本文目录一览:
什么是入侵检测?
入侵检测是防火墙的合理补充,帮助系统对付 *** 攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机 *** 系统中的若干关键点收集信息,并分析这些信息,看看 *** 中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响 *** 性能的情况下能对 *** 进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
检测步骤
(1)信息收集。入侵检测的之一步是信息收集,内容包括系统、 *** 、数据及用户活动的状态和行为。
而且,需要在计算机 *** 系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的昂好标识。
当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只昶用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其他工具。
黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(票客隐藏了初始文件并用另一版本代替)。
这需要保证用来检测 *** 系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。
(2)信号分析。对上述四类收集到的有关系统、 *** 、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种 *** 用于实时的入侵检测,而完整性分析则用于事后分析。
基于 *** 的入侵检测系统和基于主机的检测系统区别
一、性质不同
1、基于 *** 的入侵检测系统用原始的 *** 包作为数据源,它将 *** 数据中检测主机的网卡设为混杂模式,该主机实时接收和分析 *** 中流动的数据包,从而检测是否存在入侵行为。
2、基于主机的入侵检测系统(Host-basedIDS,HIDS)出现在20世纪80年代初期,那时 *** 规模还比较小,而且 *** 之间也没有完全互连。在这样的环境里,检查可疑行为的审计记录相对比较容易,况且在当时入侵行为非常少,通过对攻击的事后分析就可以防止随后的攻击。
二、原理不同
1、基于 *** 的入侵检测系统:通常利用一个运行在随机模式下的 *** 适配器来实时检测并分析通过 *** 的所有通信业务他的攻击辨识模块。
2、基于主机入侵检测系统:使用审计记录,但主机能自动进行检测,而且能准确及时地作出响应。通常,HIDS监视分析系统、事件和安全记录。
扩展资料
HIDS的主要特点如下。
1、监视特定的系统活动
HIDS监视用户和访问文件的活动,包括文件访问、改变文件权限,试图建立新的可执行文件或者试图访问特殊的设备。
2、能够检查到基于 *** 的入侵检查系统检查不出的攻击
HIDS可以检测到那些基于 *** 的入侵检测系统察觉不到的攻击。例如,来自主要服务器键盘的攻击不经过 *** ,所以可以躲开基于 *** 的入侵检测系统。
3、适用于采用了数据加密和交换式连接的子网环境
由于HIDS安装在遍布子网的各种丰机上,它们比基于 *** 的入侵检测系统更加适于交换式连接和进行了数据加密的环境。
参考资料来源:百度百科——基于 *** 的入侵检测系统
参考资料来源:百度百科——基于主机入侵检测系统
什么是入侵检测,以及入侵检测的系统结构组成?
入侵检测是防火墙的合理补充。
入侵检测的系统结构组成:
1、事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
2、事件分析器:它经过分析得到数据,并产生分析结果。
3、响应单元:它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
4、事件数据库:事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
扩展资料:
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵。
后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
这两种模式的安全策略是完全不同的,而且,它们各有长处和短处:异常检测的漏报率很低,但是不符合正常行为模式的行为并不见得就是恶意攻击,因此这种策略误报率较高。
误用检测由于直接匹配比对异常的不可接受的行为模式,因此误报率较低。但恶意行为千变万化,可能没有被收集在行为模式库中,因此漏报率就很高。
这就要求用户必须根据本系统的特点和安全要求来制定策略,选择行为检测模式。现在用户都采取两种模式相结合的策略。
参考资料来源:百度百科—入侵检测
参考资料来源:百度百科—入侵检测系统
什么是入侵检测,入侵检测技术可以分为哪两类
入侵检测技术(IDS)可以被定义为对计算机和 *** 资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机 *** 中违反安全策略行为的技术。
入侵检测 *** 很多,如基于专家系统入侵检测 *** 、基于神经 *** 的入侵检测 *** 等。目前一些入侵检测系统在应用层入侵检测中已有实现。
入侵检测通过执行以下任务来实现:
1.监视、分析用户及系统活动;
2.系统构造和弱点的审计;
3.识别反映已知进攻的活动模式并向相关人士报警;
4.异常行为模式的统计分析;
5.评估重要系统和数据文件的完整性;
6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
入侵检测系统典型代表
入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。它是计算机 *** 上自动实时的入侵检测和响应系统。它无妨碍地监控 *** 传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而更大程度地为企业 *** 提供安全。
入侵检测系统目前存在的问题:
1.
现有的入侵检测系统检测速度远小于 *** 传输速度,
导致误报率和漏报率
2.
入侵检测产品和其它 *** 安全产品结合问题,
即期间的信息交换,共同协作发现攻击并阻击攻击
3.
基于 *** 的入侵检测系统对加密的数据流及交换 *** 下的数据流不能进行检测,
并且其本身构建易受攻击
4.
入侵检测系统体系结构问题
发展趋势:
1.
基于agent(注: *** 服务)的分布协作式入侵检测与通用入侵检测结合
2.
入侵检测标准的研究,
目前缺乏统一标准
3.
宽带高速 *** 实时入侵检测技术
4.
智能入侵检测
5.
入侵检测的测度