《网络安全技术》课件第7章.pptVIP

(2)检测和防范分布式攻击和拒绝服务攻击。网络或主机受到的攻击最初都是由单机发起的，也就是说参与目标主机或网络攻击的只有一台机器。入侵检测技术的发展使得这种一对一的攻击方法越来越难以奏效。分布式攻击是多对一的攻击，完成一次攻击的时间比单机攻击更短，攻击成功率更高。此类攻击的单机信息模式与正常通信几乎没有差异，通常的检测方法无法及时检测出攻击，因此分布式攻击更加隐蔽，更难被发现。由于分布式攻击有着隐蔽性强、攻击力大的特点，因此现在入侵者使用分布式攻击进行入侵的情况越来越多。而现在的IDS产品对于分布式攻击的防范能力普遍较弱。如何很好地描述一种分布式攻击，检测到可疑攻击后如何将分开的攻击特征合并，从而确定分布式攻击，都是值得认真研究的课题。近年来出现的拒绝服务攻击(DenialofService，DoS)对网络安全和信息的可用性造成了巨大的威胁。它通过抢占上榜主机系统资源，使得系统过载或崩溃，从而达到阻止合法用户使用系统的目的。1995年以后，DoS越来越多地成为黑客研究的热点，各种DoS攻击及其变种在网上广为流传，拒绝服务攻击是利用了TCP/IP的缺陷，PingofDeath拒绝服务攻击则是利用了IP协议的缺陷。因此，防范拒绝服务攻击并不是一件容易的事情。现在对于拒绝服务攻击的研究比较多，国内一些厂家也开发出了专门应对拒绝服务攻击的产品，但要想很好地检测和防范拒绝攻击，还有很多工作要做。1999年以来，一种综合了分布式攻击和拒绝服务攻击特点的新型攻击开始出现，这就是分布式拒绝服务攻击(DistributedDenialofService，DDoS)。发起攻击的主机通过控制数台脆弱主机，把它们武装成一台台极具攻击力的攻击者，然后让它们同时对目标主机发起攻击，在悬殊的带宽力量对比下，目标主机很快就会崩溃。对于分布式拒绝服务攻击的研究已成为攻击研究的热点。(3)实现入侵检测系统与其他安全部件的互动。实现网络与信息的安全是一项系统工作，不是一种单独的安全部件就可以完成的。只有在不同的安全部件之间实现互联互动，才能够更好地发挥它们各自的作用，才可以比较好地保证网络与信息的安全。入侵检测系统作为一种重要的安全部件，将会在保障网络与信息安全方面发挥越来越重要的作用。随着防火墙技术、入侵检测技术等技术的不断发展，实现它们之间的互动显得越来越重要。因此，对于安全部件之间的互动协议和接口标准的研究，也会是入侵检测系统研究的一个重要方向。对于这方面的研究现在还比较少，一些IDS厂家只是针对自己的产品做了一些接口函数，并且大多数是以防火墙为中心的，现在只有少数厂家是以IDS为中心来考虑安全部件的互动和接口的，但也局限于自己开发的IDS和防火墙产品。(4)入侵检测系统的标准化工作。标准化的工作对于一项技术的发展至关重要。在某一个技术领域，如果没有相应的标准，那么该领域的发展将会是无序的。令人遗憾的是，尽管入侵检测系统经历了二十多年的发展，近几年又成为网络与信息安全领域的一个研究热点，但到目前为止，还没有一个相关的国际标准出现，国内也没有入侵检测系统方面的标准。因此，入侵检测系统的标准化工作应引起业界的广泛重视。现在国际上主要有两个组织在做这方面的工作，它们是公共入侵检测框架(CIDF)和IDWG。CIDF早期由美国国防部高级研究计划署(DARPA)赞助研究，现在由CIDF工作组负责，这是一个开放组织。IDWG是互联网工程任务组(IETF)下的一个工作小组，专门研究制定入侵检测领域的草案(标准)，其工作目标是定义入侵检测系统中的数据格式、信息交换过程和交换协议。IDWG现在比较活跃，在不断修改他们提出的草案，力争使该草案成为国际标准。在入侵检测系统中，应该进行标准化的工作主要包括：大规模分布式入侵检测系统的体系结构、入侵特征等数据的描述(格式)、入侵检测系统内部的通信协议和数据交换协议、安全部件间的互动协议和接口标准等。(5)入侵检测系统的测试和评估。近些年来，入侵检测系统得到了很大的发展，我国在入侵检测方面的研究工作和产品开发也有了很大的进展，但现在对入侵检测测试评估方面的研究还不是很多。现在的入侵检测产品需要一个大家公认的入侵检测系统测试评估标准，各个产品都使用这个统一的尺度来衡量、比较彼此的优劣。现在一些入侵检测产品的宣传未必就十分可信，即使是完全可信的，由于不是由权威的检测部门使用测试评估标准来进行检测得出的结果，因而也难免被使用者怀疑。因此，尽快建立一套入侵检测系统的测试评估标准，对产品开发商和用户都有好处。在进行测试评估的研究中，几个比较关键的问题是：网络流量仿真、用户行为仿真、攻击特征库的构建、评估环境的实现和评测结果的分析。问题的核心是建立