本文介绍了分布式入侵检测系统(DIDS)如何结合主机和网络入侵检测,以及入侵检测系统的主要作用,包括监控用户活动、审计系统配置、识别攻击模式等。强调了研究入侵检测的必要性,因为在网络安全需求日益增长的情况下,完全安全的系统难以实现,入侵检测系统成为重要的辅助安全手段。
–
–
1
第
1
章
入侵检测概述
思考题:
(
1
)
分布式入侵检测系统
(
DIDS
)
是如何把基于主机的入侵检测方法和基于网络的入
侵检测方法集成在一起的?
答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝
试,
以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS
的最初
概念是采用集中式控制技术,向
DIDS
中心控制器发报告。
DIDS
解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪
网络用户和文件。
DIDS
允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户
身份的相关信息来处理这个问题。
DIDS
是第一个具有这个能力的入侵检测系统。
DIDS
解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数
据或事件。
这类信息要求要理解它们对整个网络的影响,
DIDS
用一个
6
层入侵检测模型
提取数据相关性,每层代表了对数据的一次变换结果。
(
2
)
入侵检测作用体现在哪些方面?
答:一般来说,入侵检测系统的作用体现在以下几个方面:
监控、分析用户和系统的活动;
审计系统的配置和弱点;
评估关键系统和数据文件的完整性;
识别攻击的活动模式;
对异常活动进行统计分析;
对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(
3
)
为什么说研究入侵检测非常必要?
答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连
网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为
了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问
控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对
付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用
户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而
从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略
建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式
基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。
如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
