基于網(wǎng)絡(luò)情境的IDS設(shè)計與實現(xiàn).pdf

1、IDS在網(wǎng)絡(luò)安全體系中占據(jù)著重要的位置.然而當(dāng)前的IDS技術(shù)都有自己的缺陷:異常檢測誤報率太高,目前還難以在市場得到應(yīng)用;誤用檢測的攻擊特征不能實時更新,容易導(dǎo)致漏報,同時,隨著特征規(guī)則的增多,檢測效率下降.針對誤用檢測應(yīng)用中出現(xiàn)的問題,網(wǎng)絡(luò)情境入侵檢測系統(tǒng)(NCIDS,Network-Context based Intrusion Detection System)給出了一個新的解決方案.NCIDS根據(jù)IDS監(jiān)聽報文的特點(diǎn),利用用戶層

2、報文映射技術(shù),從網(wǎng)卡上直接過濾報文,并拷貝到應(yīng)用層可以訪問的區(qū)域,從而再進(jìn)行報文截獲時跳過操作系統(tǒng)的協(xié)議棧,避免了操作系統(tǒng)核心頻繁的檢測和拷貝.通過對網(wǎng)絡(luò)環(huán)境的分析、連接狀態(tài)的監(jiān)視,并且拓展了事件描述語言,由原先的1層表示法拓展為2層表示法,NCIDS給出了基于網(wǎng)絡(luò)情境的檢測方法.根據(jù)網(wǎng)絡(luò)情境,NCIDS模擬目標(biāo)主機(jī)上的協(xié)議解析過程,將報文還原,然后再進(jìn)行特征匹配,從而使許多繞過IDS的入侵方法在NCIDS面前不再有效.NCIDS將規(guī)則