怎么看网站源码用什么做的,淘宝店,创业网站建设怎么样,怎么创建网页文件一、入侵检测的概念
1、入侵检测的概念
检测对计算机系统的非授权访问对系统的运行状态进行监视#xff0c;发现各种攻击企图、攻击行为或攻击结果#xff0c;以保证系统资源的保密性、完整性和可用性识别针对计算机系统和网络系统或广义上的信息系统的非法攻击#xff0c…一、入侵检测的概念
1、入侵检测的概念
检测对计算机系统的非授权访问对系统的运行状态进行监视发现各种攻击企图、攻击行为或攻击结果以保证系统资源的保密性、完整性和可用性识别针对计算机系统和网络系统或广义上的信息系统的非法攻击包括检测外部非法入侵者的恶意攻击或探测以及内部合法用户越权使用系统资源的非法行为。
所有能够执行入侵检测任务和实现入侵检测功能的系统都可称为入侵检测系统IDS Intrusion Detection System
入侵检测系统 IDS,它从计算机网络系统中的若干关键点收集信息并分析这些信息检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。能在不影响网络性能的情况下对网络进行监测从而提供对内部攻击、外部攻击和误操作的实时保护这些都通过它执行以下任务来实现
监视、分析用户及系统的活动系统构造和弱点的审计识别反映已知攻击的活动模式并向相关人员报警异常行为模式的统计分析评估重要系统和数据文件的完整性操作系统的审计跟踪管理并识别用户违反安全策略的行为
2、IDS系统模型的四个部分 数据收集器检测器知识库控制器
3、IDS的任务
信息收集信息分析模式匹配与已知网络入侵数据库比较误报率低但只能发现已知攻击统计分析观察值与正常值比较、完整性分析检查某个文件是否被修改安全响应主动响应系统本身自动执行采取终止连接修正系统环境被动响应发出告警信息和通知
4、IDS的评价标准
性能检测功能测试用户可用性测试
二、入侵检测原理及主要方法
IDS通常使用两种基本的分析方法来分析事件、检测入侵行为即异常检测Anomaly Detection和误用检测Misuse Detection
1、异常检测
假定所有入侵行为都是与正常行为不同的如果建立系统正常行为轨迹那么理论上可以通过统计那些不同于我们已建立的特征文件的所有系统状态的数量来识别入侵企图把所有与正常轨迹不同的系统状态视为可疑企图。
2、误用检测基于知识的检测技术
假定所有入侵行为和手段及其变种都能够表达为一种模式或特征那么所有已知的入侵方法都可以用匹配方法发现。因为很大一部分的入侵是利用了系统的脆弱性通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。
误用检测系统的关键问题是如何从已知入侵中提取金和编写特征使得其能够覆盖该入侵的所有可能的变种而同时不会匹配到非法入侵活动把真正入侵与正常行为区分开来
三、IDS的结构与分类
1、IDS的功能
IDS至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。 2、IDS的分类
按照数据来源分类
①、基于网络的入侵检测系统NIDS数据来自于网络的数据流。
优缺点侦测速度快不容易受到攻击对主机资源消耗少//来自服务器本身的攻击不经过网络误报率高
关键技术蜜罐技术
工作原理将入侵检测系统的产品放在比较重要的网段如果数据包与产品内置的规则吻合就发出警报甚至直接切断连接
②、基于主机的入侵检测系统HIDS数据来自于审计记录和系统日志。
优缺点不同操作系统捕获应用层入侵误报少//依赖与主机及其子系统实时性差
工作原理扫描操作系统和应用程序日志文件查看敏感文件是否被篡改检验进出主机的网络传输流发现攻击。
监视用户和访问文件的活动
监视主要系统文件和可执行文件的改变
监视只有管理员才能实施的异常行为
③、分布式入侵检测系统DIDS数据来自于系统审计记录和网络的数据流。
克服了单一HIDS、NIDS的不足。
HIDS常安装于被保护的主机上而NIDS常安装于网络入口处
按照入侵检测策略分类
①、滥用检测
优缺点只收集相关数据集合减少系统负担//需要不断升级
原理将收集到的信息与已知网络入侵和数据库比对
②、异常检测
优缺点可检测到未知的入侵和更复杂的入侵//误报漏报率高且不适用于用户正常行为的突然改变
原理统计正常使用的测量属性若观察值超过正常范围则认为有入侵发生
③、完整性分析
优缺点只要攻击导致某个文件的改变就可以被发现//一般以批处理方式不容易实时响应。
原理关注某个文件是否被修改
3、DIDS构件
数据采集构件、通信传输构件、入侵检测分析构件、应急处理构件、用户管理构件 4、IDS控制台
控制台的设计重点是
日志检索探测器管理规则管理日志报表用户管理 5、蜜罐技术
现代的IDS采用了蜜罐Honeypot技术的新思想。蜜罐是一个吸引潜在攻击者的陷阱它的作用是
把潜在入侵者的注意力从关键系统移开
收集入侵者的动作信息
设法让攻击者停留一段时间使管理员能检测到它并采取相应的措施。
潜在入侵者的信息可以通过检查蜜罐日志来获得
四、IDS的发展方向
宽带高速实时检测技术大规模分布式的检测技术数据挖掘技术更先进的检测算法入侵响应技术
