入侵检测和安全审计技术(先理论后举例)
网络安全领域中的入侵检测技术
网络安全领域中的入侵检测技术随着互联网的发展,网络安全成为人们极为关注的问题。
入侵检测技术是网络安全领域中的一个重要分支,它可以帮助我们发现网络中的攻击行为。
在本文中,我们将讨论入侵检测技术的一些基本概念、技术原理以及应用现状。
一、入侵检测技术的基本概念入侵检测技术(Intrusion Detection Technology,IDT)是指基于一定的规则或模型,利用计算机技术对网络中的攻击行为进行检测、识别和报告的技术。
入侵检测技术主要分为两种:基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)。
1. 基于主机的入侵检测系统基于主机的入侵检测系统是一种利用主机上的日志、配置和文件等信息来检测并识别攻击行为的技术。
它可以监测主机的各种事件,如登录、文件修改、进程创建等等,以此来发现恶意行为。
基于主机的入侵检测系统通常运行在被保护的主机上,可以及时发现、记录和报告异常事件。
2. 基于网络的入侵检测系统基于网络的入侵检测系统是一种利用网络中的数据包来检测并识别攻击行为的技术。
它可以监测网络中的数据流,依据规则或模型来判断是否存在异常数据流,以此来发现攻击行为。
基于网络的入侵检测系统通常部署在网络上的节点上,可以发现整个网络中的异常行为。
二、入侵检测技术的技术原理入侵检测技术的核心是识别网络中的恶意行为。
入侵检测技术根据检测对象的不同,其技术原理也有所不同。
1. 基于主机的入侵检测技术原理基于主机的入侵检测技术原理是利用主机上的系统日志、配置和文件等信息,通过分析这些信息来监测主机的各种事件。
基于主机的入侵检测技术可以分为两类:基于签名检测和基于行为分析。
基于签名检测的入侵检测技术是利用已知的攻击特征来进行匹配,以此来判断是否存在攻击行为。
第4章安全审计与入侵检测
一种是由系统本身自动执行的。 对入侵者采取反击行动、修正系统环境和收集
尽可能多的信息是主动响应的基本手段。
对入侵者采取反击行动
警告攻击者、跟踪攻击者、断开危险连接和对 攻击者的攻击是最严厉的一种主动反击手段。
这种响应方法有一定的风险:
审计的工作流程
根据相应的审计条件判断事件是否是审计事件。 对审计事件的内容按日志的模式记录到审计日 志中。对满足报警条件的事件向审计员发送报 警信息并记录其内容。当事件在一定时间内频 繁发生,满足逐出系统的条件值时,则将引起 该事件的用户逐出系统并记录其内容。审计员 可以查询、检索审计日志以形成审计报告。
者还要试图做什么。要完成这一点,需要对日 志做索引;需要滚动旧的日志以离线存储;需 要检索离线日志,并尽可能快地找出合适的日 志项。
4.1.6 安全审计系统的组成、 功能与特点
1.安全审计系统的组成
典型的安全审计系统包括:
✓ 事件辨别器:提供事件的初始分析,并决定是否把该事件传送给审 计记录器或报警处理器;
4.2.1 入侵检测概述
1.入侵检测概念
入侵是指任何企图危机资源的完整性、机密性 和可用性的活动,不仅包括发起攻击的人取得 超出合法范围的系统控制权,也包括收集漏洞 信息,造成拒绝服务等对计算机系统产生危害 的行为。
入侵检测(Intrusion Detection)的定义是指通 过从计算机网络或计算机系统中的若干关键点 收集信息并对其进行分析,从中发现网络或系 统中是否有违反安全策略的行为和遭到袭击的 迹象的一种安全技术。
2.入侵检测原理模型(续)
CIDF模型
图4-2 CIDF入侵检测模型
网络安全防护的入侵检测与防御技术
网络安全防护的入侵检测与防御技术随着互联网的发展,网络安全已经成为了人们日常生活中不可忽视的问题。
在这个信息时代,网络入侵事件频发,给个人和企业的财产和隐私带来了巨大的威胁。
因此,网络安全防护的入侵检测与防御技术显得尤为重要。
本文将介绍一些常见的网络入侵检测与防御技术,并探讨它们的应用和局限性。
一、入侵检测技术网络入侵检测系统(Intrusion Detection System,IDS)是用于监测和分析网络中恶意行为的一种安全设备,它能够进行流量分析和异常检测,及时发现和识别系统中的安全威胁。
常见的入侵检测技术主要包括以下几点:1. 签名检测签名检测是一种基于规则的检测方法,通过事先定义好的攻击特征库(也称为签名库)与实际流量进行比对,以发现与已知攻击模式相匹配的流量。
这种方法需要不断更新签名库,以适应不断变化的攻击模式。
优点是准确率高,缺点是无法检测未知攻击。
2. 异常检测异常检测是一种通过学习正常行为模式来检测异常行为的方法。
它通过对网络流量和系统行为进行建模,然后与实际流量进行比对,发现与模型不符的行为。
这种方法对于未知攻击有一定的检测能力。
但由于正常网络行为的复杂性,误报率较高。
3. 入侵行为识别入侵行为识别(Intrusion Behavior Recognition,IBR)是一种基于行为的检测方法,它通过分析攻击者的行为特征来识别入侵。
IBR 综合利用了签名检测和异常检测,能够有效检测出复杂的、未知的攻击行为。
二、入侵防御技术除了入侵检测技术,入侵防御也是保护网络安全的关键。
以下是几种常见的入侵防御技术:1. 防火墙防火墙是网络安全的基础设施,它通过过滤进出网络的数据包,控制网络流量。
防火墙根据预设的规则进行数据包的筛选和处理,对不符合规则的数据包进行拦截,从而实现对入侵的防御和控制。
2. 入侵防御系统入侵防御系统(Intrusion Prevention System,IPS)是在入侵检测系统的基础上发展而来的,它不仅能够检测到入侵行为,还可以主动阻止攻击者的恶意行为。
计算机网络的安全审计与入侵检测
计算机网络的安全审计与入侵检测在当今数字化时代,计算机网络的安全问题日益突出,网络入侵和数据泄露等威胁对个人和组织的信息资产造成了巨大的损失。
为了保护网络安全,安全审计和入侵检测技术应运而生。
本文将探讨计算机网络的安全审计和入侵检测的相关概念、模块和方法。
一、安全审计安全审计是通过对计算机网络进行系统性评估和检查,以确定网络中存在的潜在威胁,并提供相应的对策和修复建议的过程。
安全审计旨在发现和纠正网络中的漏洞,防止攻击者利用这些漏洞进行非法入侵。
安全审计通常涉及以下几个关键步骤:1. 收集信息:审计人员收集有关网络架构、系统配置和日志记录等方面的信息,以全面了解网络环境和可能存在的风险。
2. 分析评估:通过对收集到的信息进行分析和评估,确定网络中可能存在的安全弱点和潜在威胁。
3. 发现漏洞:利用各种工具和技术,发现网络系统中的漏洞和潜在风险,如弱密码、未经授权的访问以及漏洞利用等。
4. 提供对策:基于发现的漏洞和风险,安全审计人员提供相应的对策和建议,以修复漏洞并加强网络安全防护能力。
二、入侵检测入侵检测是指通过监控和分析网络流量和系统行为,检测和警告可能的网络入侵和安全违规行为。
入侵检测可以帮助及早发现入侵事件,并及时采取相应措施来阻止攻击并保护网络系统免受损害。
入侵检测主要分为以下两种类型:1. 基于签名的检测:通过比对已知攻击的签名或模式来检测网络流量中的恶意行为。
这种方法依赖于实时更新的攻击数据库,可以及时发现已知的入侵行为。
然而,对于未知的或零日攻击,基于签名的检测方法可能无法识别。
2. 基于行为的检测:该方法通过建立正常网络行为的基线,检测和分析与正常行为模式不符的异常活动。
基于行为的检测方法可以发现未知的入侵行为和零日攻击,具有较高的检测准确性。
然而,该方法也可能产生误报,需要更复杂的算法和模型。
三、安全审计与入侵检测的工具和技术安全审计和入侵检测的实施依赖于各种工具和技术,以下是其中一些常用的工具和技术:1. 审计工具:如漏洞扫描器、渗透测试工具和日志分析工具等,用于收集和分析网络中的信息,并发现漏洞和潜在威胁。
网络安全常见的入侵检测与防护技术
网络安全常见的入侵检测与防护技术随着互联网的普及与发展,网络安全问题逐渐引起人们的关注。
恶意攻击者利用各种手段试图入侵网络系统,盗取用户的个人信息和敏感数据。
因此,对于网络安全的防护措施显得尤为重要。
本文将介绍网络安全中常见的入侵检测与防护技术,帮助读者更好地了解和应对网络安全威胁。
一、入侵检测技术1. 审计与日志分析审计与日志分析技术是一种 pass on 技术,通过对网络活动的监控和记录,实时分析日志,可快速发现异常行为,提供入侵检测的基础。
它可以记录网络的访问请求、系统日志以及其他事件,并将其存储在安全服务器上供后续分析使用。
2. 异常检测技术异常检测技术通过建立网络行为的模型来检测异常情况。
它可以通过分析网络流量、系统性能、用户行为等多个方面的数据,识别出与正常行为不符的异常情况。
常见的异常检测方法有基于统计学的方法、机器学习方法和数据挖掘方法。
3. 基于签名的检测技术基于签名的检测技术属于传统的检测方法。
它通过预先定义的规则或模式匹配来检测已知的威胁行为。
然而,这种方法无法检测未知的入侵事件,且容易受到新型攻击的绕过。
4. 行为分析技术行为分析技术是一种基于行为特征的检测方法,可以检测出各种已知和未知的威胁行为。
它通过监测系统和网络的行为特征,如文件操作、进程启停等,发现异常行为并作出相应的响应。
二、入侵防护技术1. 防火墙防火墙是一种常见且重要的入侵防护技术,通过设置网络规则来控制网络流量,并阻止未授权的访问,从而保护内部网络免受外部攻击。
防火墙不仅能够检测和阻止恶意请求,还能对网络流量进行记录和日志分析。
2. 入侵检测系统(IDS)与入侵防御系统(IPS)IDS 和 IPS 是入侵防护的重要组成部分。
IDS 负责监控和检测网络中的异常活动,如病毒感染、漏洞利用等。
当发现异常活动时,IDS会发出警报,并将相关数据发送给管理人员。
IPS 具备 IDS 的功能,并能主动采取措施防止入侵事件的发生。
网络安全入侵检测技术
网络安全入侵检测技术1. 签名检测技术:签名检测技术是通过事先建立威胁特征库,然后利用这些特征对网络流量进行实时检测,当检测到与特征库中一致的特征时,就提示网络管理员有可能发生入侵。
这种技术主要依赖于先前收集到的攻击特征,因此对于新型攻击的检测能力较弱。
2. 行为检测技术:行为检测技术是通过对网络流量的行为模式进行分析,发现异常行为并据此判断是否发生入侵。
这种技术相对于签名检测技术更加灵活和适应不同类型的攻击,但也需要对网络的正常行为模式进行充分了解,否则容易产生误报。
3. 基于机器学习的检测技术:近年来,基于机器学习的检测技术在网络安全领域得到了广泛的应用。
这种技术通过训练模型识别网络攻击的模式,从而实现自动化的入侵检测。
由于机器学习技术的高度智能化和自适应性,因此可以更好地应对新型攻击和复杂攻击。
综上所述,网络安全入侵检测技术是保障信息安全的关键环节,不同的技术在不同场景下有其各自的优势和局限性。
在实际应用中,可以根据网络环境的特点和安全需求综合考量,选择合适的技术组合来构建完善的入侵检测系统,以应对日益复杂的网络安全威胁。
网络安全入侵检测技术一直是信息安全领域的重要组成部分,随着互联网的普及,网络攻击与入侵事件也愈发猖獗。
因此,网络安全入侵检测技术的研究与应用变得尤为重要。
4. 基于流量分析的检测技术:通过对网络流量的实时分析,包括数据包的内容、大小、来源和目的地等信息,来识别潜在的威胁和异常活动。
这种技术可以监控整个网络,发现异常行为并采取相应的防御措施。
然而,对于大规模网络来说,流量分析技术的计算成本和存储需求都非常高,因此需要针对性的优化和高效的处理算法。
5. 基于异常检测的技术:利用机器学习和统计学方法,建立网络的正常行为模型,通过与正常行为模型的比对,发现网络中的异常行为。
该技术能够发现全新的、未知的攻击形式,但也容易受到误报干扰。
因此,建立精确的正常行为模型和优化异常检测算法是该技术的关键挑战。
网络安全中的入侵检测与防护技术
网络安全中的入侵检测与防护技术随着互联网的快速发展,网络安全问题也日益突出。
恶意攻击者不断寻找入侵网络的机会,因此入侵检测与防护技术成为保护网络安全的重要手段。
本文将介绍网络安全中的入侵检测与防护技术,以帮助读者更好地了解和应对网络攻击。
一、入侵检测技术入侵检测技术是指通过监控和分析网络流量、系统日志等信息,识别潜在的安全威胁和攻击行为的技术。
它可以分为基于签名和基于行为的检测。
1.基于签名的检测基于签名的检测是通过事先定义的恶意软件、攻击代码等特征进行匹配,从而判定网络中是否存在已知的攻击行为。
这种方法的优点是检测准确率较高,但对于未知的攻击则无能为力。
2.基于行为的检测基于行为的检测是通过监控系统和网络的正常行为,建立正常行为模型,进而发现异常行为。
这种方法可以识别未知的攻击行为,但误报率较高,需要进行进一步的分析与判断。
二、入侵防护技术入侵防护技术是指采取各种手段和措施,保护网络不受入侵攻击的技术。
常见的入侵防护技术包括防火墙、入侵防御系统(IDS)和入侵防御系统(IPS)。
1.防火墙防火墙是网络边界上的第一道防线,通过控制进出网络的数据流,实现对流量的监控和过滤。
它可以根据预设的规则,对数据包进行通过或阻止的决策,避免一些已知的攻击行为。
2.入侵防御系统(IDS)入侵防御系统(IDS)通过监控网络流量、系统日志等信息,识别并报告潜在的入侵行为。
它可以主动地检测和分析异常流量,发现未知的攻击行为,并及时采取相应的措施,减少网络受到的损失。
3.入侵防御系统(IPS)入侵防御系统(IPS)在IDS的基础上实现了主动防御能力。
它不仅可以监控和检测潜在的攻击行为,还可以在发现攻击行为时,自动阻止其进一步对网络的侵害。
IPS可以根据预设的策略,对攻击者进行拦截,保护网络的安全。
三、综合应用在实际的网络安全防护中,入侵检测与防护技术通常需要综合应用。
首先,通过入侵检测技术,及时发现潜在的攻击行为。
其次,根据检测结果,采取相应的防护措施,如启动防火墙进行流量过滤,或者利用IPS对恶意流量进行拦截。
网络安全防御与入侵检测技术
网络安全防御与入侵检测技术在当今数字化时代,网络安全问题日益突出。
随着互联网的普及和依赖程度的增加,各种网络攻击也日益猖獗。
为了保护个人隐私、维护公司的商业利益以及国家的利益安全,网络安全防御和入侵检测技术变得至关重要。
一、网络安全防御技术1. 防火墙防火墙作为网络安全的第一道防线,用于监控网络流量并根据预设规则过滤非授权的访问。
防火墙可以对入站和出站流量进行检测和控制,有效防止恶意攻击和非法访问。
2. 入侵检测系统(IDS)和入侵防御系统(IPS)入侵检测系统通过监控和分析网络流量识别潜在的恶意行为,及时发现入侵行为并采取相应的措施。
入侵防御系统在检测到入侵行为后,还能主动对攻击者进行反制,阻止攻击行为的发展。
数据加密技术通过算法将原始数据转化为密文,只有具备相应密钥的人才能解密并获得明文。
数据加密技术可以在数据传输和存储过程中保护数据的机密性,有效防止数据被窃取和篡改。
二、入侵检测技术1. 网络流量分析网络流量分析是一种通过监测网络数据包的方式来检测潜在的入侵行为。
通过对网络流量进行深度分析,可以识别出异常网络行为并实时报警。
2. 主机入侵检测系统(HIDS)主机入侵检测系统通过在主机上安装专用软件,对主机实时进行监测和检查,以识别潜在的入侵行为。
HIDS可以监测主机上的文件变化、系统调用等行为,发现并阻止入侵行为。
异常检测技术通过对网络流量和系统行为的统计分析,构建正常行为模型,并对实时数据进行不断的比对和分析。
一旦发现超出正常行为模型的异常行为,即可判断为潜在的入侵行为。
4. 威胁情报分享威胁情报分享是指安全厂商、企业和组织之间共享潜在的威胁信息,通过建立庞大的威胁情报库,提升入侵检测的准确性和实时性。
通过共享威胁情报,可以更好地应对新型的网络攻击。
三、网络安全防御与入侵检测的挑战和发展趋势1. 挑战网络安全攻防战争日益激烈,黑客技术不断更新,对防御措施提出更高的要求。
同时,大规模的数据传输与存储给入侵检测带来了更大的挑战,需要更高效的算法和技术支持。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.按键监视(Keystroke Monitor )
按键监视是一种很简单的入侵检测方法, 用来监视攻击模式的按键。
4.Petric网状态转换
Petric网用于入侵行为分析是一种类似于状 态转换图分析的方法。利用Petric网的有利之处 在于它能一般化、图形化地表达状态,并且简洁 明了。虽然很复杂的入侵特征能用Petric网表达 得很简单,但是对原始数据匹配时的计算量却会 很大。
5.误用检测与异常检测的比较
前面介绍了基于异常和基于误用两种不同的检测方法, 下面简单地评述一下两者之间的差异:
❖ 异常检测系统试图发现一些未知的入侵行为,而误用 检测系统则是标识一些已知的入侵行为。
❖ 异常检测指根据使用者的行为或资源使用状况来判断 是否入侵,而不依赖于具体行为是否出现来检测;而误 用检测系统则大多数是通过对一些具体的行为的判断和 推理,从而检测出入侵。
2.模式匹配
基于模式匹配的入侵检测方式也像专家系统一样,也需 要知道攻击行为的具体知识。但是攻击方法的语义描述不 是被转化抽象的检测规则,而是将已知的入侵特征编码成 与审计记录相符合的模式,因而能够在审计记录中直接寻 找相匹配的已知入侵模式。这样就不像专家系统一样需要
处理大量数据,从而大大提高了检测效率
❖ 通常比较长期行为的概貌和短期行为的概貌检测出 异常后,只能模糊地报告存在异常,不能准确地报告 攻击类型和方式,因此也不能有效地阻止入侵行为。
❖ 通常基于异常的入侵监测系统首先要有一个学习过 程,这个过程是否能够正确反映对象的正常行为?因 为这个过程很可能会被入侵者利用。
这些问题使大多数此类的系统仍然停留在研究领 域。
4.2.2 基于误用的入侵检测方法
在介绍基于误用(misuse)的入侵检测的 概念之前,先看看误用(misuse)的含义,在 这里它指“可以用某种规则、方式或模型表示 的攻击或其它安全相关行为”。那么基于误用 的入侵检测技术的含义是:通过某种方式预先 定义入侵行为,然后监视系统的运行,并从中 找出符合预先定义规则的入侵行为。
4.第三方跟踪工具 (Netscan Pro ) 5.蜜罐技术
4.2 入侵检测系统
(IDS)的分析 方法
入侵分析的任务就是在提取到的庞大数据 中找到入侵的痕迹。入侵分析过程需要将提取到 的事件与入侵检测规则等进行比较,从而发现入 侵行为。一方面入侵检测系统需要尽可能多地提 取数据以获得足够的入侵证据,而另一方面由于 入侵行为的千变万化而导致判定入侵的规则等越 来越复杂,为了保证入侵检测的效率和满足实时 性的要求,入侵分析必须在系统的性能和检测能 力之间进行权衡,合理地设计分析策略,并且可 能要牺牲一部分检测能力来保证系统可靠、稳定 地运行,并具有较快的响应速度。入侵检测分析 技术主要分为两类:异常检测和误用检测。
响应单元
事件分析器
事件数据库
事件产生器
CDIF的模型
1、事件产生器
CDIF将IDS需要分析的数据统称为事件,它可以是网 络中的数据包,也可以是从系统日志或其它途径得到的信 息。事件产生器的任务是从入侵检测系统之外的计算环境 中收集事件,并将这些事件转换成CDIF的GIDO(统一入 侵检测对象)格式传送给其它组件。
2. 预测模式生成法
使用该方法进行入侵检测的系统,利用动态的规 则集来检测入侵,这些规则是由系统的归纳引擎,根 据已发生的事件的情况来预测将来发生的事件的概率 来产生的,归纳引擎为每一种事件设置可能发生的概 率。
3. 神经网络方法
利用神经网络检测入侵的基本思想是用一系列 信息单元(命令)训练神经单元,这样在给定一组 输入后,就可能预测出输出。与统计理论相比,神 经网络更好地表达了变量间的非线性关系,并且能 自动学习和更新。
4.1.1 入侵检测定义
1、定义
可以看到入侵检测的作用就在于及时地发现各 种攻击以及攻击企图并作出反应。我们可以给入侵 检测做一个简单的定义,入侵检测就是对(网络) 系统的运行状态进行监视,发现各种攻击企图、攻 击行为或者攻击结果,以保证系统资源的机密性、 完整性与可用性。
2、基本特性
▪经济性 ▪时效性 ▪安全性 ▪可扩展性
1、入侵检测系统的功能
❖ 监测并分析用户和系统的活动,查找非法用户 和合法用户的越权操作。
❖ 检查系统配置和漏洞,并提示管理员修补漏洞 (现在通常由安全扫描系统完成)。 ❖ 评估系统关键资源和数据文件的完整性。 ❖ 识别已知的攻击行为。 ❖ 统计分析异常行为。 ❖ 操作系统日志管理,并识别违反安全策略的用 户活动等。
❖ 异常检测的主要缺陷在于误检率很高,尤其在用户数 目众多或工作行为经常改变的环境中;而误用检测系统 由于依据具体特征库进行判断,准确度要高很多。
❖ 异常检测对具体系统的依赖性相对较小;而误用检测 系统对具体的系统依赖性太强,移植性不好。
4.3 入侵检测系
统 (IDS)结构
为了提高IDS产品、组件及与其它安全产品 之间的互操作性,美国国防高级研究计划署 (DARPA)和互联网工程任务组(IETF)的入侵 检测工作组(IDWG)提出的建议是公共入侵检测 框架(CDIF) 。
4.2.1 基于异常的入侵检测方法
本节重点讨论这种方法的原理和基本流程。需要 注意的是这个领域基本上是一个边缘学科,它的理 论基础包括人工智能、神经网络以及统计学等,由 于能力和篇幅的限制,我们无法一一介绍相关的理 论,基于异常的入侵检测方法主要来源于这样的思 想:任何人的正常行为都是有一定的规律的,并且 可以通过分析这些行为产生的日志信息(假定日志 信息足够完全)总结出这些规律,而入侵和滥用行 为则通常和正常的行为存在严重的差异,通过检查 出这些差异就可以检测出入侵 。这样,我们就可以 检测出非法的入侵行为甚至是通过未知方法进行的 入侵行为。此外不属于入侵的异常用户行为(滥用 自己的权限)也能被检测到。
4. 基于数据挖掘技术的异常检测系统
数据挖掘,也称为知识发现技术。对象行为日志 信息的数据量通常都非常大,如何从大量的数据中 “浓缩”出一个值或一组值来表示对象行为的概貌, 并以此进行对象行为的异常分析和检测,就可以借用 数据挖掘的方法。其中有一种方式就是记录一定量的 格式化后的数据,来进行分析和入侵检测。
3、事件数据库
用来存储GIDO,以备系统需要的时候使用。
4. 响应单元
响应单元处理收到的GIDO,并据此采取相应的 措施,如kill相关进程、将连接复位、修改文件权限 等。
以上4个组件只是逻辑实体,一个组件可能是某台 计算机上的一个进程甚至线程,也可能是多台计算机 上的多个进程,它们以GIDO格式进行数据交换。 GIDO是对事件进行编码的标准通用格式(由CDIF描 述语言CISL定义),GIDO数据流在图中已标出,它 可以是发生在系统中的审计事件,也可以是对审计事 件的分析结果。
4.3.3 基于智能代理技术的分布 式入侵检测系统
分布式入侵检测系统是与简单的基于主机的入 侵检测系统不同的,它一般由多个部件组成分布在 网络的各个部分,完成相应的功能,如进行数据采 集、分析等。通过中心的控制部件进行数据汇总、 分析、产生入侵报警等。一个简单的分布式入侵检 测系统(DIDS)如下页图 所示 。
4.1.4 入侵响应(Intrusion Response)
入侵响应就是当检测到入侵或攻击时,采取适当 的措施阻止入侵和攻击的进行。入侵响应系统分类也有 几种分类方式,按响应类型可分为:报警型响应系统、 人工响应系统、自动响应系统;按响应方式可分为:基 于主机的响应、基于网络的响应;按响应范围可分为: 本地响应系统、协同入侵响应系统。当我们检测到入侵 攻击时,采用的技术很多,又大致可分为被动入侵响应 技术和主动入侵响应技术。被动入侵响应包括:记录安 全事件、产生报警信息、记录附加日志、激活附加入侵 检测工具等。主动入侵响应包括隔离入侵者IP、禁止被 攻击对象的特定端口和服务、隔离被攻击对象、警告攻 击者、跟踪攻击者、断开危险连接、攻击攻击者等。
2、入侵检测技术主要的发展方向
❖ 体系结构方向进一步研究分布式入侵检测与通 用的入侵检测架构 。 ❖ 应用层入侵检测 ❖ 智能的入侵检测 ❖ 提供高层统计与决策 ❖ 响应策略与恢复研究 ❖ 入侵检测的评测方法 ❖ 和其它网络安全部件的协作、与其他安全技术
的结合
4.1.3 入侵检测系统的功能及分类
1.专家系统
专家系统是基于知识的检测中早期运用较多的方法。 将有关入侵的知识转化成if-then结构的规则,即把构成入 侵所需要的条件转化为if部分,把发现入侵后采取的相应 措施转化为then部分。当其中某个或某部分条件满足时, 系统就判断为入侵行为发生。其中的if-then结构构成了描 述具体攻击的规则库,状态行为及其语义环境可根据审计 事件得到,推理机根据规则和行为完成判断工作 。
2、事件分析器
事件分析器分析从其它组件收到的GIDO,并将产生的新 GIDO在传送给其它组件。分析器可以是一个轮廓 (profile)描述工具,统计性地检测现在的事件是否可 能与以前某个时间来自同一个时间序列;也可以是一个 特征检测工具,用于在一个事件序列中检测是否有已知 的误用攻击特性;此外,事件分析器还可以是一个相关 器,观察事件之间的关系,将有联系的事件放在一起, 以利于以后的进一步分析。
当我们无法完全防止入侵时,那么只能希 望系统在受到攻击时,能尽快检测出入侵,而 且最好是实时的,以便可以采取相应的措施来 对付入侵,这就是入侵检测系统要做的,它从 计算机网络中的若干关键点收集信息,并分析 这些信息,检查网络中是否有违反安全策略的 行为和遭到袭击的迹象。入侵检测被认为是防 火墙之后的第二道安全闸门。
2.入侵检测的分类
对入侵检测技术的分类方法很多,根据着眼 点的不同,主要有下列几种分法:按数据来源和 系统结构分类,入侵检测系统分为3类:基于主机 的入侵检测系统,基于网络的入侵检测系统,分 布式入侵检测系统(混合型)。根据数据分析方 法(也就是检测方法)的不同,可以将入侵检测 系统分为2类:异常检测和误用检测。按数据分析 发生的时间不同,入侵检测系统可以分为2类:离 线检测系统与在线检测系统。按照系统各个模块 运行的分布方式不同,可以分为2类:集中式检测 系统和分布式检测系统。