网络安全 第十三章 入侵检测系统

网络安全 第十三章 入侵检测系统

入侵检测概述

入侵:主要是指非法取得系统控制权、利用系统漏洞收集信息、破坏信息系统等方式。

入侵检测:检测对系统的非授权访问,监测系统运行状态,保证系统资源的保密性、完整性、可用性。

入侵检测系统(Intrusion Detection System, IDS)的通用模型:

IDS 的主要认为可分为三部分:

  • 信息收集
    • 收集用户在系统中活动状态及行为
  • 信息分析
    • 操作模型、模式匹配、完整性分析等
  • 安全响应
    • 记录日志、实时显示、报警等

入侵检测原理及主要方法

异常检测基本原理

基于行为的入侵检测技术。

误用检测基本原理

基于知识的入侵检测技术。

IDS 的结构与分类

按照数据来源分为:

  • NIDS:基于网络的 IDS
    • 根据网络流量、数据包、协议,提取特征与知识库比较
    • 通常利用一个运行在随机模式下的网络适配器来实现监视并分析通过网络的所有通信业务
    • 主要技术:模型匹配、非常规现象检测、频率阈值
    • 优点:成本低、实时监测响应、检测未成功的攻击企图
  • HIDS:基于主机的 IDS
    • 对主机系统的日志和审计记录的监控和分析
    • 检测针对主机的攻击,通常部署在关键服务器上,是保护关键服务器的最后一道防线
    • 常用技术:IIS 保护技术、文件完整性分析技术、文件和注册表保护技术
    • 优点:捕获应用层入侵、斤实施的检测应答、监视特定系统活动、无需额外硬件
  • DIDS:分布式 IDS
    • 同时分析来自主机和网络的数据流
    • 入侵检测不再是单一行为,是协作入侵,如 DDos,系统弱点分散在网络各个主机上,网络流量大,NIDS 和 HIDS 可能漏检

按照检测策略分析:

  • 误用检测:将收集到的信息与知识库比较
  • 异常检测:测量属性的平均值与系统行为比较
  • 完整性分析:数据是否被篡改

Comments

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×