入侵检测技术,入侵检测系统的功能有


入侵检测技术,入侵检测系统的功能有

文章插图
什么是入侵检测?:
入侵检测技术,入侵检测系统的功能有

文章插图
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性 。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象 。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护 。
检测步骤
(1)信息收集 。入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为 。
而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的昂好标识 。
当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只昶用所知道的真正的和精确的软件来报告这些信息 。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其他工具 。
黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是 。例如,UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(票客隐藏了初始文件并用另一版本代替) 。
这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息 。
(2)信号分析 。对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析 。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析 。
什么叫做入侵检测?入侵检测系统的基本功能是什么?:
入侵检测技术,入侵检测系统的功能有

文章插图
入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备 。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术 。IDS最早出现在1980年4月 。该年,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告,在其中他提出了IDS的概念 。1980年代中期,IDS逐渐发展成为入侵检测专家系统 。1990年,IDS分化为基于网络的IDS和基于主机的IDS 。后又出现分布式IDS 。目前,IDS发展迅速,已有人宣称IDS可以完全取代防火墙 。我们做一个形象的比喻:假如防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统 。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告 。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类 。根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测 。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作 。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上 。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文 。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构 。因此,IDS在交换式网络中的位置一般选择在: 尽可能靠近攻击源 尽可能靠近受保护资源 这些位置通常是: ·服务器区域的交换机上 ·Internet接入路由器之后的第一台交换机上 ·重点保护网段的局域网交换机上 由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来 。Venustech(启明星辰)、Internet Security System、思科、赛门铁克等公司都推出了自己的产品 。系统分类根据检测对象的不同,入侵检测系统可分为主机型和网络型 。
简述入侵检测的过程:
入侵检测技术,入侵检测系统的功能有

推荐阅读