légitime d'abuser de ses droits d'accès au système ainsi que la tentative de commettre ces actes.Programme d'exécution de la Mission de détection d'intrusion est un système de détection d'intrusion.Système de détection d'intrusion peut également être définie comme l'abrégé: l'intégrité de détection de tentative de sabotage de la ressource informatique, le logiciel d'authenticité et de comportement de disponibilité.

 

Système de détection d'intrusion de la mise en œuvre de la tâche principale consiste à [3 Résumé: la surveillance, l'analyse de l'activité de l'utilisateur et système de construction et système d'audit; faiblesse; la reconnaissance de formes et de réflexion des activités connues de l'attaque, à des personnes de l'alarme, l'Analyse statistique de comportement anormal de la mode; l'évaluation de l'intégrité des systèmes importants et des fichiers de données, système de gestion de fonctionnement; audit de suivi, de reconnaissance l'utilisateur de violation de stratégie de paix.Détection d'intrusion est généralement divisé en trois étapes: la collecte d'informations, et l'analyse de données de réponse.

 

L'objectif de détection d'intrusion: (1) Identification de l'intrus; (2) L'identification d'un comportement d'intrusion; (3) la détection d'intrusion et de surveillance afin de mettre en œuvre (4); fournir des informations contre l'intrusion, pour empêcher l'invasion de l'élargissement et de l'évolution de La situation;

 

2 Modèle de système de détection d'intrusion

 

Stanford international d'enquête (SRI) D.E.Denning en 1986, pour la première fois, de proposer un modèle de détection d'intrusion [2, un modèle de description de procédés de détection de ce modèle est de construire un comportement normal de l'utilisateur, et pour enregistrement de vérification des activités actuelles de l'utilisateur sont comparées, s'il y a une grande différence, qu'une activité anormale.C'est un procédé de détection, sur la base des statistiques.Avec le développement de la technologie et, plus tard, on propose un procédé de détection sur la base de règles.Les avantages de ces deux procédés, on conçoit beaucoup pour la détection d'intrusion.Cadre de détection d'intrusion (Common sert de Detection Framework dénommé cidf) de l'Organisation pour les systèmes de détection d'intrusion de normalisation, cidf élabore un modèle universel d'un système de détection d'intrusion (généralement appelé cidf modèle).C'est un système de détection d'intrusion est divisée en quatre les composants suivants:

 

Générateur d'événement (événement Generators)

 

Analyseur d'événement (événement Analyzers)

 

Une unité de réponse (Response Units)

 

La base de données d'événements (événement Databases)

 

Il aura besoin de données connu sous le nom de l'événement, l'événement peut être basée sur des réseaux de paquets de données peut être également les informations dans le journal système hôte sur la base.L'objectif est d'obtenir l'événement générateur d'événement à partir de l'ordinateur de l'environnement, et à fournir cet événement à d'autres parties du système.Analyseur d'événement obtenues par analyse des événements et produire le résultat de l'analyse.Une unité de réponse est une unité fonctionnelle sur les résultats de l'analyse de réponse, et il peut être fait de couper la connexion, de modifier et d'attributs de fichiers de vives réactions.La base de données d'événements est connu sous le nom de place de stockage intermédiaire et final de données diverses, ça peut être compliqué de la base de données peut également être un fichier texte simple.

La classification des 3: système de détection d'intrusion

 

Les identifiants de classification, la plupart des sources d'informations et procédé d'analyse sur la base.Afin de refléter les identifiants de la disposition, de collecte, de l'analyse et de la réponse de chaque niveau et système de recherche de nouvelles questions concernant la norme, l'adoption de cinq types ici: la stratégie de commande, la synchronisation, la source d'informations, procédé d'analyse et de réponse.

 

Conformément à la stratégie de commande de classification

 

La stratégie de commande décrit les éléments ID est comment de commande d'entrée et de sortie, ainsi que la gestion des identifiants comment.Conformément à la stratégie de commande ID peut être divisée en une partie d'id, centralisé, id distribué et tous les identifiants distribué.Dans tous les identifiants de surveillance centralisée, dans un noeud central, système de commande, de détection et de rapport.Dans la Section de surveillance de détection ID distribué, et par un point de contrôle de commande de niveau local, comme le rapport envoyé à un ou plusieurs centres de station.Dans l'ensemble des identifiants, de surveillance et de détection utilisant un procédé appelé "l'Agence", l'Agence pour l'analyse et la réponse de la prise de décision.

 

Selon la technique de synchronisation de classification

 

Technique de synchronisation est un événement surveillé et l'analyse de ces événements en même temps.Selon la technique de synchronisation de division Division de l'intervalle de lot, id pour des tâches de traitement en temps réel d'ID et la continuité des identifiants.Dans l'intervalle, le lot de tâches de traitement de type ID, la source d'informations est sous forme de fichier transmis à l'analyseur, une fois que les informations de traitement dans la période de temps spécifique de la production, et au moment de l'invasion des résultats de retour à l'utilisateur.Beaucoup de premiers identifiants de tout hôte sur la base de l'adoption de cette proposition.En continu en temps réel d'id, un événement se produit, la source d'informations est transmis à un moteur d'analyse, et immédiatement traitées et réfléchie.Des identifiants de réseau en temps réel est préféré sur la base des identifiants de programme.

 

Suivant la classification de la source d'informations

 

Classification selon les informations de source est le procédé de division actuellement le plus universel, et il est divisé en un hôte sur la base d'id, IDS ID et un réseau distribué sur la base.Pour la piste du système d'audit et de journal de système d'un système informatique hôte basée sur des identifiants de détection unique par analyse de l'attaque.L'hôte sur la base d'id est dans la clé ou d'échange de parties de segment de réseau par capture et analyse le paquet de données de réseau de détection d'attaques.ID distribué, peut simultanément à partir de données de journal d'analyse et système de réseau de l'hôte du système de flux, constitués de plusieurs composants, utilisant une architecture répartie.

 

Selon le procédé d'analyse de classification

 

Conformément à l'analyse de procédé de division des identifiants pour abus des identifications de type ID et la détection d'anomalies.Des identifiants de type détection de l'abus, tout d'abord, l'établissement d'un passé de l'invasion de la base de données, le procédé et le système de connaissances de défauts, lorsque des informations de la base de données prototype et collectées lors de la phase avec la police.Tout va à des activités spécifiques qui ne remplit pas les conditions considérées comme légitimes, et, par conséquent, de système de police de tels taux virtuel est très faible.Détection d'anomalies de type ID est établi sur la base de l'hypothèse, c'est - à - dire tout un comportement d'intrusion peut en raison de son écart normal ou souhaitée et l'activité de l'utilisateur et le système de règles est détectée.Il a besoin d'une base de données d'enregistrement des activités légitimes, compte tenu de la disponibilité limitée de bibliothèque de sorte que le taux de fausse alarme relativement élevée.

 

Selon le mode de réponse de classification

 

Selon la Division des identifiants de réponse pour réponse active et passive des identifiants d'id de réponse.Quand l'invasion spécifique est détecté, l'initiative IDS utilise trois types de collecte des informations auxiliaires en réponse à l'abrégé:; le changement de l'environnement afin de bloquer le conduit à l'invasion de vulnérabilité; de prendre des mesures contre l'agresseur (c'est une pratique, n'est pas recommandée car le comportement un peu extrême).En réponse à des identifiants de passif est de fournir des informations à un système utilisateur, dépendent de l'Administrateur de prendre des mesures supplémentaires sur la base de ces informations.

 

Des identifiants de critères d'évaluation 4

 

Le développement de la technologie de détection d'intrusion actuellement rapidement, l'application de la technologie est très large, pour évaluer les avantages et les inconvénients de la manière ID est très important.évaluation de la qualité des identifiants il y a plusieurs façons de faire ça [5 Abstract: (1) de précision.La précision est un acte juridique ne marque id de l'environnement comme anormal ou l'invasion.(2) la performance.Des identifiants de performance désigne la vitesse de traitement d'événement d'audit.Pour un temps réel IDs, nous devons exiger de bonnes performances.(3) l'intégrité.On entend par intégrité IDS capable de détecter toutes les attaques.(4) à tolérance de panne (faute de Tolerance).Lorsque le système de protection a été attaqué et détruit, de rétablir rapidement les données d'origine et la fonctionnalité du système.(5) la capacité d'attaque de leur résister.C'est un point très important, en particulier des attaques de déni de service ".Parce que les attaques contre des objectifs est d'abord utilisé par la plupart des systèmes d'attaque de déni de service "détruire ID, et ensuite la mise en œuvre de l'attaque sur le système.(6) La rapidité (Timeliness).Un IDS doit être rapidement mise en œuvre et de transmettre le résultat de l'analyse, de manière à système de provoquer de sérieux dommages avant de pouvoir réagir en temps opportun d'arrêter l'agresseur de destruction des données de vérification ou d'elle - même.

Outre les aspects principaux de ces quelques, devrait également tenir compte des aspects suivants: (1) les identifiants pendant le fonctionnement, le surdébit de ressources informatiques supplémentaires; (2) degré de taux de fausse alarme / alerte le taux de fuite; 3) l'adaptabilité et l'extension de la flexibilité; (4), (5) Gestion de surcharge (6); si facile à utiliser et de configuration.

 

Le développement de Chimiokine 5 id

 

Avec le développement de la technologie de détection d'intrusion, le produit moulé a été appliquée dans la pratique.Système de détection d'intrusion est un représentant typique de l'ISS (Internet, des systèmes de sécurité, RealSecure.Le plus célèbre des produits de détection d'intrusion et l'abrégé: Monitor CyberCop Nai, NetProwler Axent Ltd, Netranger Cisco, etc. Sessionwall-3 ca de la société.Moins de cette classe de produits nationaux, mais le développement est très rapide, dans le nord de l'état - major a aok,,, tels que les étoiles Qiming de lancer des produits.

 

Les gens sur la base de la perfection de l'état antérieur de la technique, et dans les procédés de détection de nouvelles, telles que la technique de fusion de données, méthode autonome de l'initiative, de la technologie et de l'application du principe de l'intelligence de l'immunologie et ainsi de suite.La direction principale de développement peut généraliser l'abrégé:

 

(1) la détection d'intrusion distribué à grande échelle.La technique classique de détection d'intrusion est généralement limitée à un cadre ou un réseau hôte unique, ne peut évidemment pas de s'adapter à de grands réseaux de surveillance, entre un système de détection d'intrusion différentes n'est pas un travail de collaboration.Par conséquent, le développement doit être distribué à grande échelle de la technologie de détection d'intrusion.

 

(2) en temps réel de la technique de détection d'intrusion de réseau à large bande à grande vitesse.Un grand nombre de réseaux à grande vitesse émergent, divers moyens d'accès large bande sans fin, pour la mise en œuvre de la détection en temps réel du réseau à grande vitesse est devenue un nouveau problème de la réalité.

 

(3) la technique de fusion de données de détection d'intrusion.Actuellement, il existe de nombreux défauts des identifiants.Tout d'abord, la technologie actuelle ne peut pas gérer un exercice complexe d'attaque de pirates.Deuxièmement, le taux de fausse alarme du système est trop élevé.Enfin, le système de traitement de données pour un grand nombre, non seulement de ne pas aider à résoudre des problèmes nouveaux, mais également de réduire la capacité de traitement.Technique de fusion de données est une bonne manière de résoudre une série de problèmes nouveaux.

 

(4) et la combinaison de la technologie de sécurité de réseau.Combinaison de pare - feu, de protection contre les virus et les techniques du commerce électronique, de fournir la garantie de sécurité de réseau.

 

6 le mot de la fin

 

Dans le cadre de la sécurité informatique, sur la base de l'état actuel de la sécurité de protection pare - feu, des techniques de chiffrement est certes important, mais la situation actuelle de la paix doit fondamentalement améliorer le système, il est nécessaire de développer la technologie de détection d'intrusion, c'est devenu l'un des noyaux Dans la stratégie de sécurité informatique.IDS comme une technologie de protection active de la paix, concerne les attaques internes, de protection en temps réel et une erreur de fonctionnement externe.Avec la technologie de réseau de communication de plus en plus des exigences techniques de détection d'intrusion, sera certainement une attention.

 

Les documents de référence:

 

[1 Anderson J P. computer security threat Monitoring and surveillance [p. Pa 19034, États - Unis, 1980.4

 

[2Denning d e. An Intrusion-Detection Model [A. IEEE Symp on Security% 26amp; privacy [C, 1986.118-131

 

[3 Zhang Jie, 戴英侠, système de détection d'intrusion de l'état actuel de la technique et la tendance [J, celui de l'informatique et de la communication: 28 - 32

 

[4 a Zhaosu, 王锋波, technologie d'exploration de données, système de détection d'intrusion [J, sur la base de l'automatisation de Panorama, 2002, 8 l'abrégé: 29 - 31

 

[5 唐洪英, 付国瑜, J Principes et méthodes de détection d'intrusion 2002.4 [, à l'université polytechnique, Chongqing: 71

分享到:
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
最新评论
最近热门法语论文
推荐法语论文
随机推荐法语论文