- 相關推薦
入侵檢測
入侵檢測
入侵檢測(入侵檢測)
入侵檢測(Intrusion Detection),顧名思義,就是對入侵行為的發覺。他通過對計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。
目錄 基本簡介 分類情況 入侵分類 工作步驟 收縮展開 基本簡介入侵檢測(Intrusion Detection)是對入侵行為的檢測。它通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。因此被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測。入侵檢測通過執行以下任務來實現:監視、分析用戶及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式并向相關人士報警;異常行為模式的統計分析;評估重要系統和數據文件的完整性;操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。 入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。 這些都通過它執行以下任務來實現: ·監視、分析用戶及系統活動 · 系統構造和弱點的審計 · 識別反映已知進攻的活動模式并向相關人士報警 · 異常行為模式的統計分析 · 評估重要系統和數據文件的完整性 ·操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。 對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網絡安全。而且,入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網絡連接、記錄事件和報警等。
分類情況入侵檢測系統所采用的技術可分為特征檢測與異常檢測兩種。
特征檢測
特征檢測(Signature-based detection) 又稱Misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。
異常檢測
異常檢測(Anomaly detection) 的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
入侵分類1)基于主機
一般主要使用操作系統的審計、跟蹤日志作為數據源,某些也會主動與主機系統進行交互以獲得不存在于系統日志中的信息以檢測入侵。這種類型的檢測系統不需要額外的硬件.對網絡流量不敏感,效率高,能準確定位入侵并及時進行反應,但是占用主機資源,依賴于主機的可靠住,所能檢測的'攻擊類型受限。不能檢測網絡攻擊。
2)基于網絡
通過被動地監聽網絡上傳輸的原始流量,對獲取的網絡數據進行處理,從中提取有用的信息,再通過與已知攻擊特征相匹配或與正常網絡行為原型相比較來識別攻擊事件。此類檢測系統不依賴操作系統作為檢測資源,可應用于不同的操作系統平臺;配置簡.單,不需要任何特殊的審計和登錄機制;可檢測協議攻擊、特定環境的攻擊等多種攻擊。但它只能監視經過本網段的活動,無法得到主機系統的實時狀態,精確度較差。大部分入侵檢測工具都是基于網絡的入侵檢測系統.
3)分布式
這種入侵檢測系統一般為分布式結構,由多個部件組成,在關鍵主機上采用主機入侵檢測,在網絡關鍵節點上采用網絡入侵檢測,同時分析來自主機系統的審計日志和來自網絡的數據流,判斷被保護系統是否受到攻擊。
工作步驟對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網絡安全。而且,入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網絡連接、記錄事件和報警等。
【入侵檢測】相關文章:
安防及入侵檢測·什么是IDS入侵檢測04-26
高速網絡環境下的入侵檢測04-29
基于遺傳神經網絡的入侵檢測研究04-28
安防及入侵檢測·什么是IDS與防火墻對比04-26
一種基于入侵檢測的數據庫安全審計04-27
遠古入侵作文11-27
生物入侵及入侵進化生物學04-27
非典大軍入侵地球05-01
外來物種入侵威脅中國04-29