基于網(wǎng)絡(luò)情境的IDS設(shè)計(jì)與實(shí)現(xiàn).pdf

1、IDS在網(wǎng)絡(luò)安全體系中占據(jù)著重要的位置.然而當(dāng)前的IDS技術(shù)都有自己的缺陷:異常檢測(cè)誤報(bào)率太高,目前還難以在市場(chǎng)得到應(yīng)用;誤用檢測(cè)的攻擊特征不能實(shí)時(shí)更新,容易導(dǎo)致漏報(bào),同時(shí),隨著特征規(guī)則的增多,檢測(cè)效率下降.針對(duì)誤用檢測(cè)應(yīng)用中出現(xiàn)的問題,網(wǎng)絡(luò)情境入侵檢測(cè)系統(tǒng)(NCIDS,Network-Context based Intrusion Detection System)給出了一個(gè)新的解決方案.NCIDS根據(jù)IDS監(jiān)聽報(bào)文的特點(diǎn),利用用戶層

2、報(bào)文映射技術(shù),從網(wǎng)卡上直接過濾報(bào)文,并拷貝到應(yīng)用層可以訪問的區(qū)域,從而再進(jìn)行報(bào)文截獲時(shí)跳過操作系統(tǒng)的協(xié)議棧,避免了操作系統(tǒng)核心頻繁的檢測(cè)和拷貝.通過對(duì)網(wǎng)絡(luò)環(huán)境的分析、連接狀態(tài)的監(jiān)視,并且拓展了事件描述語言,由原先的1層表示法拓展為2層表示法,NCIDS給出了基于網(wǎng)絡(luò)情境的檢測(cè)方法.根據(jù)網(wǎng)絡(luò)情境,NCIDS模擬目標(biāo)主機(jī)上的協(xié)議解析過程,將報(bào)文還原,然后再進(jìn)行特征匹配,從而使許多繞過IDS的入侵方法在NCIDS面前不再有效.NCIDS將規(guī)則