入侵检测
第一章入侵检测概述
1、网络安全的实质?
2、为了提高网络安全性,需要从哪些层次和环境入手?
3、为什么说无法确保系统的安全性达到某一确定的级别?
4、为什么说入侵检测是一种动态的监控、预防或抵制系统入侵行为的安全机制?
5、入侵检测主要通过监控哪些方面来检测内部或外部的入侵企图?
6、与传统的预防型安全机制相比,入侵检测具有哪些优点?
7、为什么说入侵检测是对传统计算机安全机制的一种补充?
8、入侵检测机制能弥补防火墙的哪些不足?
9、入侵检测机制能弥补访问控制的哪些不足?
10、入侵检测机制能弥补漏洞扫描工具的哪些不足?
11、P2TR安全模型体现了什么样的思想?
12、在P2TR模型中检测所起的作用是什么?
13、攻击时间Pt 的含义?
14、检测时间Dt的含义?
15、响应时间Rt的含义?
16、系统暴露时间Et的含义?
17、用基于时间的特性描述什么情况下系统是安全的?
18、依据P2DR模型,安全目标是什么?
19、目前,实施检测功能最有效的技术是哪种技术?
20、入侵检测的早期研究主要包括哪些方面的内容?
21、1986年的哪篇文章被认为是入侵检测的开山之作?
22、1990年出现的网络安全监视器(NSM)的重要贡献是什么?
23、入侵检测的商业产品最早出现在哪一年?
24、DIDS最早期的目标是什么?
25、DIDS能够有效解决什么问题?
26、入侵的含义是什么?
27、入侵检测的含义是什么?
28、入侵检测系统的含义是什么?
29、IDS的作用和功能主要有哪些?
30、IDS的主要缺点是什么?
31、IDS作为一项安全技术,其主要目的有哪几个?
第二章入侵方法与手段
1、网络入侵的一般流程是什么?
2、常见的信息收集方式有哪些?
3、通过whois服务器可以查到哪些信息?
4、用nslookup可以获得攻击目标的哪些信息?
5、目前最常见的网络攻击有哪几类?
6、网络入侵发生的内因是什么?
7、网络入侵发生的主要外因是什么?
8、常见的安全威胁包括哪些类型?
9、扫描器在网络攻击中发挥什么样的作用?
10、常见的端口扫描器有哪些?
11、常见的漏洞扫描器有哪几种?
12、端口扫描器与漏洞扫描器的主要区别是什么?
13、典型的拒绝服务攻击手段有哪些?
14、恶意用户通常如何利用缓冲区溢出漏洞?
15、从服务器端如何防范跨站脚本攻击?
16、从用户端如何防范跨站脚本攻击?
17、是什么原因使得SQL Injection 攻击的得以产生?
第三章入侵检测系统
1、入侵检测系统大致经历了哪三个阶段?
2、代表这三个阶段的三个模型分别是哪个?
3、通用入侵检测模型基于什么假设?
4、通用入侵检测模型主要由哪6个部分构成?
5、层次化入侵检测模型将入侵检测系统分为哪6个层次?
6、管理式入侵检测模型采用哪五个元素描述攻击事件?
7、一个典型的入侵检测系统从功能上可以分为哪三个组成部分?
8、通常从哪几个方面对入侵检测系统进行分类?
9、根据目标系统的分类?
10、根据入侵检测分析方法的分类?
11、入侵检测的部署主要依据是什么?
第四章入侵检测流程
1、入侵检测的过程可以分为哪3个阶段?
2、常见的告警与响应方式有哪些?
3、哪些响应方式有可能被入侵者所利用,进行DOS攻击?
4、哪些响应方式有可能对正常应用产生不良影响?
5、入侵检测系统的数据源主要有哪些?
6、基于主机的数据源包括哪些?
7、基于主机的入侵检测系统必须满足什么样的实时性条件?
8、基于主机的入侵检测系统通常采用哪种数据源作为主要的审计信息源?
9、基于网络的数据源包括哪些?
10、采用应用日志文件作为入侵检测系统的数据源有哪些优势?
11、请列举一个典型的利用应用程序日志文件的入侵检测工具?
12、请从入侵检测的角度说出入侵分析的概念?
13、除了检测入侵行为以外,人们通常还希望通过入侵分析达到哪些目标?
14、入侵检测系统支持哪二种基本需求?
15、入侵分析处理过程包含哪3个阶段?
16、构造分析引擎包括哪几个步骤?
17、构造分析器的第一步做什么?
18、在构造分析器时,对于误用检测,需要收集哪些事件信息?
19、在构造分析器时,对于异常检测,需要收集哪些事件信息?
20、在收集信息完成后,通常需要对相关数据进行何种处理?
21、建立行为分析引擎的作用是什么?
22、一个误用检测区分器的结构通常是什么?
23、一个异常检测区分器的结构通常是什么?
24、分析数据通常包括哪几个步骤?
25、对于误用检测系统,反馈和更新的含义是什么?
26、对于异常检测系统,反馈和更新是含义是什么?
27、误用入侵检测的含义是什么?
28、异常入侵检测的含义是什么?
30、误用入侵检测的主要前提条件是什么?
31、误用检测的主要局限是什么?
32、误用检测通常采用哪些数学分析方法?
33、异常入侵检测的一个重要前提是什么?
34、入侵活动和异常活动之间的关系存在哪4种情况?
35、异常检测常采用什么数据方法?
36、Denning模型包括了哪4种统计模型?
37、举出几种用于异常检测的量化分析的方法?
38、非参统计异常检测的前提是什么?
39、使用神经网络进行入侵检测的主要不足是什么?
40、还有哪些方法可用于误用和异常2类检测?
41、入检测检测的响应可分为哪二种类型?
42、可与入侵检测系统联动进行响应包括哪些安全技术?
43、从联动的角度出发,安全设备可以分为哪二大类?
第五章基于主机的入侵检测技术
1、基于主机的检测系统的检测目标主要是什么?
2、直接监测数据的含义是什么?
3、间接监测数据的含义是什么?
4、直接监测数据和间接监测数据,哪一种数据用于入侵检测更好?
5、具有代表性的数据获取系统是哪个?
6、数据预处理的含义是什么?
7、数据预处理的主要功能是什么?
8、数据集成的含义是什么?
9、数据清理的含义是什么?
10、数据变换的含义是什么?
11、数据简化的含义是什么?
12、数据融合的含义是什么?
13、在统计方法中,异常特征值是什么样的特征数据?
14、异常特征值对异常状况具有很高灵敏度的含义是什么?
15、基于规则的入侵检测专家系统有哪5部分组成?
16、状态分析法的基本思想是什么?
17、一个经典的基于状态转移分析方法的入侵检测系统?
18、基于完整性检查的入侵检测的基本原理是什么?
19、基于完整性检查在什么情况下会发挥作用?
20、智能体(agent)有哪些特点?
21、基于智能体的入侵检测系统通常由哪些部分组成?
第六章基于网络的入侵检测技术
1、为了捕获数据包,常将网卡设置为什么方式?
2、为实现交换网络的数据捕获,需要采取哪些方法?
3、包捕获机制工作在哪个层次?
4、包捕获机制的功能是什么?
5、包过滤机制的功能是什么?
6、Linux系统为用户提供了一种什么机制,可以直接从网卡驱动程序读取数据?
7、BPF的主要功能是什么?
8、BPF主要由哪二部分组成?
9、Libpcap的含义是什么?
10、Winpcap的主要功能是什么?
11、NPF.vxd的主要功能是什么?
12、Packet.dll的主要功能是什么?
13、Wpcap.dll的主要功能是什么?
14、网络检测引擎主要分析技术有哪些?
15、为何报头值是首选的特征数据?
16、一般情况下,异常报头值的来源有哪几种?
第七章入侵检测系统的标准与评估
1、为何要进行入侵检测系统标准的制定?
2、目前有哪二个国际组织在进行入侵检测系统标准的制定?
3、CIDF把入侵检测系统划分为哪4个相对独立功能模块?
4、CIDF定义了哪3类互操作?
5、CIDF定义了IDS哪6种协同方式?
7、CIDF组件之间的通信结构包括哪3个层次?
8、CIDF通过要实现组件之间的协同工作,需要解决哪2个安全问题?
9、IDMEF对IDS的体系结构如何定义的?
10、IDMEF采用什么协议提供通信的安全?
11、评价入侵检测系统性能的指标有哪些?
12、入侵检测系统的有效性和效率有何不同?
13、什么是虚警(False Positive)?
14、什么是漏警(False Nagative)?
15、检测率的含义是什么?如何表示?
16、虚警率的含义是什么?如何表示?
17、漏警率的含义是什么?如何表示?
18、报警信息的可信度含义是什么?如何表示?
19、目标系统处于安全状态的可信度含义是什么?如何表示?
20、报警信息的可信度通过贝叶斯定理如何计算?
21、目标系统处于安全状态的可信度通过贝叶斯定理如何计算?
22、报警信息可信度与虚警率和检测率有何关系?
23、检测系统最理想的情况是什么?
24、ROC曲线的作用是什么?
25、当系统的ROC曲线只是一个点时,表明什么?
26、ROC曲线中三个坐标点(0,0),(1,1),以及(0,1)分别表求什么含义?
第八章Snort分析
1、什么是snort?
2、snort由哪3个部分组成?
3、snort有哪些主要功能?
4、snort有哪3种工作模式?
5、snort在嗅探器模式下的基本命令?
6、snort在数据包记录器模式下的基本命令?
7、snort在网络入侵检测模式下的基本命令?
8、snort的规则分哪2部分?
9、snort规则的基本语法?
10、snort规则的简单设计?
第九章入侵检测的发展趋势
1、请至少说出5个入侵检测的研究领域
2、2003年Gartner公司副总裁Richard stiennon发表了一份《入侵检测灭亡,
入侵防御万岁》文中指出了IDS的一些固有的、难以克服的缺陷有哪些?
3、从产品价值角度讲入侵检测系统注重点是什么?入侵防御系统关注的重点是什么?
4、从产口的布署来看,IDS与IPS有何不同?
5、请列举入侵检测在三个方面的发展前景?
第八章入侵检测系统
第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
浅谈网络安全中入侵检测技术的应用
浅谈网络安全中入侵检测技术的应用 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时 也带来了全新的挑战。在网络安全问题备受关注的影响下,极大地促进了入侵检 测技术的应用与实施。通过入侵检测技术的应用,可以切实维护好计算机网络的 安全性与可靠性,避免个人信息出现泄漏、盗窃现象。本文主要阐述了入侵检测 技术,然后针对入侵检测技术在网络安全中的应用进行了研究,以供相关人士的 借鉴。 关键词:网络;安全;入侵检测技术;应用 目前,入侵检测技术在网络安全中得到了广泛的应用,发挥着不可比拟的作 用和优势,已经成为了维护网络安全的重要保障。在实际运行中,威胁网络安全 的因素比较多,带给了网络用户极大的不便。因此,必须要加强入侵检测技术的 应用,对计算机中的数据信息进行加密与处理,确保网络用户个人信息的完整性,创建良好的网络安全环境,更好地提升网络用户对网络的满意度。 1入侵检测技术的简述 1.1入侵检测的概述 入侵检测技术,是一种对计算机网络的程序进行入侵式的检测的先进技术, 它作为网络安全中第二道防线,起到保护计算机网络安全的作用。入侵检测是通 过收集与分析安全日志、行为、审计和其他可获得的信息以及系统的关键信息, 以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。 它开展保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络 安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络 系统异常行为的统计和分析4个步骤。入侵检测技术能够同时完成实时监控内部 攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对 网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积 极动态网络安全防护技术。 1.2入侵检测技术的特性 入侵检测技术基本上不具有访问控制的能力,这一技术就像拥有多年经验的 网络侦查员,通过对数据的分析,从数据中过滤可疑的数据包,将正常使用方式 与已知的入侵方式进行比较,来确定入侵检测是否成功。网络安全管理员根据这 些判断,就可以确切地知道所受到的攻击,并采取相应的措施来解决这一问题。 入侵检测系统是网络安全管理员经验积累的一种体现,减轻了网络安全管理员的 负担,降低了网络安全管理员的技术要求,并且提高了电力信息网络安全管理的 有效性和准确性。其功能有:①监视用户和系统的功能,查找非法用户合合法用户的越权操作。②审计系统配置的正确性和安全漏洞,并提示管理员修补后动。③对用户的非正常活动进行统计分析,发现入侵行为的规律。④操作系统的审 计跟踪管理,能够实时地对检测到的入侵行为进行反应,检查系统程序和数据的 一致性与正确性。 1.3入侵检测技术的流程 具体如下图1所示。现如今网络安全问题已经引起了社会各界人士的广泛关注,如何在发挥计算机数据库功能的同时避免其遭受病毒的侵袭,需要技术人员 给予足够的重视,不断提高自身的技术水平,了解入侵检测技术原理并实现技术 的合理使用,最为关键的是要严格按照应用流程进行操作,具体操作要点包括如 下几个步骤:①攻击者可以先通过某种方式在网络上注入网络攻击行为;②如果攻
网络安全技术习题及答案 入侵检测系统
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
安全审计与入侵检测报告
安全审计与扫描课程报告
姓名: 学号: 班级:指导老师:基于入侵检测技术的网络安全分析一、简述网络安全技术发展到今天,除了防火墙和杀毒系统的防护,入侵检测技术也成为抵御黑客攻击的有效方式。尽管入侵检测技术还在不断完善发展 之中,但是入侵检测产品的市场已经越来越大,真正掀起了网络安全的第三股热潮。入 侵检测被认为是防火墙之后的第二道安全闸门。IDS 主要用来监视和分析用户及系统的 活动,可以识别反映已知进攻的活动模式并向相关人士报警。对异常行为模式,IDS 要 以报表的形式进行统计分析。 、入侵检测模型 Denning 于1987 年提出一个通用的入侵检测模型(图1-1) 。该模型由以下六个主要部分组成: (l) 主体(Subjects): 启动在目标系统上活动的实体,如用户; (2) 对象(Objects): 系统资源,如文件、设备、命令等; ⑶审计记录(Audit records):由vSubject , Action , Object , ExceptionCondition , Resource-Usage, Time-stamp>构成的六元组,活动(Action) 是主体对目标的操作,对操作系统而言,这些操作包括读、写、登录、退出等; 异常条件(Exceptio n-Co nditio n) 是指系统对主体的该活动的异常报告,如违反系统 读写权限; 资源使用状况(Resource--Usage) 是系统的资源消耗情况,如CPU、内存使用率等;时标(Time-Stamp)是活动发生时间; (4) 活动简档(Activity Profile): 用以保存主体正常活动的有关信息,具体实现依赖于检测方法,在统计方法中从事件数量、频度、资源消耗等方面度量,可以使用方差、马尔可夫模型等方法实现; (5) 异常记录(AnomalyRecord): 由(Event ,Time-stamp,Profile) 组成,用以表示异常事件的发生情况; (6) 活动规则:规则集是检查入侵是否发生的处理引擎,结合活动简档用专家系统或统计方法等分析接收到的审计记录,调整内部规则或统计信息,在判断有入侵发生时采取相应的措施。?
入侵检测技术课后答案
第1章入侵检测概述 思考题: (1 )分布式入侵检测系统(DIDS )是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最 初概念是米用集中式控制技术,向DIDS中心控制器发报告。 DIDS 解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS 允许用户在该环境中通过自动跨越被监视的网络跟踪和得到 用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模 型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: 监控、分析用户和系统的活动; 审计系统的配置和弱点; 评估关键系统和数据文件的完整性; 识别攻击的活动模式; 对异常活动进行统计分析; 对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。 如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。入侵检
入侵检测技术综述
入侵检测技术综述 胡征兵1Shirochin V.P.2 乌克兰国立科技大学 摘要 Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技术-入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的IDS公司和产品。 关键词入侵检测入侵检测系统网络安全防火墙 1 引言 随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对安全解决方案的需求急剧增长。这些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问。虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或恶意的经授权用户却无能为力。企业经常在防火墙系统上投入大量的资金,在Internet入口处部署防火墙系统来保证安全,依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性[1]。 2 入侵检测的概念、模型 入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。 入侵检测的研究最早可以追溯到詹姆斯·安德森[1]在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础 , 他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。 Denning[2]在1987年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。 ●信息来源(Information Source):为检测可能的恶意攻击,IDS所检测的网络或系统必须能提供足够的信息给IDS,资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。 ●分析引擎(Analysis Engine):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。 ●响应模组(Response Component):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。 3 入侵检测系统的分类 入侵检测系统依照信息来源收集方式的不同,可以分为基于主机(Host-Based IDS)的和基于网络(Network-Based IDS);另外按其分析方法可分为异常检测(Anomaly Detection,AD)和误用检测(Misuse Detection,MD),其分类架构如图1所示: 图 1. 入侵检测系统分类架构图
入侵检测安全解决方案
它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中,管理简单方便,安全控制要求不高的场合。在服务器网络中,有目录服务器、邮件服务器等通过核心交换机,在经过防火墙与外网服务器相连,在通过外网防火墙与互联网相连。 网络拓扑结构安全性考虑 网络拓扑结构与网络的安全性关系很大,如果设备再好,结构设计有问题,比如拓扑结构不合理,使防火墙旋转放置在网络内部,而不是网络与外部的出口处,这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构,也就是使其进出口减少了收缩,把防御设备放置到网络的出入口,特别是防火墙和路由器,一定要放置在网络的边缘上,且是每个出入口均要有。 内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有: 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。 2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。 因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。
入侵检测算法三大分类(重要)
入侵检测算法三大分类(重要) 入侵检测系统(IDS,Intrusion Detection System)就是利用入侵检测技术发现计算机或网络中存在的入侵行为和被攻击的迹象的软硬件系统。区别于防火墙,入侵检测系统是一种主动防御的系统,能够更加及时地主动发现非法入侵并报警和采取应急措施,是人们研究的热点领域。 当前研究入侵检测系统的核心是对其算法的研究,人们的工作也大多集中于此。对于算法研究的目标是降低入侵检测系统的误报、漏报率和提升系统的运行效率。由于各种算法都有其局限性的一面,而具体的网络使用环境各不相同,这也是阻碍入侵检测系统商业应用的重要障碍,寻找一种具有适用性更广泛的算法也是研究工作的重要内容,对当前入侵检测算法研究现状进行综合考虑是十分必要的。本文从当前入侵检测算法的热点领域入手,依据入侵检测系统种类对当前流行的算法进行分类并详细介绍研究现状。 入侵检测算法分类 当前入侵检测算法多种多样,其中以关联规则、聚类和支持向量机等算法为代表的数据挖掘技术是当前研究的重点方面,另外,人工智能算法也在逐渐引起人们的注意。对入侵检测算法进行分类,首先考虑入侵检测系统的分类。入侵检测系统的分类有多种方法,如根据审计对象的不同,可分为基于网络的IDS、基于主机的IDS和基于网络/主机混合型IDS;按照系统的体系结构可以分为集中式和分布式入侵检测系统;按照检测技术可分为误用检测和异常检测两类。由于检测技术实际上指的就是所使用的入侵检测算法,所以这里主要考虑按照检测技术分成的误用检测和异常检测的分类方法。另外随着人们对人工智能算法在入侵检测系统中应用研究的开展,这类系统呈现出与前两类不同的一些特性。因此将当前入侵检测算法归结为误用检测算法、异常检测算法和人工智能算法三类,具体情况如图1。图1给出了入侵检测算法的分类。下面就误用检测、异常检测和人工智能算法三种入侵检测算法分别进行介绍。 误用检测算法 误用检测的基本原理是将已知的入侵行为和企图进行特征抽取,提取共同模式并编写进规则库,再将监测到的网络行为与库进行模式匹配,如果特征相同或相似,就认为是入侵行为或者企图,并触发警报。模式匹配是这类系统所采用的方法,如图1所示。 Snort入侵检测系统是一种典型的误用检测系统。它是在Libcap基础上研发的较为成熟的轻量级入侵检测系统,具有尺寸小、易于安装、便于配置、功能强大、使用灵活等特点。该系统采用的算法是模式匹配,因此人们的研究主要是集中在对模式匹配算法的优化上。例如:黄侃【1】对BM算法进行了优化,能够有效节省Snort系统的运算时间,提高系统性能,BM算法是Snort入侵检测系统中重要的字符串匹配算法。郝伟臣【2】给出一种基于哈希算法的匹配算法应用于Snort系统,取得了较好的效果。 该方法具有低误报率的优点,但是不能检测出规则库中不存在的入侵行为和企图,即无法检测未知的攻击。 异常检测算法 异常检测是通过建立一个主体正常行为的模型,将攻击行为作为异常活动从大量的正常活动中检测出来,达到对攻击行为检测的目的,其显著的优点是对未知攻击的检测。 数据挖掘是指从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、人们不知道的但又是潜在有用的信息和知识的过程。这一点与异常检测所要求的对未知入侵和威胁的检测是相一致的。随着数据挖掘算法的发展,其在入侵检测领域中的应用愈加深入,受到人们研究的关注。当前流行的数据挖掘技术是异常检测算法研究的主要领域,如图1所示,其中以关联规则、聚类和支持向量机等算法尤其具有代表性。下面就各种有代表性的算法进行介绍。
入侵检测
入侵检测系统及部署 一.什么是入侵检测系统? 入侵检测系统(intrusion detection system,简称“IDS”),是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。 图 1 入侵检测系统 二.入侵检测系统的主要功能 IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。IDS 入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。[1]这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。 图 2 入侵检测系统的主要功能
三.入侵检测系统的分类 根据检测数据的采集来源,入侵检测系统可以分为:基于网络的入侵检测系统(NIDS) 和基于主机的入侵检测系统(HIDS)。 基于主机的入侵检测系统(HIDS):HIDS一般是基于代理的,即需要在被保护的系统上安装一个程序。HIDS用于保护关键应用的服务器,实时监视可疑的连接、系统日志、非法访问的闯入等,并且提供对典型应用的监视。 图 3 基于主机的入侵检测系统 基于网络的入侵检测系统(NIDS):NIDS捕捉网络传输的各个数据包,并将其与某些已知的攻击模式或签名进行比较,从而捕获入侵者的入侵企图。NIDS可以无源地安装,而不必对系统或网络进行较大的改动。 图 4 基于网络的入侵检测系统 入侵检测系统还可以分为:异常检测和滥用检测两种,然后分别对其建立检测模型异常检测:在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”,并如何做出具体决策。从理论上说,这种系统通常只能检测邮出系统有问题产生,而并不知道产生问题的原因所在。
入侵检测技术 课后答案
习题答案 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理 –– 1
入侵检测系统
入侵检测系统 1. 引言 1.1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
精编【安全生产】入侵检测技术和防火墙结合的网络安全探讨
第9卷第2期浙江工贸职业技术学院学报V ol.9 No.2 2009年6月JOURNAL OF ZHEJIANG INDUSTRY&TRADE VOCATIONAL COLLEGE Jun.2009 【安全生产】入侵检测技术和防火墙结合的网络安全探讨 xxxx年xx月xx日 xxxxxxxx集团企业有限公司 Please enter your company's name and contentv
入侵检测技术和防火墙结合的网络安全探讨 陈珊陈哲* (浙江工贸职业技术学院,温州科技职业学院,浙江温州325000) 摘要:本文指出了目前校园网络安全屏障技术存在的问题,重点分析了IDS与防火墙结合互动构建校园网络安全体系的技术优势,并对IDS与防火墙的接口设计进行了分析研究。 关键词:防火墙;网络安全;入侵检测 中图文分号:TP309 文献标识码:A文章编号:1672-0105(2009)02-0061-05 The Discussion of Security Defence Based on IDS and Firewall Chen Shan, Chen Zhe (Zhejiang Industrial&Trade Polytechnic, Wenzhou Science and Technology Vocaitional College,Wenzhou Zhejiang 325000) Abstract: This essay points out the problem in current security defence technology of campus network, which focuses on the technology advantages of combine and interaction of firewall and IDS (Intrusion Detection System) to build 120 campus network security system, and it also analyses and studies the interface design of firewall and IDS. Key Words: Firewall; Network Security; IDS (Intrusion Detection Systems) 随着国际互联网技术的迅速发展,校园网络在我们的校园管理、日常教学等方面正扮演着越来越重要的角色,为了保护学校内部的机密信息(如人事安排、档案、在研课题、专利、纪检报告等),保证用户正常访问,不受网络黑客的攻击,病毒的传播,校园网必须加筑安全屏障,因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。 一、目前校园网络安全屏障技术存在的问题 一)防火墙技术的的缺陷 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,它越来越多被地应用于校园网的互联环境中。是位于两个信任程度不同的网络之间(如校园网与Internet之间)的软件或硬件设备的组合,它对网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但也必须看到,作为一种周边安全机制,防火墙无法监控内部网络,仅能在应用层或网络层进行访问控制,无法保证信息(即通信内容)安全,有些安全威胁是 *收稿日期:2009-3-9 作者简介:陈珊(1975- ),女,讲师,研究方向:计算机科学。
入侵检测设备运行安全管理制度(2020版)
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 入侵检测设备运行安全管理制 度(2020版) Safety management is an important part of production management. Safety and production are in the implementation process
入侵检测设备运行安全管理制度(2020版) 第一章总则 第一条为保障海南电网公司信息网络的安全、稳定运行,特制订本制度。 第二条本制度适用于海南电网公司信息网络的所有入侵检测及相关设备管理和运行。 第二章人员职责 第三条入侵检测系统管理员的任命 入侵检测系统管理员的任命应遵循“任期有限、权限分散”的原则; 系统管理员的任期可根据系统的安全性要求而定,最长为三年,期满通过考核后可以续任; 必须签订保密协议书。 第四条入侵检测系统管理员的职责
恪守职业道德,严守企业秘密;熟悉国家安全生产法以及有关信息安全管理的相关规程; 负责入侵检测系统的管理、更新和事件库备份、升级; 负责对入侵检测系统发现的恶意攻击行为进行跟踪处理; 根据网络实际情况正确配置入侵检测策略,充分利用入侵检测系统的处理能力; 密切注意最新网络攻击行为的发生、发展情况,关注和追踪业界公布的攻击事件; 遵守入侵检测设备各项管理规范。 第三章用户管理 第五条只有入侵检测系统管理员才具有修改入侵检测设备策略配置、分析的权限。 第六条为用户级和特权级模式设置口令。不能使用缺省口令,确保用户级和特权级模式口令不同。 第七条入侵检测设备口令长度应采用8位以上,由非纯数字或字母组成,并定期更换,不能使用容易猜解的口令。
入侵检测系统中两种异常检测方法分析【我的论文】_百度文库(精)
网络入侵检测系统的研究 摘要:随着互联网络的广泛应用,网络信息量迅速增长,网络安全问题日趋突出。入侵检测作为网络安全的重要组成部分,已成为目前研究的热点,本文介绍了入侵检测系统的概念、功能、模式及分类,指出了当前入侵检测系统存在的问题并提出了改进措施,特别是针对异常入侵检测方法的研究,着重分析了基于神经网络的和层次聚类的异常检测方法,并从理论和试验层次队两种检测技术进行分析比较,客观分析了两种算法的优缺点。同时预测了入侵检测系统的发展趋势。 关键词:入侵检测;入侵检测系统;BP神经网络;层次聚类;网络安全。 在基于网络的计算机应用给人们生活带来方便的同时,网上黑客的攻击活动正以每年10倍的速度增长,因此,保证计算机系统、网络以及整个信息基础设施的安全已经成为刻不容缓的重要课题。 防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用,其主要功能石控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,由于性能的限制,防火墙通常不能提供实时的入侵检测能力,为了弥补防火墙存在缺陷,引入了入侵检测 IDS( Intrusion Detection System 技术。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的检测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提供对内部攻击、外部攻击和误操作的实时保护。 一、入侵检测系统的概念
入侵检测定义为识别为被授权使用的计算机系统和有合法权利使用系统但却滥用特权的过程。即通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从而发现是否有违反安全策略的行为和被入侵的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。一个入侵检测产品通常由两部分组成,即传感器与控制台。传感器负责采集数据、分析数据并生成安全时间;控制台主要起到中央管理作用。商品化的产品通常提供图形界面的控制台,这些控制台基本上都支持Windows NT平台。 入侵检测系统的主要功能有:1、监视、分析用户及系统活动;2、核查系统配置和漏洞;3、识别已知进攻并向相关人员报警;4、统计分析异常行为;5、评估重要系统和数据的完整性; 6、操作系统日志管理,并识别违反安全策略的用户活动。 二、入侵检测系统模型 美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型。该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较。如果有较大偏差,则表示有异常活动发生:这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。通用入侵检测架构(CIDF)组织,试图将现有的入侵检测系统标准化,阐述了一个入侵检测系统分为以下4个组件:事件产生器、事件分析器、相应单元和事件数据库,同时将需要分析的数据统称为事件。事件可以是基于网络的数据包,也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其他部分提供此事件;事件分析器分析得到的事件并产生分析结果;响应单元则是队分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应;事件数据库是存放各种中间和最终数据地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
网络安全之入侵检测技术
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
网络安全现场检测表---入侵检测
测评中心控制编号:BJ-4122-08 / 修改记录:第0次 编号:BC-2012-1019/19 重要信息系统安全等级测评 现场检测表 被测单位名称: 被测系统名称: 测试对象编号: 测试对象名称: 配合人员签字: 测试人员签字: 核实人员签字: 测试日期: 测评中心 测试类别等级测评(二级) 测试对象 测试类网络安全 测试项安全审计 测试要求: 1.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 2.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他和审计相关的信 息。 测试内容: 1.应访谈安全审计员,询问边界和关键网络设备是否开启审计功能,审计内容包括哪些项;询 问审计记录的主要内容有哪些; 2.应检查边界和关键网络设备,查看其审计策略是否包括网络设备运行状况、网络流量、用户 行为等; 3.应检查边界和关键网络设备,查看其事件审计记录是否包括:事件的日期和时间、用户、事 件类型、事件成功情况及其他和审计相关的信息。
1.入侵检测设备是否启用系统日志功能? □否□是 2.网络中是否部署网管软件? □否□是,软件名称为:________________ 3.日志记录是否包括设备运行状况、网络流量、用户行为等? □否□是 4.日志审计内容包括: □时间 □类型 □用户 □事件类型 □事件是否成功 □其他_________ 备注: 测试类别等级测评(二级) 测试对象 测试类网络安全 测试项入侵防范 测试要求: 1)能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、 缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵事件的发生。 测试内容: 1)访谈安全管理员,询问网络入侵防范措施有哪些;询问是否有专门设备对网络入侵进行防范; 2)评测网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻 击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等; 3)评测网络入侵防范设备,查看其规则库是否为最新; 4)测试网络入侵防范设备,验证其检测策略是否有效。