第二讲 入侵检测技术的分类
网络安全中的入侵检测技术
网络安全中的入侵检测技术随着互联网的普及和发展,网络安全问题变得愈加重要。
入侵行为是指未经授权的用户或程序进入计算机系统的行为,对系统造成威胁。
为了保护网络安全,必须及时检测和阻止入侵行为。
因此,入侵检测技术变得至关重要。
本文将重点介绍常见的入侵检测技术,并分析其优势和劣势。
一、入侵检测技术分类入侵检测技术可以分为两大类:基于特征的入侵检测和基于行为的入侵检测。
1. 基于特征的入侵检测基于特征的入侵检测是通过事先定义好的入侵特征进行检测。
该方法依赖于特征数据库,在数据库中存储了各类已知入侵的特征模式。
当网络流量中的特征与数据库中的特征匹配时,就判断为可能的入侵行为。
基于特征的入侵检测方法可以高效地识别已知特征模式,但对于未知入侵行为的检测能力较弱。
2. 基于行为的入侵检测基于行为的入侵检测不依赖于特定的入侵特征,而是对系统的正常行为进行建模,通过检测异常行为来判断是否存在入侵行为。
该方法可以检测到未知的入侵行为,但也容易误报。
基于行为的入侵检测技术需要对系统进行长期的学习,以建立准确的行为模型。
二、常见的入侵检测技术1. 签名检测签名检测是基于特征的入侵检测方法的一种。
它通过比对网络流量中的特征与已知入侵模式的特征进行匹配,从而判断是否存在入侵行为。
签名检测方法准确度较高,但对于未知的入侵行为无法进行检测。
2. 异常检测异常检测是基于行为的入侵检测方法的一种。
它通过对系统正常行为进行学习,建立正常行为模型,当系统行为与模型不一致时,判断为异常行为。
异常检测可以发现未知入侵行为,但容易受到正常行为的波动和误报干扰。
3. 统计分析统计分析方法是基于行为的入侵检测方法的一种。
它通过对网络流量的统计特征进行分析,判断是否存在异常行为。
统计分析方法可以发现一些隐藏的入侵行为,但对于复杂的入侵行为需要更高级的分析算法。
三、入侵检测技术的优缺点1. 基于特征的入侵检测技术具有以下优点:- 准确性高:通过匹配特征数据库中的模式,可以准确地识别已知入侵行为;- 检测速度快:由于采用了特征匹配,可以快速进行入侵检测。
《入侵检测技术理论》课件
经过一段时间的实施,企业的网络安全得到了显著提升,未再发生数据 泄露和业务中断的情况。入侵检测系统成功地检测并阻止了多次恶意攻 击,保障了企业的正常运营。
云服务提供商安全防护案例
案例保障客户数据的安全,需要加强自身的安全防护能力。
解决方案
不足
依赖于特征库的完备性,对未知攻击的检测能力有限。
03
CATALOGUE
入侵检测技术应用
企业网络安全防护
企业网络安全防护是入侵检测技术应用的重要领域之一。通过部署入侵检测系统,企业可以实时监测 网络流量和异常行为,及时发现并应对潜在的安全威胁,保护关键业务和数据资产。
企业入侵检测系统需要具备高性能、高可用性和可扩展性,以满足企业不断增长的网络规模和安全需 求。同时,企业需要制定完善的安全策略和应急响应计划,确保在发生安全事件时能够迅速应对。
THANKS
感谢观看
政府机构网络安全防护
政府机构网络安全防护是另一个重要 的入侵检测技术应用领域。政府机构 需要保护敏感信息、维持政府职能的 正常运转,因此需要部署高效的入侵 检测系统来监测和防范网络攻击。
VS
政府机构入侵检测系统需要具备高度 的可靠性和稳定性,以满足政府机构 对安全性的高要求。同时,政府机构 需要加强与其他安全机构的合作,共 同应对网络安全威胁。
《入侵检测技术理论》 PPT课件
CATALOGUE
目 录
• 入侵检测技术概述 • 入侵检测技术原理 • 入侵检测技术应用 • 入侵检测技术挑战与展望 • 案例分析
01
CATALOGUE
入侵检测技术概述
入侵检测技术的定义
入侵检测技术
是一种用于检测、发现、记录和报告网 络系统中未授权或异常行为的安全技术 。
3入侵检测系统分类(新)
Web Servers
Servers
20
Internet
网络入侵检测系统:使用原
NIDS NIDS 始的网络分组数据包作为攻
防火墙
击分析的数据源,通常利用 工作在混杂模式下的网段上 的通信业务,通过实时捕获
网络数据包,进行分析,能
Web 服务器 Mail 服务器
交换机
够检测该网段上发生的入侵
Web 服务器
最适合于检测那些可以信赖的内部人员的误用以 及已经避开了传统的检测方法而渗透到网络中的 活动。 能否及时采集到审计记录。
如何保护作为攻击目标的HIDS。
18
基于网络的入侵检测系统
随着计算机网络技术的发展,单独依靠主机入侵
检测难以适应网络安全需求。在这种情况下,人 们提出了基于网络的入侵检测系统。 基于网络的入侵检测系统根据网络流量、网络数 据包和协议来分析检测入侵 。
基于主机的信息源
操作系统的审计记录仍然是基于主机的数据源的 首选数据源。原因是:
审计记录的结构化组织工作以及保护机制,提供了安全
的可信数据源。 审计记录提供在系统内核级的事件发生情况,反映的是 系统底层的活动情况并提供了相关的详尽信息,从而允 许入侵检测系统能够辨识所有用户活动的微细活动模式, 为发现潜在的异常行为特征奠定了良好的基础。
入侵检测的分类(4)
按照工作方式
离线检测:非实时工作,在行为发生后,对产生 的数据进 行分析。(成本低,可分析大量事件、 分析长期情况;但无法提供及时保护) 在线检测:实时工作,在数据产生的同时或者发 生改变时进行分析(反应迅速、及时保护系统; 但系统规模较大时,实时性难以得到实际保证)
32
不需要对每种入侵行为进行定义,因此能有效检 测未知的入侵; 系统能针对用户行为的改变进行自我调整和优化, 但随着检测模型的逐步精确,异常检测会消耗更 多的系统资源。
网络入侵检测技术
网络入侵检测技术网络入侵检测技术(Intrusion Detection System,简称IDS)是一种保护网络安全的重要手段。
随着网络的迅速发展和应用,网络安全问题日益突出,各种网络攻击活动不断涌现,给个人和企业带来严重风险。
因此,网络入侵检测技术的研究和应用变得尤为重要。
一、网络入侵检测技术的基本原理网络入侵检测技术主要通过监控网络流量和系统日志,识别并响应计算机网络中的恶意活动。
其基本原理分为两类:基于签名的入侵检测(Signature-based IDS)和基于行为的入侵检测(Behavior-based IDS)。
1. 基于签名的入侵检测基于签名的入侵检测采用特定的模式序列(即签名)来识别已知的攻击活动。
该技术通过与预先存储的签名数据库进行匹配,从而检测网络中的入侵行为。
它能够有效识别常见的攻击类型,但对于新型攻击缺乏有效识别能力。
2. 基于行为的入侵检测基于行为的入侵检测则通过分析和建模网络中的正常行为模式,并根据不正常的行为模式来识别入侵行为。
这种方法不依赖于已知的攻击特征,对未知攻击具有较好的应对能力。
然而,由于需要建立和维护复杂的行为模型,基于行为的入侵检测技术相对较为复杂和耗时。
二、网络入侵检测技术的分类根据部署位置和监测对象的不同,网络入侵检测技术可以分为网络入侵检测系统(Network IDS,NIDS)和主机入侵检测系统(Host IDS,HIDS)。
1. 网络入侵检测系统网络入侵检测系统是部署在网络边界或内部的设备,用于监测网络中的恶意流量和攻击行为。
它可以实时分析网络流量数据,发现可疑活动并及时采取措施。
网络入侵检测系统通常使用深度包检测(Deep Packet Inspection,DPI)技术,能够检测到传输层以上的攻击。
2. 主机入侵检测系统主机入侵检测系统是运行在主机上的软件程序,主要监测主机系统的安全状态和异常行为。
它通过监测主机上的日志、文件和系统调用等信息,检测入侵行为并及时发出警报。
第二讲入侵检测技术的分类
第二讲入侵检测技术的分类第一节入侵检测的信息源对于入侵检测系统而言,输入数据的选择是首要解决的问题:⏹入侵检测的输出结果,取决于所能获得的输入数据的数量和质量。
⏹具体采用的入侵检测技术类型,也常常因为所选择的输入数据的类型不同而各不相同。
几种常用输入数据来源▪操作系统的审计记录▪系统日志▪应用程序的日志信息▪基于网络数据的信息源▪其它的数据来源操作系统的审计记录▪在入侵检测技术的发展历史中,最早采用的用于入侵检测任务的输入数据源▪操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的,其目的是记录当前系统的活动信息,并将这些信息按照时间顺序组织成为一个或多个审计文件。
▪不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。
▪操作系统审计机制的设计和开发的初始目标,并不是为了满足后来才出现的入侵检测技术的需求目的,因此无法提供所需的关键事件信息(不足),或者是提供了冗余的记录信息(过)。
操作系统审计记录做为是基于主机入侵检测技术的首选数据源的原因:⏹安全性有保障。
操作系统的审计系统在设计时,就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制,因此操作系统审计记录的安全性得到了较好的保护。
⏹没有经过高层抽象、详尽。
操作系统审计记录提供了在系统内核级的事件发生情况,反映的是系统底层的活动情况并提供了相关的详尽信息,为发现潜在的异常行为特征奠定了良好的基础。
审计记录的优点▪可信度高⏹得益于操作系统的保护▪审计记录没有经过高层的抽象⏹最“原始”的信息来源⏹了解系统事件的细节⏹实现准确的入侵匹配⏹不易被篡改和破坏审计记录的问题▪过于细节化的问题▪缺乏足够细节的问题▪缺乏说明文档▪不同系统审计记录的不兼容审计记录级别审计记录内容▪响应事件的主题和涉及事件的目标信息⏹主体⏹对象⏹进程⏹用户id⏹系统调用的参数⏹返回值⏹特定应用事件的数据⏹...OS审计纪录示例之一—Sun Solaris BSM▪BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等信息▪其中审计日志由一个或多个审计文件组成,每个审计文件包含多个审计记录,而每个审计记录则由一组审计令牌(audit token)构成。
网络安全中的入侵检测技巧
网络安全中的入侵检测技巧网络安全是在信息时代中至关重要的一项任务。
随着互联网的发展,网络攻击的形式也日益复杂多样。
为了保护网络系统的安全,及时发现和阻止入侵行为是至关重要的。
因此,入侵检测成为网络安全的重要组成部分。
本文将介绍网络安全中的入侵检测技巧。
一、什么是入侵检测技术?入侵检测技术(Intrusion Detection Technology)指的是通过监控和分析网络流量、系统日志以及其他关键信息,识别和检测潜在的网络攻击和入侵行为。
入侵检测技术可以帮助管理员实时监测网络系统,并及时作出反应,以保证网络的安全。
二、入侵检测技术的分类入侵检测技术可以分为两大类别:基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。
1. 基于主机的入侵检测系统(HIDS)基于主机的入侵检测系统通过对主机上的操作系统和应用程序进行监控,检测潜在的入侵行为。
这些系统通常会分析主机上的日志、文件系统完整性和进程状态等信息,以寻找异常行为和异常模式。
它们可以提供更详细和更加全面的入侵检测信息,但也需要更多的资源来维护和监控。
2. 基于网络的入侵检测系统(NIDS)基于网络的入侵检测系统通过监控网络流量和网络通信来检测潜在的入侵行为。
这些系统通常会分析网络数据包的内容、协议和交互模式,以寻找异常行为和攻击模式。
它们可以在网络层面上提供实时的入侵检测和响应,但可能会错过主机上的一些细节信息。
三、常见的入侵检测技巧1. 签名检测签名检测是入侵检测的基本技术之一。
它根据已知的攻击特征和攻击行为的特征,使用特定的签名规则来识别和检测入侵行为。
这种技术可以比较准确地检测已知的攻击,但对于未知的攻击行为则无法有效应对。
2. 异常检测异常检测是一种基于统计和机器学习算法的技术,它可以识别网络中的异常行为。
该方法通过学习正常的网络和系统行为的模式,当检测到与正常行为不符的行为时,将其标记为潜在的入侵行为。
这种方法可以发现新型的攻击行为,但也容易产生误报。
入侵检测技术
入侵检测技术入侵检测技术是信息安全领域中一项重要的技术,用于监测和防止未经授权的第三方对计算机系统、网络或应用程序的非法访问或攻击。
随着信息技术的发展和网络的普及,入侵检测技术的重要性日益凸显,它可以帮助企业和个人及时发现并应对潜在的安全风险。
入侵检测技术一般可分为两种类型:基于特征的入侵检测和基于行为的入侵检测。
基于特征的入侵检测通过事先确定的特征值或规则来判断是否存在入侵行为。
这种方法需要建立一个特征数据库,并从传感器或网络流量中提取特征,然后与数据库中存储的特征进行匹配。
如果匹配成功,则认为存在入侵行为。
特征值可以包括某个程序的特定代码段、网络流量的特定模式等。
基于行为的入侵检测技术则通过分析计算机或网络系统的正常行为模式,来判断是否存在异常行为。
这种方法通常需要先建立一个正常行为模型,并通过统计学方法或机器学习算法来分析新数据是否与模型一致。
如果发现异常行为,则可能存在入侵行为。
为了有效地进行入侵检测,研究人员和安全专家们提出了各种不同的方法和技术。
其中之一是基于网络流量分析的入侵检测技术。
这种方法通过监测网络中的数据流量,分析其中的异常行为来检测入侵。
例如,当网络中某个主机发送异常数量的请求或大量的无效请求时,很可能存在入侵行为,系统可以及时给予响应并阻止该行为。
另一种常见的入侵检测技术是基于主机日志的入侵检测。
这种方法通过监测主机日志中的异常行为,来判断是否存在入侵行为。
例如,当某个主机的登录次数异常增多、文件的访问权限异常变更等,都可能是入侵行为的迹象。
通过对主机日志进行实时监测和分析,可以及时发现并应对潜在的入侵。
除了上述的方法,还有很多其他的入侵检测技术,如基于模式识别的入侵检测、基于数据挖掘的入侵检测等。
不同的技术和方法适用于不同的场景和情况,需要根据实际需求和情况进行选择和应用。
虽然入侵检测技术可以有效地帮助企业和个人发现和应对安全风险,但它也面临着一些挑战和限制。
首先,随着网络技术的不断发展和攻击手法的不断更新,入侵检测技术需要不断更新和升级,以适应新形势下的安全需求。
信息安全工程师入侵检测技术可以分为哪两种
信息安全工程师入侵检测技术可以分为哪两种问:信息安全工程师入侵检测技术可以分为哪两种?答:入侵检测技术包括异常入侵检测和误用入侵检测。
一、异常入侵检测:异常检测(也称基于行为的检测)是指把用户习惯行为特征存储在特征库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差较大,则认为有异常情况发生。
异常入侵检测系统的目的是检测、防止冒名者(Masqueraders)和网络内部入侵者(Insider)的操作。
匿名者指的是网络内部或外部使启一个未被授权的账号的计算机操作者。
内部入侵者指的是使用合法账号但却越权使用或滥用资源的人。
异常检测的主要前提条件是将构建用户正常行为轮廓。
这样,若追过行为轮廓检测所有的异常活动,则可检测所有的入侵性活动。
但是,入侵性活动并不总是与异常活动相符合。
这种活动存在四种可能性:入侵性而非异常;非入侵性且异常;非入侵性且非异常;入侵性且异常。
二、误用入侵检测:误用检测一般是由计算机安全专家首先对攻击情况和系统漏洞进行分析和分类,然后手工的编写相应的检测规则和特征模型。
误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击,并可以通过捕获攻击及重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。
误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测。
入侵模式说明了那些导致安全突破或其他误用的事件中的特征、条件、排列和关系。
一个不完整的模式可能表明存在入侵的企图,模式构造有多种方式。
误用检测技术的核心是维护一个入侵规则库。
对于己知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且入侵模式库必须不断更新。
习题演练:入侵检测技术包括异常入侵检测和误用入侵检测。
以下关于误用检测技术的描述中,正确的是()。
A.误用检测根据对用户正常行为的了解和掌握来识别入侵行为B.误用检测根据掌握的关于入侵或攻击的知识来识别入侵行为C.误用检测不需要建立入侵或攻击的行为特征库D.误用检测需要建立用户的正常行为特征轮廓参考答案:B参考解析:误用检测是通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第二讲入侵检测技术的分类第二讲入侵检测技术的分类第一节入侵检测的信息源对于入侵检测系统而言,输入数据的选择是首要解决的问题:⏹入侵检测的输出结果,取决于所能获得的输入数据的数量和质量。
⏹具体采用的入侵检测技术类型,也常常因为所选择的输入数据的类型不同而各不相同。
几种常用输入数据来源▪操作系统的审计记录▪系统日志▪应用程序的日志信息▪基于网络数据的信息源▪其它的数据来源操作系统的审计记录▪在入侵检测技术的发展历史中,最早采用的用于入侵检测任务的输入数据源▪操作系统的审计记录是由操作系统软件内部的专门审计子系统所产生的,其目的是记录当前系统的活动信息,并将这些信息按照时间顺序组织成为一个或多个审计文件。
▪不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。
▪操作系统审计机制的设计和开发的初始目标,并不是为了满足后来才出现的入侵检测技术的需求目的,因此无法提供所需的关键事件信息(不足),或者是提供了冗余的记录信息(过)。
操作系统审计记录做为是基于主机入侵检测技术的首选数据源的原因:⏹安全性有保障。
操作系统的审计系统在设计时,就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制,因此操作系统审计记录的安全性得到了较好的保护。
⏹没有经过高层抽象、详尽。
操作系统审计记录提供了在系统内核级的事件发生情况,反映的是系统底层的活动情况并提供了相关的详尽信息,为发现潜在的异常行为特征奠定了良好的基础。
审计记录的优点▪可信度高⏹得益于操作系统的保护▪审计记录没有经过高层的抽象⏹最“原始”的信息来源⏹了解系统事件的细节⏹实现准确的入侵匹配⏹不易被篡改和破坏审计记录的问题▪过于细节化的问题▪缺乏足够细节的问题▪缺乏说明文档▪不同系统审计记录的不兼容审计记录级别审计记录内容▪响应事件的主题和涉及事件的目标信息⏹主体⏹对象⏹进程⏹用户id⏹系统调用的参数⏹返回值⏹特定应用事件的数据⏹...OS审计纪录示例之一—Sun Solaris BSM▪BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等信息▪其中审计日志由一个或多个审计文件组成,每个审计文件包含多个审计记录,而每个审计记录则由一组审计令牌(audit token)构成。
Windows 的系统事件事件日志的格式审计日志11..*审计文件审计记录审计令牌1*1*▪类型:事件查看器显示5种事件类型。
⏹错误、警告、信息、成功审核、失败审核▪日期:事件产生的详细日期。
▪时间:事件产生的详细时间,精确到秒。
▪来源:事件的生成者。
▪分类:对事件的分类,如系统事件、特权使用、登录/注销等▪事件:事件ID。
▪用户:用户名称。
▪计算机:计算机名称。
可以是本地计算机,也可以是远程计算机。
事件类型审计记录Windows审计管理审计数据的提炼▪操作系统的复杂化▪审计数据量的庞大▪审计数据的提炼、过滤、去冗余▪可信进程的审计记录精简系统日志和应用程序日志▪系统日志是反映各种系统事件和设置的文件▪系统使用日志机制记录下主机上发生的事情,无论是对日常管理维护,还是对追踪入侵者的痕迹都非常关键。
▪日志可分为操作系统日志和应用程序日志两部分。
系统日志的安全性▪系统日志的来源⏹产生系统日志的软件是在内核外运行的应用程序,易受到恶意的修改或攻击⏹而操作系统审计记录是由系统内核模块生成的▪系统日志的存储方式⏹存储在不受保护的文件目录里⏹审计记录以二进制文件形式存放,具备较强的保护机制▪提高系统日志的安全性:加密和校验机制应用程序日志▪应用程序日志通常代表了系统活动的用户级抽象信息,相对于系统级的安全数据来说,去除了大量的冗余信息,更易于管理员浏览和理解。
▪典型的有⏹Web服务器日志⏹数据库系统日志▪Web服务器通常支持两种标准格式的日志文件:⏹通用日志格式(CLF)⏹扩展日志文件格式(ELFF),除了CLF所定义的数据字段外,还扩展包含了其他的附加信息。
▪扩展日志文件格式(ELFF)基于网络数据的信息源▪近年来流行的商用入侵检测系统大多采用了网络数据作为其主要的输入数据源。
▪优势⏹占用资源少。
⏹在被保护的设备上不用几乎占用任何资源。
⏹通过网络被动监听的方式来获取网络数据包,作为入侵检测系统输入信息源的工作过程,对目标监控系统的运行性能几乎没有任何影响,并且通常无须改变。
⏹隐蔽性好⏹一个网络上的监测器不像一个主机那样显眼和易被存取,因而也不那么容易遭受攻击。
由于不是主机,因此一个基于网络的监视器不用去响应ping,不允许别人存取其本地存储器,不能让别人运行程序,而且不让多个用户使用它。
其它的数据来源▪安全产品提供的数据源▪网络设备提供的数据▪带外的信息源安全产品提供的数据源▪入侵检测系统采用其他安全产品的事件日志作为自己的输入数据源,可以凸现入侵检测在整个动态计算机安全模型中的关键角色和重要地位,显示出动态安全监控的能力在应付当前日益复杂的安全威胁模式中所发挥的不可或缺的作用。
▪以win7自带的防火墙为例网络设备提供的数据▪采用网络管理系统提供的信息⏹SNMP⏹主要的数据源。
⏹标准网管协议,其中的管理信息库是专门用于存放网络管理目的信息的地方,包含网络的配置信息(路由表、地址、名称等),以及大量关于网络系统性能和活动记账方面的信息(如用来记录在各个网络接口和各协议层上的网络流量的统计信息)⏹路由器⏹交换机带外的信息源▪“带外”(out of band)数据源通常是指由人工方式提供的数据信息。
⏹例如,系统管理员对入侵检测系统所进行的各种管理控制操作。
⏹除了上面所述的全部数据源之外,还有一种特殊的数据源类型,即来自文件系统的信息源。
信息源的选择问题▪根据入侵检测系统设计的检测目标来选择所需的输入数据源。
⏹如果设计要求检测主机用户的异常活动,或者是特定应用程序的运行情况等,采用主机数据源是比较合适的;⏹如果需要发现通过网络协议发动的入侵攻击就要采用来自网络数据的输入信息。
⏹如果系统设计要求监控整个目标系统内的总体安全状况等,此时就需要同时采用来自主机和网络的数据源▪在不影响目标系统运行性能和实现安全检测目标的前提下,最少需要多少信息,或者是采用最少数目的输入数据源。
第二节入侵检测技术的分类第三节按照信息源的分类,分为两类:a)基于主机的入侵检测b)基于网络的入侵检测第四节按照检测方法的分类a)滥用(misuse)入侵检测,又称为特征检测(Signature-based detection)i.分析各种类型的攻击手段,并找出可能的“攻击特征”集合。
ii.滥用入侵检测利用这些特征集合或者是对应的规则集合,对当前的数据来源进行各种处理后,再进行特征匹配或者规则匹配工作,如果发现满足条件的匹配,则指示发生了一次攻击行为。
b)异常(anomaly)入侵检测i.对攻击行为的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现。
滥用入侵检测▪滥用入侵检测的优点⏹与异常入侵检测相比,滥用入侵检测具备更好的确定解释能力,即明确指示当前发生的攻击手段类型,因而在诸多商用系统中得到广泛应用。
⏹滥用入侵检测具备较高的检测率和较低的虚警率,开发规则库和特征集合相对于建立系统正常模型而言,也要更方便、更容易。
▪滥用入侵检测的主要缺点⏹一般情况下,只能检测到已知的攻击模式异常入侵检测▪异常检测的优点⏹可以检测到未知的入侵行为⏹大多数的正常行为的模型使用一种矩阵的数学模型,矩阵的数量来自于系统的各种指标。
比如CPU使用率、内存使用率、登录的时间和次数、网络活动、文件的改动等。
▪异常检测的缺点⏹若入侵者了解到检测规律,就可以小心的避免系统指标的突变,而使用逐渐改变系统指标的方法逃避检测。
另外检测效率也不高,检测时间较长。
最重要的是,这是一种“事后”的检测,当检测到入侵行为时,破坏早已经发生了。
入侵检测技术的分类▪实时和非实时处理系统⏹非实时的检测系统通常在事后收集的审计日志文件基础上,进行离线分析处理,并找出可能的攻击行为踪迹,目的是进行系统配置的修补工作,防范以后的攻击。
实时处理系统实时监控,并在出现异常活动时及时做出反应。
实时是一个根据用户需求而定的变量的概念,当系统分析和处理的速度处于用户需求范围内时,就可以称为实时入侵检测系统。
第三节具体的入侵检测系统NFR NID 200ISS公司的RealSecure▪是一种混合入侵检测系统▪1996年,RealSecure首先被作为一种传统的基于传感器的网络入侵检测系统来开发▪1998年成为一种混合入侵检测系统▪多种响应方式▪ RealSecure小结▪ 入侵检测的信息源:五种⏹ OS 的审计记录(BSM 、Windows )、系统日志、应用程序日志、网络数据、带外数据▪ 入侵检测技术的分类:两种⏹ 数据源:基于主机和基于网络⏹ 检测方法:滥用和异常▪ 具体的入侵检测系统⏹ NFR NID, ISS RealSecure工作组管理器是入侵检测系统的中央控制点,负责配置、管理Sensor 以及Sensor 所产生的事件数据的处理等工作。
对Sensor 的管理是通过安全加密通道进行的。
包括:控制台、 企业数据库、事件收集器。