freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)論文(存儲(chǔ)版)

2024-10-07 23:43上一頁面

下一頁面
  

【正文】 n/./phf AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 比較不成功,移動(dòng)一個(gè)字節(jié)重新比較 /cgibin/./phf AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 還是不成功,再移動(dòng)一次 : GET /cgibin/./phf AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 重復(fù)比較,沒有一次匹配成功??墒蔷W(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流,如果將協(xié)議分析和模式匹配方法結(jié)合起來,可以獲得更好的效率、更精確的結(jié)果。因此系統(tǒng)跳過的 15到 24字節(jié)直接讀取第四層協(xié)議標(biāo)識(shí): 06,這個(gè)數(shù)據(jù)包是TCP協(xié)議。由于效率的需要,有時(shí)要根據(jù)設(shè)置過濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包,如特定 IP,特定 MAC地址、特 定協(xié)議的數(shù)據(jù)包。數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動(dòng)程序支持BPF 過濾機(jī)制,可以靈活地設(shè)置過濾規(guī)則。 樹的結(jié)點(diǎn)數(shù)據(jù)結(jié)構(gòu)中應(yīng)包含以下信息:該協(xié)議的特征、協(xié)議名稱、協(xié)議代號(hào),下級(jí)協(xié)議代號(hào),協(xié)議對(duì)應(yīng)的數(shù)據(jù)分析函數(shù)鏈表。一個(gè)數(shù)據(jù)分析函數(shù)一般可以檢查一種協(xié)議的一類型入侵,這樣可以方便的進(jìn)行配置。使用了快速的模式匹配算法,所有的攻擊方法被表示為模式信號(hào)存放在入侵特征數(shù)據(jù)庫(kù)中,當(dāng)前的數(shù)據(jù)如果和數(shù)據(jù)庫(kù)中某種特征匹配,就指出這是這種入侵行為。 引擎管理: 代理管理部分負(fù)責(zé)網(wǎng)絡(luò)引擎中各部分的協(xié)調(diào)和配置。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù),這些證據(jù)可以指出有人正在入侵或己成功入侵了系統(tǒng)。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來實(shí)現(xiàn)。 主機(jī)代理分為日志分 析、文件檢測(cè)、主機(jī)網(wǎng)絡(luò)接口檢測(cè)、用戶行為監(jiān)測(cè)及管理模塊和安全通信。如果 WEB 服務(wù)的主頁文件被更改,幾乎可以肯定發(fā)生了攻擊。 主機(jī)網(wǎng)絡(luò)接。 文件監(jiān)測(cè): 文件監(jiān)測(cè)中的文件完整性檢測(cè)也屬于傳統(tǒng)項(xiàng)目,在 UNIX平臺(tái)上早有廣泛的應(yīng)用。 代理結(jié)構(gòu) 從以上可以看出,主機(jī)代理的數(shù)據(jù)來源比網(wǎng)絡(luò)引擎復(fù)雜得多,由于數(shù)據(jù)源的不同,分析方法也各不一樣。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件,同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡,都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。 數(shù)據(jù)來源 主機(jī)代理的數(shù)據(jù)來源不像網(wǎng)絡(luò)引擎的數(shù)據(jù)來源那樣單一,它可以在系統(tǒng)所能夠訪問的有必要的所有地方獲得數(shù)據(jù)來分析。動(dòng)態(tài)添加數(shù)據(jù)分析功能是通過添加新的動(dòng)態(tài)連接庫(kù)中的數(shù)據(jù)分析函數(shù)來實(shí)現(xiàn)的。這些靈活的觸發(fā)方式提供了良好的可配置性,也提供了一個(gè)開放的分布的平臺(tái)使各種分析技術(shù)在一個(gè)系統(tǒng)中工作。該鏈表的每一結(jié)點(diǎn)包含可配置的數(shù)據(jù),如是否啟動(dòng)該檢測(cè)函數(shù) 等。在程序中動(dòng)態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。 Wincap 有三部分組成:一個(gè)數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動(dòng)程序,一個(gè)低級(jí)的動(dòng)態(tài)連接庫(kù)和一個(gè)高級(jí)的靜態(tài)連接庫(kù)。 網(wǎng)絡(luò)引擎設(shè)計(jì) 網(wǎng)絡(luò)引擎一般可分為以下幾部分:數(shù)據(jù)包截獲、協(xié)議分析、數(shù)據(jù)分析、引擎管理和安全通信。根據(jù)協(xié)議規(guī)范可以判斷這個(gè)網(wǎng)絡(luò)數(shù)據(jù)包是 IP包。他對(duì)該網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)部結(jié)構(gòu)完全不了解。 7〕 直到每一個(gè)攻擊特征匹配完畢,對(duì)給數(shù)據(jù)包的匹配完畢。他不單單是一個(gè)數(shù)據(jù)產(chǎn)生和傳輸?shù)墓ぞ?,也具有一定的分析能力? 2.把入侵檢測(cè)系統(tǒng)放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口、出口。還必須對(duì)檢測(cè)器進(jìn)行測(cè)試以保證它能從交換位置可靠地發(fā)送數(shù)據(jù)。 如果你們機(jī)構(gòu)使用的是昂貴的入侵檢測(cè)系統(tǒng)解決方案,那么就不值得用這 種檢測(cè)器放置方法,如果你使用內(nèi)外雙重檢測(cè)器,那就用防火墻內(nèi)部的監(jiān)測(cè)器做為緊急報(bào)警的裝置。也許將檢測(cè)器放在防火墻內(nèi)部的最大理由就是設(shè)置良好的防火墻能夠阻止大部分的“幼稚腳本”的攻擊,使檢測(cè)器不用將大部分的注意力 分散在這類攻擊上。 1. 放在防火墻之外 入侵檢測(cè)器通常放置在防火墻外的 DMZ 中 ( Demilitarized Zone, 非軍事區(qū) )。 控制臺(tái)是整個(gè)入侵檢測(cè)系統(tǒng)和用戶交互的界面。分析系統(tǒng)注重于高層次的分析方法,如基于統(tǒng)計(jì)的分析方法、基于神經(jīng)網(wǎng)絡(luò)的分析方法等。網(wǎng)絡(luò)引擎截獲網(wǎng)絡(luò)中的原始數(shù)據(jù)包,并從其中尋找可能的入侵信息或其他敏感信息。即:對(duì)于攻擊事件的錯(cuò)報(bào)與漏報(bào)能夠控制在一定范圍內(nèi)。一個(gè)已經(jīng)建立的入侵檢測(cè)系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時(shí),可以通過某種機(jī)制在無需對(duì)入侵檢測(cè)系統(tǒng)本身進(jìn)行改動(dòng)的情況下,使系統(tǒng)能夠檢測(cè)到新的攻擊行為。 不能和其他網(wǎng)絡(luò)安全產(chǎn)品互操作:入侵檢測(cè)不是安全的終極武器,一個(gè)安全的網(wǎng)絡(luò)中應(yīng)該根據(jù)安全政策使用多種安全產(chǎn)品。現(xiàn)在很多網(wǎng)絡(luò)都是 50M、 100M 甚至千兆網(wǎng)絡(luò),網(wǎng)絡(luò)速度的發(fā)展遠(yuǎn)遠(yuǎn)超過了數(shù)據(jù)包模式分析技術(shù)發(fā)展的速度。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復(fù)雜的數(shù)據(jù)庫(kù),也可以是簡(jiǎn)單的文本文件?;诋惓0l(fā)現(xiàn)的檢測(cè)技術(shù)則無法準(zhǔn)確判別出攻擊的手法,但它可以(至少在理論上可以)發(fā)現(xiàn)更廣泛的、甚至未知的攻擊分法。 4. 基于模型推理的攻擊檢測(cè)技術(shù) 攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序,如猜測(cè)口令的程序,這種 行為程序構(gòu)成了某種具有一定行為特征的模型,根據(jù)這種模型所代表的攻擊意圖的行為特征,可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖,盡管攻擊者并不一定都是惡意的。 SRI 的研究小組利用和發(fā)展神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行攻擊檢測(cè)。 對(duì)攻擊的實(shí)時(shí)檢測(cè)系統(tǒng)的工作原理是基于對(duì)用戶歷史行為的建模,以及在早期的證據(jù)或模型的基礎(chǔ)之上。 對(duì)各種事件進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。許多基于 IP 的拒絕服務(wù)攻擊和碎片攻擊,只能通過查看它們通過網(wǎng)絡(luò)傳輸時(shí)的包首標(biāo)才能識(shí)別。許多黑客都熟知審記記錄,他們知道如何操縱這些文件掩蓋他們的作案痕跡,如何阻止需要這些信息的基于主機(jī)的系統(tǒng)去檢測(cè)入侵 。因此可分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 8 以做得比較安全。它的攻擊辯識(shí)模塊通常使用四種常用技術(shù)來識(shí)別攻擊 標(biāo)志: ? 模式、表達(dá)式或字節(jié)匹配 ? 頻率或穿越閥值 ? 次要事件的相關(guān)性 ? 統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測(cè) 一旦檢測(cè)到了攻擊行為, IDS 的響應(yīng)模塊就提供多種選項(xiàng)以通知、報(bào)警并對(duì)攻擊采取相應(yīng)的反應(yīng)。業(yè)務(wù)鏡像和交換機(jī)上的管理端口對(duì)此有幫助,但這些技術(shù)有時(shí)并不適用。 ? 較少的主機(jī) 基于主機(jī)的方法有時(shí)不需要增加專門的硬件平臺(tái)。操作系統(tǒng)記錄了任何有關(guān)用戶帳號(hào)的添加、刪除、更改的情況。這些優(yōu)點(diǎn)包括 : ? 性能價(jià)格比高 在主機(jī)數(shù)量較少的情況下,這種方法的性能價(jià)格比可能更高。當(dāng)有文件發(fā)生變化時(shí), IDS將新的記錄條目與攻擊標(biāo)記相比較,看它們是否匹配。 由于入侵檢測(cè)和響應(yīng)密切相關(guān),而且現(xiàn)在沒有獨(dú)立的響應(yīng)系統(tǒng),所以決大多數(shù)的入侵檢測(cè)系統(tǒng)都具有響應(yīng)功能。 防火墻只實(shí)現(xiàn)了粗粒度的訪問控制,且不能與企業(yè)內(nèi)部使用的其它安全機(jī)制(如訪問控制)集成使用,這樣,企業(yè)就必須為內(nèi)部的身份驗(yàn)證和訪問控制管理維護(hù)單獨(dú)的數(shù)據(jù)庫(kù)。 .防火墻難于管理和配置,易造成安全漏洞 。 當(dāng) 發(fā)現(xiàn)問題之后就需要迅速做出響應(yīng),比如,立即修補(bǔ) 大 壩的漏洞并進(jìn)行加固;如果到達(dá)警戒水位,大壩就需要有人 24 小時(shí)監(jiān)守,還可能需要泄洪。 TCSEC 難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境 在 信息安全的發(fā)展史上有一個(gè)里程碑,這就是 1985 年美國(guó)國(guó)防部( DoD)國(guó)家計(jì) 算 機(jī)安全中心( NCSC)發(fā)布的可信計(jì)算機(jī)安全評(píng)估準(zhǔn)則( TCSEC) [1]。 針 對(duì)網(wǎng)絡(luò)吞吐量、主機(jī)的運(yùn)算速度、數(shù)據(jù)庫(kù)的 TPC 指標(biāo)等 這 類性能問題,用戶可以根據(jù)自己的業(yè)務(wù)要求、資金條件等方面考慮取舍。 目前入侵檢測(cè)品主要廠商有 ISS 公司( RealSecure)、 Axent 公司( ITA、ESM), 以 及 NAI( CyberCop Monitor)。檢測(cè)已經(jīng)是系統(tǒng)安全模型中非常重要的一部分。本人完全意識(shí)到本聲明的法律后果由本人承擔(dān)。 關(guān)鍵字 入侵檢測(cè);模式匹配 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) Abstract With more and more site intruded by hackers, security expert found than only use crypt technology to build a security system is not enough. The Intrusion Detection is a new security technology, apart from tradition security protect technology, such as firewall and data crypt. IDSs watch the puter and work traffic for intrusive and suspicious activities. they not only detect the intrusion from the Extra hacker, but also the intra users. We design a ponentbased Intrusion Detection System, which has good distribute and scalable ability. It bine the workbased IDS and hostbased IDS into a system, and provide detection, report and respone together. In the implement of the work engine, the bination of work protocol analyze and pattern match technology is used, and reduce scope to search. We also improved pattern match algorithm, the work engine can search intrusion signal more quickly. We use work interface detection in host agent, which will enable the IDS work on switch work fine. Keyword IDS。分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 分布式入侵監(jiān)測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 摘 要 隨著黑客入侵事件的日益猖獗,人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的。在主機(jī)代理中的網(wǎng)絡(luò)接口檢測(cè)功能,有效地解決了未來交換式網(wǎng)絡(luò)中入侵檢測(cè)系統(tǒng)無法檢測(cè)的致命弱點(diǎn)。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體,均已在文中以明確方式標(biāo)明。 PDR2 表示 Protection、 Detection、 Recovery 和 Response,即保護(hù)、檢測(cè)、恢復(fù)和響應(yīng)。我們的目標(biāo)是設(shè)計(jì)一個(gè)分布式的入侵檢測(cè)系統(tǒng),它具有可擴(kuò)展性、跨平臺(tái)性、安全性和開放性,并實(shí)現(xiàn)了其中的網(wǎng)絡(luò)引擎部分。 信 息安全是一種很難量化的概念,我們可以把信息系統(tǒng)的 “性能 ”與“安全 ”做一 個(gè) 簡(jiǎn)單的對(duì)比。實(shí)際上,安全就是防范潛在的危機(jī)。這樣的檢測(cè)機(jī)制對(duì)保證大壩的安全至關(guān)重要。而據(jù)權(quán)威部門統(tǒng)計(jì)結(jié)果表明,網(wǎng)絡(luò)上的安全攻擊事件有 70%以上來自內(nèi)部攻擊。 .防火墻 只實(shí)現(xiàn)了粗粒度的訪問控制 。 入侵檢測(cè)系統(tǒng) 入 侵檢測(cè)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置 和 漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系 統(tǒng) 相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī) 的行為、使用誘騙服務(wù)器記錄黑客行為等功能, 使 系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。通常,基于主機(jī)的 IDS 可監(jiān)測(cè)系統(tǒng)、事件和 Window NT下的安全記錄以及 UNIX 環(huán)境下的系統(tǒng)記錄。 盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷,但它確實(shí)具有基于網(wǎng)絡(luò)的系統(tǒng)無法比擬的優(yōu)點(diǎn)?;谥鳈C(jī)技術(shù)還可監(jiān)視通常只有管理員才能實(shí)施的非正常行為。 ? 易于用戶剪裁 每一個(gè)主機(jī)有其自己的代理,當(dāng)然用戶剪裁更方便了。所以從覆蓋足夠大的網(wǎng)絡(luò)范圍的角度出發(fā),很難確定配置基于網(wǎng)絡(luò)的 IDS 的最佳位置?;诰W(wǎng)絡(luò)的IDS 通常利用一個(gè)運(yùn)行在隨機(jī)模式下網(wǎng)絡(luò)的適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)?;诰W(wǎng)絡(luò)的監(jiān)視器 不運(yùn)行其他的應(yīng)用 程序, 不提供網(wǎng)絡(luò)服務(wù),可以不響應(yīng)其他計(jì)算機(jī)。被捕獲的數(shù)據(jù)不僅包括的攻擊的方法,而且還包括可識(shí)別黑客身份和對(duì)其進(jìn)行起訴的信息?;诰W(wǎng)絡(luò)的 入侵檢測(cè)系統(tǒng) 通過檢查所有的 數(shù)據(jù) 包 的包頭 ( header)來進(jìn)行檢測(cè),而基于主機(jī)的 入侵檢測(cè)系統(tǒng) 并不查看包首標(biāo)。相信未來的集成化的入侵檢測(cè)產(chǎn)品不僅功能更加強(qiáng)大,而且部署和使用上也更加靈活方便。按照所使用的分析方法,可以分為以下幾種入 侵檢測(cè)系統(tǒng) : 1. 基于審 計(jì)的攻擊檢測(cè) 基于審計(jì)信息的攻擊檢測(cè)工具以及自動(dòng)分析工具可
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1