硕士论文-基于tcpip协议分析的入侵检测系统研究与实现
电子科技大学硕士学位论文
和响应组件。
信息来源(InformationSotu'ce):为检测可能的恶意攻击,IDS所检测的网络或系统必须能提供足够的信息给IDS,资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。
分析引擎(AnalysisEngine) 利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。
响应组件(ResponseComponent):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。
2.2常用入侵方法
入侵的步骤通常如下:
Stepl:收集目标系统的信息,包括艇络的拓扑结构、系统提供的服务、操作系统的类型、版本和可能存在的弱点等。
Step2:识剐系统中的关键弱点,了解系统有无防火墙,有光入侵检测系统等。Step3:攻击测试。先建立一个和目标系统一样的环境,然后对它进行一系列的攻击,检查攻击结果。
Step4:准备各种相关的工具。
Step5:制定攻击策略。
Step6:实施攻击。
2.2_2入侵方法举例
(1)拒绝服务攻击:一个用户占据了大量的共享资源,使系统没有剩余的资源给其他用户可用的攻击方式,它会降低资源的可用性。这种攻击主要是用来攻击域名服务器、路由器及其它网络操作服务器,使被攻击者无法提供正常的服务,严重瞳会导致一个网络瘫痪。例如:
A.“广播风暴”:攻击者生成一个消息,指示每一个收到包的主机回答或重发这个消息,结暴网络饱和,不能使用。8
