攻击拒绝服务攻击
拒绝服务攻击 时间:2021-05-08 阅读:()
收稿日期:田涛,硕士生,主研领域:网络安全.
分布式!
"#攻击及其反向追踪系统的实现田涛%鲁士文!
%(中国科学院研究生院北京(中国科学院计算技术研究所北京%"""'")摘要本文首先简要描述了分布式拒绝服务的原理和体系结构,接着重点探索了改进的反向路由追踪边采样算法.
最后详细给出了在该算法下的反向路由追踪系统的实现过程.
关键词分布式拒绝服务改进的边采样算法反向路由追踪系统0(1$02-.
/0)12+!
!
.
+/0(1(2*$%(34,5)*/(0*(1,6(/7/08!
999:;,.
+/0$)&'/08(*+0,-,84,.
+/0(1(2*$%(34,5)*/(0*(1,6(/7/08!
999@9,.
+/0$)$3456785(0)3*45)67282364)923502:4)+6):72*+83;352A5)3=,6.
328,+5026,)+524=引言随着互联网的深入发展,通过网络提供的服务越来越广泛.
同时,针对互联网服务的攻击手段也越来越多.
拒绝服务,简称,/,就是黑客常用的攻击手段.
这种攻击行为使网络服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不堪重负以至于瘫痪而停止正常的服务.
拒绝服务使用虚假数据包(源地址为假)来淹没主机,从而导致正常服务的服务质量下降或服务拒绝.
有时,黑客为了提高攻击的效果,往往会联合多个攻击站点向受害者发动进攻.
这就是分布式拒绝服务(,/).
>分布式拒绝服务攻击的体系结构分布式拒绝服务攻击基于FG/模型.
如图%所示,攻击者在客户端操纵攻击过程.
每个主控端是一台已经被入侵并运行了特定程序的系统主机;每个主控端主机能够控制多个代理端;每个代理端也是一台已经被入侵并正在运行着特定程序的系统主机;每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击数据包.
图%,/的攻击体系为了提高分布式拒绝服务攻击的成功率,攻击者需要控制成百上千台机器.
通常都是通过以下的步骤:先探测扫描大量主机以寻找可入侵的目标;入侵有安全漏洞的主机并获得控制权;在每台入侵主机中安装攻击程序;利用入侵的主机继续进行扫描和入侵.
整个过程是自动化的,攻击者能够在几秒中内入侵一台主机,可以在短短几个小时中入侵上千台主机.
目前为止,攻击者最常使用的攻击程序有(4)+,,、(HI、(HI!
J和/5*6027K84*05L种[M].
路由反向追踪在防范拒绝服务攻击时,我们可以采用如下措施.
在主机上关闭不必要的服务;限制同时打开的3;+半连接数目;缩短3;+半连接的5)拒绝服务攻击,从被攻击的主机%的角度来看,都可以简化成如图!
所示的树型结构.
%是该树的根,&是节点,'是叶子节点,两个相邻路由器则构成了该树型结构的一条边.
这种()数据包标记算法实现起来分为两个部分:*)标记过程由网络路由器完成,主要是对数据包进行信息附加.
!
)攻击路径重构根据数据包的被标记的信息,由受害人重构攻击路径.
!
"!
算法原理在解释改进的边采样算法之前,先简要的介绍一下基本的边采样算法[+].
该算法在数据包首部设置了三个域,其中"开始"域和"结束"域记录树型路由图的边采样信息,距离域记录从边到受害者的距离值.
当数据包到达一个路由器时,路由器以概率,将其地址写入"开始"域并将距离域置零.
如果距离域为零(也就是说,前一个节点将地址放入了开始域),该节点会将自己的地址放入结束域并增加距离域,这样一个采样数据包记录了一条边信息.
如果路由器不打算在"开始"域中写入自己的地址.
它也要对距离域做增加操作,这样受害者可以从接收的大量数据包的边信息中重构攻击路径.
但是,这种算法需要在数据包中增加-!
位(!
个+!
位的()地址,*个.
位的距离域),很大程度的增加了数据包头的负担.
这个问题在改进的边采样算法中得到了很好的解决.
改进后的边采样算法只需要在数据包中设置一个区域放置树形路由图的边采样结果.
具体说来,当数据包到达路由器时,路由器以概率,将其()地址/写入数据包中.
当到达下一个路由器时,下一个路由器会将自己的()地址0与/作异或运算,覆盖写入数据包中(这个值被成为两个路由器之间的边标记).
一般情况,数据包中会包含两个相邻路由器()地址的异或值.
但是,如果该路由器距离被攻击者只有一跳的距离,那么数据包中写入的就是该路由器的()地址.
又因为0!
/!
01/,所以从最后一跳路由器标记的数据包就可以反推出上一跳路由器的()地址.
依此类推就可以得到每一跳路由器的地址.
将()地址进行异或处理后,标记区间所需的空间仍然要23位以上,对于()数据包头来说依然是不小的负担.
为了再减少标记数据包所需要字节,就将现在的数据帧进行分片处理.
每一个路由器将其()地址进行4/54函数运算,将运算的结果与原来的()地址进行交替存取(原来的()地址在奇数位,由4/54函数生成的位于偶数位).
将所得的结果分成6个帧,路由器任意选出其中一个来标记数据包.
同时每一个帧都用一个偏移量来标记,以便下一跳路由器选择具有相同偏移量的帖进行异或运算.
如果被攻击者收到了足够的数据包,那么每一条边标记中的所有帧最终都会被接收到.
但是,这种将数据帧分片标记的方法与利用完整的()地址标记的方法不同,它重新合并后并不是唯一的.
因为如果存在很多攻击者,那么就会收到具有相同偏移量和距离的多个帧.
这样最后得到的()地址就可能是不正确的.
所以就要进行验算,即合并接收到的6个帧.
然后按照奇偶位分出原来的()地址和经过4/54运算后的()地址,再将原来的()地址用先前相同的4/54函数运算后与之比较.
如果两个经过4/54运算后的()地址是一样的则说明我们得到的()地址是正确的.
$实现过程数据包的标注是在路由器中完成,之后被攻击者会对这些数据包进行分析实现对攻击路径的重构.
在实现过程中,首先要解决在标记数据包时所增加的区域该如何处理,其次就是实现数据包的标注过程和攻击路径的重构过程.
$"%标记区域由于边采样算法在实现时需要在()数据包头部分增加一个区域,这样会对目前的()数据包的结构产生变更,难免会对目前的应用产生影响.
不过,改进后的边采样算法与基本的边采样算法比较起来,已经将区域所需的空间由-!
位减少为*7位.
可以将此区域放在()数据头的标识域中.
数据包的标记区域如图+所示.
图+其中,偏移量占+位,可以代表.
个数据帧;距离占用8位,可以表示+*跳路由;边标记占.
位,正好将整个的数据帧分成.
段,并且能够与偏移量一一对应.
$"#标记过程对于在改进后的边采样算法下的数据包标注过程可以通过图2所示的软件逻辑框图来实现.
图2$"!
攻击路径重构过程图8在改进后的边采样算法下的攻击路径重构过程通过图8所示的软件逻辑框图实现.
&算法评价及总结利用改进的反向路由追踪边采样算法可以近似地找到攻击源,而且收敛速度快,例如以39!
8:的概率标记数据包,且攻击者在*3跳路由以外,那么平均只需要收!
333多个数据包就可以了.
而对于拒绝服务攻击来说,发送这些数据包也许只需几秒钟.
但是这种算法也具有一定的局限性.
对于这种对()数据包头的标记方式与()$;拒绝服务攻击时,往往不能做到及时有效.
第!
期田涛等:分布式"#$攻击及其反向追踪系统的实现*3+万方数据分布式拒绝服务攻击对当今的互联网已经构成了很大的威胁,我们不仅要能够监测、防范,关键是还要能够从源头来杜绝.
以上是作者在从事企业网络安全和反攻击的工作中,对分布式拒绝服务攻击的路由反追踪系统的一点研究,还有更深入的问题以及改进方案等待以后深入探讨.
参考文献00,1''&2&/0+',34'1',$/54',6/&7#+7&08$#9:4/;"63/&7$&7;[@],+'=/47$$,+')54%ABBB1@C">D@ECC@4'1')/$55H+0#$/+'):04%"$/(+7$1##&7;5-.
+7.
LM=04N>6"463/&7$&7;[*STEU]G[V]"G*$$/+'),IH@AVJB:6/4#4740,($/5+4'J(+=(J),*L@F!
OOPG[W]7.
,8$+0U4'),7.
,"1'&0NX+'),+5#04%5$/(+7$&##&7;#4405:3.
$5.
&%#7&5$[@],+'!
V#.
5N5#$M51,M+'+5#/&#+4'@4'%$/9$'7$U>"1ABBB,ABBBG(上接第!
"页)在+'#$/%&7$"@中(4+,I$)+5#$/(+'@1C&'&)$/@1C),是每一域管理@1和网络其它部件@EC向"@注册的方法;+'#$/%&7$@1C&'9&)$/定义了域内@1的产生、注销以及提交等方法.
+'#$/%&7$@@1中定义的"$#7&'5.
*"可以把网络分成若干个域,每个域有独立的域管理@1,如图A所示.
域管理@1根据系统检测的需要,派遣'('YB)个采集@1移动到目标系统执行检测任务.
每个采集@1根据用户自身定义的规则,对系统日志、网络数据包等敏感数据进行规则匹配过滤;采集@1仅携带与入侵有关的数据,巡游回到其产生域,并把数据交给分析@1进一步分析处理;分析@1对数据进行上下文相关分析和模式匹配;检测出入侵特征,向域管理@1提交入侵消息,若为新的入侵特征,域管理@1需更新采集@1的检测规则;并向综合@1提交入侵攻击特征.
数据分析协同@1*>*"的协同分析数据来源于每个域管理@1提交的入侵数据,系统的检测分析借助于综合分析@1完成.
每个综合@1其实就是基于专家系统的智能@1,其具有很强的推理归纳能力和统计规划能力.
系统中预留一个数据共享区一白板、@1间的分析协同通过它进行.
首先把多个域管理@1提交的信息集合起来放入白板中,供综合@1作出综合分析判断.
综合@1评价和积累这些收集信息,如果这些信息超过一定的预设值,综合@1就认为入侵发生.
以敲门式攻击为例,敲门式攻击是指一个入侵者想要得到网络中主机的用户>*和口令,通过不停地更换目的主机地址和用户名的方式来对某一网络中的主机进行轮循式的用户和口令登录,这种攻击一般很短暂.
所以单一的检测引擎对这种攻击很难作出正确判断.
这时综合@1如果统计归纳出网络中的关键主机,被非法主机非法登录了K次(假如系统预设J次),就会作出入侵响应;并向安全管理中心提供入侵信息.
图Q响应协同图系统响应协同@1*>*"的响应协同主要是指当@1*>*"检测到入侵行为时,自动通知防火墙或其他安全控制设备对攻击源进行封堵,达到整体安全控制的效果.
我们看@1*>*"与防火墙的联动的例子,如图Q所示,其原理是,@1*>*"检测到入侵行为,立即产生一个@1,并且携带安全策略(如拒绝某一地址的访问).
防火墙通过和@1进行交互后,增加防火墙的过滤规则,最终实现阻击入侵.
系统的带宽基于@1的分布式入侵检测模型可以大大减少系统的通信带宽.
它通过观察可能与入侵有关的事件而不是所有的用户活动来实现检测.
如果发现了可疑的入侵信息,将收集与入侵有关的事件,分析这些信息并决定是否发生了入侵.
在许多传统的网络入侵检测系统中,每个目标系统需要传送大量的数据给入侵检测服务器,由服务器分析判断是否发生了入侵.
这种方法,在大规模的网络中,通信量是极高的,并且许多数据与入侵无关,这样就浪费大量系统带宽.
而@1具有移动性,可以主动地迁移到目标系统中,只收集与入侵有关的数据,节省了系统资源.
*结束语随着网络技术的不断发展,安全技术也得到了不断的考验.
1)$'#技术的出现和应用使我们更容易解决许多软件技术难题,我们在1)$'#技术的基础上引入了协作思想来解决传统入侵检测中只有检测没有协作的问题以及检测系统数据处理带宽瓶颈.
经试验证明,基于协作1)$'#分布式入侵检测系统是一种可移植性好、检测效率高的入侵检测系统,系统中的@1之间的协作提高了系统的检测准确性;而且采集@1移动到目标系统收集数据,大大降低网络通信带宽.
参考文献[!
]*4/4#.
NLG*$''+')G1'+'#/LLL3/&'5&7#+4'54'"4%#:&/$L'Z40G"L[!
Q,!
OPK,AAA\AQAG[A]史美林、项勇、杨光信,计算机支持的协同工作理论与应用,电子工业出版社,ABBB年F[Q]张云勇,移动1)$'#及其应用,清华大学出版社,ABBA年F[V]C4+0$1)$'#@4M=<#+'),1-.
+#$6&=$/[4'90+'$],.
##=:":::G7+5G<=$''G$,OOO年F[J]张强、房鼎益,"一个基于@EIS1的主机监测系统",《计算机应用与软件》,已录用,待发表F[K]吴晓南、房鼎益,"基于@EIS1的网络入侵检测系统的设计与实现",《微电子学与计算机》,已录用,待发表F[P]]CS@2^M0-LS[EU],.
##=:"&)$'#5G'404)NT&70G5.
#M0G[O]]CS@2^M0-LS[EU],.
##=:":::G75GBV计算机应用与软件ABBW年万方数据
分布式!
"#攻击及其反向追踪系统的实现田涛%鲁士文!
%(中国科学院研究生院北京(中国科学院计算技术研究所北京%"""'")摘要本文首先简要描述了分布式拒绝服务的原理和体系结构,接着重点探索了改进的反向路由追踪边采样算法.
最后详细给出了在该算法下的反向路由追踪系统的实现过程.
关键词分布式拒绝服务改进的边采样算法反向路由追踪系统0(1$02-.
/0)12+!
!
.
+/0(1(2*$%(34,5)*/(0*(1,6(/7/08!
999:;,.
+/0$)&'/08(*+0,-,84,.
+/0(1(2*$%(34,5)*/(0*(1,6(/7/08!
999@9,.
+/0$)$3456785(0)3*45)67282364)923502:4)+6):72*+83;352A5)3=,6.
328,+5026,)+524=引言随着互联网的深入发展,通过网络提供的服务越来越广泛.
同时,针对互联网服务的攻击手段也越来越多.
拒绝服务,简称,/,就是黑客常用的攻击手段.
这种攻击行为使网络服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不堪重负以至于瘫痪而停止正常的服务.
拒绝服务使用虚假数据包(源地址为假)来淹没主机,从而导致正常服务的服务质量下降或服务拒绝.
有时,黑客为了提高攻击的效果,往往会联合多个攻击站点向受害者发动进攻.
这就是分布式拒绝服务(,/).
>分布式拒绝服务攻击的体系结构分布式拒绝服务攻击基于FG/模型.
如图%所示,攻击者在客户端操纵攻击过程.
每个主控端是一台已经被入侵并运行了特定程序的系统主机;每个主控端主机能够控制多个代理端;每个代理端也是一台已经被入侵并正在运行着特定程序的系统主机;每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击数据包.
图%,/的攻击体系为了提高分布式拒绝服务攻击的成功率,攻击者需要控制成百上千台机器.
通常都是通过以下的步骤:先探测扫描大量主机以寻找可入侵的目标;入侵有安全漏洞的主机并获得控制权;在每台入侵主机中安装攻击程序;利用入侵的主机继续进行扫描和入侵.
整个过程是自动化的,攻击者能够在几秒中内入侵一台主机,可以在短短几个小时中入侵上千台主机.
目前为止,攻击者最常使用的攻击程序有(4)+,,、(HI、(HI!
J和/5*6027K84*05L种[M].
路由反向追踪在防范拒绝服务攻击时,我们可以采用如下措施.
在主机上关闭不必要的服务;限制同时打开的3;+半连接数目;缩短3;+半连接的5)拒绝服务攻击,从被攻击的主机%的角度来看,都可以简化成如图!
所示的树型结构.
%是该树的根,&是节点,'是叶子节点,两个相邻路由器则构成了该树型结构的一条边.
这种()数据包标记算法实现起来分为两个部分:*)标记过程由网络路由器完成,主要是对数据包进行信息附加.
!
)攻击路径重构根据数据包的被标记的信息,由受害人重构攻击路径.
!
"!
算法原理在解释改进的边采样算法之前,先简要的介绍一下基本的边采样算法[+].
该算法在数据包首部设置了三个域,其中"开始"域和"结束"域记录树型路由图的边采样信息,距离域记录从边到受害者的距离值.
当数据包到达一个路由器时,路由器以概率,将其地址写入"开始"域并将距离域置零.
如果距离域为零(也就是说,前一个节点将地址放入了开始域),该节点会将自己的地址放入结束域并增加距离域,这样一个采样数据包记录了一条边信息.
如果路由器不打算在"开始"域中写入自己的地址.
它也要对距离域做增加操作,这样受害者可以从接收的大量数据包的边信息中重构攻击路径.
但是,这种算法需要在数据包中增加-!
位(!
个+!
位的()地址,*个.
位的距离域),很大程度的增加了数据包头的负担.
这个问题在改进的边采样算法中得到了很好的解决.
改进后的边采样算法只需要在数据包中设置一个区域放置树形路由图的边采样结果.
具体说来,当数据包到达路由器时,路由器以概率,将其()地址/写入数据包中.
当到达下一个路由器时,下一个路由器会将自己的()地址0与/作异或运算,覆盖写入数据包中(这个值被成为两个路由器之间的边标记).
一般情况,数据包中会包含两个相邻路由器()地址的异或值.
但是,如果该路由器距离被攻击者只有一跳的距离,那么数据包中写入的就是该路由器的()地址.
又因为0!
/!
01/,所以从最后一跳路由器标记的数据包就可以反推出上一跳路由器的()地址.
依此类推就可以得到每一跳路由器的地址.
将()地址进行异或处理后,标记区间所需的空间仍然要23位以上,对于()数据包头来说依然是不小的负担.
为了再减少标记数据包所需要字节,就将现在的数据帧进行分片处理.
每一个路由器将其()地址进行4/54函数运算,将运算的结果与原来的()地址进行交替存取(原来的()地址在奇数位,由4/54函数生成的位于偶数位).
将所得的结果分成6个帧,路由器任意选出其中一个来标记数据包.
同时每一个帧都用一个偏移量来标记,以便下一跳路由器选择具有相同偏移量的帖进行异或运算.
如果被攻击者收到了足够的数据包,那么每一条边标记中的所有帧最终都会被接收到.
但是,这种将数据帧分片标记的方法与利用完整的()地址标记的方法不同,它重新合并后并不是唯一的.
因为如果存在很多攻击者,那么就会收到具有相同偏移量和距离的多个帧.
这样最后得到的()地址就可能是不正确的.
所以就要进行验算,即合并接收到的6个帧.
然后按照奇偶位分出原来的()地址和经过4/54运算后的()地址,再将原来的()地址用先前相同的4/54函数运算后与之比较.
如果两个经过4/54运算后的()地址是一样的则说明我们得到的()地址是正确的.
$实现过程数据包的标注是在路由器中完成,之后被攻击者会对这些数据包进行分析实现对攻击路径的重构.
在实现过程中,首先要解决在标记数据包时所增加的区域该如何处理,其次就是实现数据包的标注过程和攻击路径的重构过程.
$"%标记区域由于边采样算法在实现时需要在()数据包头部分增加一个区域,这样会对目前的()数据包的结构产生变更,难免会对目前的应用产生影响.
不过,改进后的边采样算法与基本的边采样算法比较起来,已经将区域所需的空间由-!
位减少为*7位.
可以将此区域放在()数据头的标识域中.
数据包的标记区域如图+所示.
图+其中,偏移量占+位,可以代表.
个数据帧;距离占用8位,可以表示+*跳路由;边标记占.
位,正好将整个的数据帧分成.
段,并且能够与偏移量一一对应.
$"#标记过程对于在改进后的边采样算法下的数据包标注过程可以通过图2所示的软件逻辑框图来实现.
图2$"!
攻击路径重构过程图8在改进后的边采样算法下的攻击路径重构过程通过图8所示的软件逻辑框图实现.
&算法评价及总结利用改进的反向路由追踪边采样算法可以近似地找到攻击源,而且收敛速度快,例如以39!
8:的概率标记数据包,且攻击者在*3跳路由以外,那么平均只需要收!
333多个数据包就可以了.
而对于拒绝服务攻击来说,发送这些数据包也许只需几秒钟.
但是这种算法也具有一定的局限性.
对于这种对()数据包头的标记方式与()$;拒绝服务攻击时,往往不能做到及时有效.
第!
期田涛等:分布式"#$攻击及其反向追踪系统的实现*3+万方数据分布式拒绝服务攻击对当今的互联网已经构成了很大的威胁,我们不仅要能够监测、防范,关键是还要能够从源头来杜绝.
以上是作者在从事企业网络安全和反攻击的工作中,对分布式拒绝服务攻击的路由反追踪系统的一点研究,还有更深入的问题以及改进方案等待以后深入探讨.
参考文献00,1''&2&/0+',34'1',$/54',6/&7#+7&08$#9:4/;"63/&7$&7;[@],+'=/47$$,+')54%ABBB1@C">D@ECC@4'1')/$55H+0#$/+'):04%"$/(+7$1##&7;5-.
+7.
LM=04N>6"463/&7$&7;[*STEU]G[V]"G*$$/+'),IH@AVJB:6/4#4740,($/5+4'J(+=(J),*L@F!
OOPG[W]7.
,8$+0U4'),7.
,"1'&0NX+'),+5#04%5$/(+7$&##&7;#4405:3.
$5.
&%#7&5$[@],+'!
V#.
5N5#$M51,M+'+5#/&#+4'@4'%$/9$'7$U>"1ABBB,ABBBG(上接第!
"页)在+'#$/%&7$"@中(4+,I$)+5#$/(+'@1C&'&)$/@1C),是每一域管理@1和网络其它部件@EC向"@注册的方法;+'#$/%&7$@1C&'9&)$/定义了域内@1的产生、注销以及提交等方法.
+'#$/%&7$@@1中定义的"$#7&'5.
*"可以把网络分成若干个域,每个域有独立的域管理@1,如图A所示.
域管理@1根据系统检测的需要,派遣'('YB)个采集@1移动到目标系统执行检测任务.
每个采集@1根据用户自身定义的规则,对系统日志、网络数据包等敏感数据进行规则匹配过滤;采集@1仅携带与入侵有关的数据,巡游回到其产生域,并把数据交给分析@1进一步分析处理;分析@1对数据进行上下文相关分析和模式匹配;检测出入侵特征,向域管理@1提交入侵消息,若为新的入侵特征,域管理@1需更新采集@1的检测规则;并向综合@1提交入侵攻击特征.
数据分析协同@1*>*"的协同分析数据来源于每个域管理@1提交的入侵数据,系统的检测分析借助于综合分析@1完成.
每个综合@1其实就是基于专家系统的智能@1,其具有很强的推理归纳能力和统计规划能力.
系统中预留一个数据共享区一白板、@1间的分析协同通过它进行.
首先把多个域管理@1提交的信息集合起来放入白板中,供综合@1作出综合分析判断.
综合@1评价和积累这些收集信息,如果这些信息超过一定的预设值,综合@1就认为入侵发生.
以敲门式攻击为例,敲门式攻击是指一个入侵者想要得到网络中主机的用户>*和口令,通过不停地更换目的主机地址和用户名的方式来对某一网络中的主机进行轮循式的用户和口令登录,这种攻击一般很短暂.
所以单一的检测引擎对这种攻击很难作出正确判断.
这时综合@1如果统计归纳出网络中的关键主机,被非法主机非法登录了K次(假如系统预设J次),就会作出入侵响应;并向安全管理中心提供入侵信息.
图Q响应协同图系统响应协同@1*>*"的响应协同主要是指当@1*>*"检测到入侵行为时,自动通知防火墙或其他安全控制设备对攻击源进行封堵,达到整体安全控制的效果.
我们看@1*>*"与防火墙的联动的例子,如图Q所示,其原理是,@1*>*"检测到入侵行为,立即产生一个@1,并且携带安全策略(如拒绝某一地址的访问).
防火墙通过和@1进行交互后,增加防火墙的过滤规则,最终实现阻击入侵.
系统的带宽基于@1的分布式入侵检测模型可以大大减少系统的通信带宽.
它通过观察可能与入侵有关的事件而不是所有的用户活动来实现检测.
如果发现了可疑的入侵信息,将收集与入侵有关的事件,分析这些信息并决定是否发生了入侵.
在许多传统的网络入侵检测系统中,每个目标系统需要传送大量的数据给入侵检测服务器,由服务器分析判断是否发生了入侵.
这种方法,在大规模的网络中,通信量是极高的,并且许多数据与入侵无关,这样就浪费大量系统带宽.
而@1具有移动性,可以主动地迁移到目标系统中,只收集与入侵有关的数据,节省了系统资源.
*结束语随着网络技术的不断发展,安全技术也得到了不断的考验.
1)$'#技术的出现和应用使我们更容易解决许多软件技术难题,我们在1)$'#技术的基础上引入了协作思想来解决传统入侵检测中只有检测没有协作的问题以及检测系统数据处理带宽瓶颈.
经试验证明,基于协作1)$'#分布式入侵检测系统是一种可移植性好、检测效率高的入侵检测系统,系统中的@1之间的协作提高了系统的检测准确性;而且采集@1移动到目标系统收集数据,大大降低网络通信带宽.
参考文献[!
]*4/4#.
NLG*$''+')G1'+'#/LLL3/&'5&7#+4'54'"4%#:&/$L'Z40G"L[!
Q,!
OPK,AAA\AQAG[A]史美林、项勇、杨光信,计算机支持的协同工作理论与应用,电子工业出版社,ABBB年F[Q]张云勇,移动1)$'#及其应用,清华大学出版社,ABBA年F[V]C4+0$1)$'#@4M=<#+'),1-.
+#$6&=$/[4'90+'$],.
##=:":::G7+5G<=$''G$,
##=:"&)$'#5G
#M0G[O]]CS@2^M0-LS[EU],.
##=:":::G75G
819云互联(800元/月),香港BGP E5 2650 16G,日本 E5 2650 16G
819云互联 在本月发布了一个购买香港,日本独立服务器的活动,相对之前的首月活动性价比更高,最多只能享受1个月的活动 续费价格恢复原价 是有些颇高 这次819云互联与机房是合作伙伴 本次拿到机房 活动7天内购买独立服务器后期的长期续费价格 加大力度 确实来说这次的就可以买年付或者更长时间了…本次是5个机房可供选择,独立服务器最低默认是50M带宽,不限制流量,。官网:https://ww...
Asiayun:枣庄电信Asiayun美国Cera葵湾VPSvps月付,美国CERA VPS月付26元/年
亚洲云Asiayun怎么样?亚洲云成立于2021年,隶属于上海玥悠悠云计算有限公司(Yyyisp),是一家新国人IDC商家,且正规持证IDC/ISP/CDN,商家主要提供数据中心基础服务、互联网业务解决方案,及专属服务器租用、云服务器、云虚拟主机、专属服务器托管、带宽租用等产品和服务。Asiayun提供源自大陆、香港、韩国和美国等地骨干级机房优质资源,包括BGP国际多线网络,CN2点对点直连带宽以...
Hostiger发布哥伦布日提供VPS主机首月七折优惠 月费2.79美元
Hostiger商家我们可能以前也是有见过的,以前他们的域名是Hostigger,后来进行微调后包装成现在的。而且推出Columbus Day哥伦布日优惠活动,提供全场的VPS主机首月7折月付2.79美元起的优惠。这里我们普及一下基础知识,Columbus Day ,即为每年10月12日,是一些美洲国家的节日,纪念克里斯托弗·哥伦布在北美登陆,为美国的联邦假日。Hostiger 商家是一个成立于2...
拒绝服务攻击为你推荐
-
http500http 500是什么意思?wordpress模板wordpress 模板和wordpress主题有什么不同支付宝蜻蜓发布蜻蜓支付怎样实现盈利flashftp下载《蔓蔓青萝(全)》.TXT_微盘下载ipad代理苹果官网购买ipad要几天宜人贷官网宜信信用贷款上征信吗银花珠树晓来看用黄皮比喻心酸的诗句科创板首批名单2019年房产税试点城市名单电子商务世界美国电子商务的发展经历几个阶段电子商务世界世界第一的电子商务网站???