硕士论文-基于tcpip协议分析的入侵检测系统研究与实现
第二章入侵检测概述
B.Land攻击:IP源地址和目标地址相同,许多操作系统不知道该如何处理.就造成死机。
C.PingofDeath:使发送的ICMPecho请求数据包的长度大于允许的最大数据域长度一65507个字节,造成系统崩溃、重新启动或内核失败等。攻击者键入如下命令:
ping一65510targetlP
D.SYNflooding:故意不完成3次握手过程建立连接,让等待建立每一个特定服务的连接数量超过系统的限制数量,使被攻击系统无法建立关于该服务的连接。
(2)WEB攻击:利用CGI,FrontPage,IIs,ColdFusion等Web软件的安全漏洞,导致Web系统被篡改等攻击方法。
(3)缓冲区溢出攻击:通过向程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,达到攻击的目的。
(4)其它:如端VI扫描、未授权访问尝试、地址欺骗等。
2.3入侵检测模型
2.3.1通用入侵检测模型
1987年,DenningD.E.提出了~个通用入侵检测模型吼如图2-1所示。
图2-1Denning摸型
Denning的模型假设:入侵行为明显的区别予正常的活动,入侵者使用系统的模式不厨于正常闫户的使用模式,通过数控系统的跟踪记录,可以识别入侵者募9
