CIDF框架上的入侵检测规则扩充

CIDF框架给出了不同入侵检测系统间数据共享与通信问题的一个解决方法 ,它将入侵行为、阶段特征、入侵的后果影响量化 ,构造在A -Box中使用的新的检测规则 ,在此基础上对CISL进行扩充以描述这类规则。新的检测规则支持来自原始数据的GIDO表示 ,也支持来自其它IDS日志的GIDO表示 ,最后讨论了它对A -Box和R -Box的设计需求。

基于XML的GIDO描述和入侵检测规则描述

本文在CIDF框架的基础上 ,针对通用入侵检测规范语言 (CISL)描述通用入侵检测对象 (GIDO)难以被人们所理解 ,提出采用具有易于数据描述和理解等优势的XML语言来对GIDO进行描述。同时 ,针对Snort入侵检测系统在入侵检测规则的描述上过于粗略、不易扩充等不足 ,利用XML语言易于理解、扩充和完整描述数据等优点 ,对Snort的入侵检测规则定义进行了修改和完善 ,并给出了基于XML的入侵检测规则描述。最后列举了一个完整的应用实例。

入侵检测规则(一)

从本期开始,“技术广场”栏目将刊出关于理解和开发网络入侵检测系统规则的系列文章,共四部分。本期刊出系列文章的第一部分,文中将介绍网络络入侵检测系统规则的基础知识并进一步讲解IP、TCP头文件属性的规则。这些规则忽略了包的有效荷载而将寻找某些确定的头文件属性或这些属性的集合作为替代。

入侵检测规则(二)

本文是理解和开发网络入侵检测系统规则系列文章的第二篇。在第一部分中,文章着眼于规则基础、规则服务的功能、头文件属性、规则的组成及如何选择规则等。本文我们将通过测试某些规则的实例继续讨论规则中的IP协议头文件属性。虽然对于一种特定的通讯可以很容易地开发出相关的规则,但很可能会引起无法预想的积极或被动的错误。开发和测试规则必须非常小心,所制定的规则应该是高度精确且尽可能有效的。

入侵检测规则(四)

本章节中,我们将继续讨论协议分析和如何通过简单的入侵检测规则方法来扰乱攻击者的视线,使其无法达到目的.

入侵检测规则(三)

这是理解和开发网络入侵检测系统规则系列文章的第三部分.在前两章中,我们研究了IP协议头文件属性,特别是TCP、UDP和ICMP在制订网络入侵检测规则中的作用.这章,我们将通过研究协议分析领域继续讨论规则,着重于检测TCP和UDP的有效荷载值.使用基于协议分析方法制订的网络入侵检测协议对于与类似DNS,HTTP,FTP,SMTP等协议相关的已知和未知的攻击非常有效.

入侵检测规则(五)

本文是理解及开发网络入侵检测系统规则的最后一部分。前文中,作者讲述了协议分析即网络入侵检测系统应该真正理解各种协议,例如FTP是如何工作的,且初步讲述了协议分析是如何进行简单地请求和响应的。本文进一步讨论了状态协议分析,包括在整个连接和会话期如何进行协议分析,如何捕获和储存相关数据,如何在各种请求和响应中使用这些数据来识别攻击。

基于漏洞扫描的入侵检测规则屏蔽方法

网络入侵检测系统的规则库在不断地增加，规则匹配的过程越来越复杂。在高速网络的环境下，NIDS难以适应，产生漏检。需要开发专用的IDS，同时要减少大量无用的警报。

基于代理的网络入侵检测系统的研制

入侵检测系统可以对系统或网络资源进行实时检测 ,及时发现闯入系统或网络的入侵者 ,也可预防合法用户对资源的误操作 ,它是P2 DR (PolicyProtectionDetectionResponse ,简称P2 DR)安全模型的一个重要组成部分。本文首先介绍了入侵检测系统的研究难点与目前存在的问题 ,然后重点介绍我们所研制的基于代理的网络入侵检测系统的体系结构、总体设计与实现、关键技术以及系统的特色。目前该系统在入侵检测系统的体系结构、入侵检测技术、响应与恢复策略、分布式代理(Agent)技术。

基于关联规则的IDS规则库构建应用研究

入侵检测系统的检测性能很大程度上取决于规则库的更新。网络安全的日益严峻对入侵检测系统的规则提取提出了更高要求。提出了将关联规则算法运用于入侵检测系统规则库更新的设想,阐述了传统的关联规则算法,并针对其入侵检测系统中的应用进行改进。以Snort为例,详细描述了用改进的关联规则算法挖掘网络数据集,然后将结果转换为入侵检测规则的过程,并以实验说明了应用关联规则构建入侵检测系统规则库的可行性。

基于规则的IDS中的CBR研究

本文在入侵检测系统(IDS)中引入基于案例的推理(CBR)来降低基于规则的精确匹配所造成的漏报率,有效地检测由已知攻击变异成的攻击。描述了实现 CBR 的步骤;给出了由规则设计和构造案例库的启发式方法;分析了实现 CBR 的有关算法;最后给出在入侵检测系统 Snort 上扩充 CBR 功能的实验结果。

基于规则转换的入侵防御系统的研究与实现

入侵防御系统不仅能检测网络中的入侵和攻击行为,并且能够及时地阻断入侵和攻击行为。我们设计的入侵防御系统将Snort的入侵检测规则转化为Linux内核包过滤防火墙使用的规则,使Netfilter不仅具有防火墙的功能,同时具有入侵检测的功能,从而设计出一种新型的融合式入侵防御系统。