入侵检测
网络安全中的入侵检测和防御
网络安全中的入侵检测和防御随着互联网的普及和应用,网络安全问题也越来越引起人们的关注。
网络入侵事件时有发生,给个人和企业带来了严重的经济损失和声誉影响。
在这种情况下,入侵检测和防御成为了网络安全的重要手段。
本文将介绍入侵检测和防御的原理、技术及其应用。
一、入侵检测1.入侵检测的概念和分类入侵检测是对计算机系统或网络的实时状态进行监测和分析,识别异常的行为或攻击行为,及时给出响应。
根据入侵检测的侧重点和对象,可以将其分为主机入侵检测(Host-based Intrusion Detection,HID)和网络入侵检测(Network Intrusion Detection,NID)两种类型。
主机入侵检测主要是对单个计算机系统进行检测,可以通过监测系统日志、进程和文件等方式来识别异常行为;而网络入侵检测则是对整个网络的流量和数据包进行监测,识别异常的数据包和流量分析。
2.入侵检测的原理和技术入侵检测主要依靠对系统日志、网络流量和进程等进行监测和分析,识别异常的行为或攻击行为。
入侵检测涉及的技术有很多,如基于规则的检测、基于统计的检测、基于人工智能的检测等,具体可根据不同的使用场景和需求进行选择。
基于规则的检测是指通过事先定义的规则对系统或网络进行监测和分析,一旦有符合规则的异常行为出现就给出警报。
例如,如果在企业内部出现未授权的数据访问行为,就会触发事先定义的规则,弹出警报通知管理员。
这种方法优势是检测速度快、效果稳定,但限制在规则定义上,无法应对新型威胁。
基于统计的检测是指通过收集系统或网络的参数数据,建立基准模型,并对新的数据进行比对和分析,检测出异常行为或攻击行为。
例如,对于数据库的访问次数和数据量等进行统计和分析,识别异常的访问行为。
这种方法的优势是处理大量数据准确性高,但需要大量的参数数据和设计精细的统计算法。
基于人工智能的检测则是利用机器学习和人工智能技术,对异常行为进行分类和预测,自适应学习模型,识别隐藏的威胁。
网络安全中的入侵检测与防御
网络安全中的入侵检测与防御随着互联网的广泛应用,网络安全问题越来越受到人们的关注。
其中,入侵检测和防御是保障网络安全的关键。
本文将从入侵检测和防御两个方面探讨如何保护网络安全。
一、入侵检测入侵检测是指通过监视网络流量、日志文件和系统事件等手段,发现并警告系统管理员有意或无意地攻击网络的行为。
入侵检测可以分为主动入侵检测和被动入侵检测两种方式。
主动入侵检测是指通过工具和软件,主动扫描网络系统,寻找系统漏洞和配置错误,从而发现潜在威胁。
这种方式需要管理员的主动参与,具有较高的准确性和可控性,但需要耗费较大的时间和人力。
被动入侵检测是指通过安装入侵监控软件和系统日志记录,监控和分析网络流量和事件日志,识别和确认潜在威胁。
这种方式不需要管理员的直接参与,但在数据量较大时,会产生大量误报和漏报,需要依靠人工识别和处理。
无论是主动入侵检测还是被动入侵检测,都需要根据具体的实际情况选择合适的工具和方法,并应加强日常网络安全管理和维护,及时更新系统补丁和安全软件,加强密码管理和强制访问控制,提高数据备份和应急响应能力。
二、防御策略防御策略是指针对网络攻击和入侵威胁,采取一系列防御措施,保护网络系统的安全。
防御策略主要包括以下几个方面。
1.网络边界防御网络边界防御是指在网络和外网之间加装防火墙、入侵防御系统和反病毒软件等,以防止未经授权的访问和攻击。
网络边界防御需要根据具体的网络架构和需求,确定合适的安全策略和防御措施。
2.用户访问控制用户访问控制是指通过对用户的身份认证、访问权限控制、操作日志记录等手段,控制用户的访问和操作行为。
用户访问控制应细化权限控制,避免僵尸网络和引起黑客攻击等风险。
3.应用安全控制应用安全控制是指加强对应用系统的安全管理和维护,尽量避免因应用程序漏洞等问题引发网络攻击。
应用安全控制需要注意对数据加密、安全存储、访问控制等方面的防御。
4.物理安全措施除了网络系统本身的安全防御,还需要注意物理安全措施,以保障服务器、交换机、路由器等设备的安全。
入 侵 检 测
法。
9
入侵检测的步骤
入侵检测系统的作用是实时地监控计算机系统的活动,发现可疑的攻击行 为,以避免攻击的发生,或减少攻击造成的危害。由此也划分了入侵检测 的三个基本步骤: – 信息收集 – 数据分析 – 响应。
10
信息收集
入侵检测的第一步就是信息收集,收集的内容包括整个计算机网络中系统、 网络、数据及用户活动的状态和行为。
7
入侵检测系统的类型和性能比较
–2、基于网络的入侵检测系统:主要用于实 时监控网络关键路径的信息,它监听网络上 的所有分组来采集数据,分析可疑现象。
– 3、混合型I据包。
8
入侵检测的方法
目前入侵检测方法有三种分类依据: – 1、根据物理位置进行分类。 – 2、根据建模方法进行分类。 – 3、根据时间分析进行分类。
电子商务安全
入侵检测
入侵检测系统IDS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统 对系统资源的非授权使用能够做出及时的判断、 记录和报警。
2
什么是入侵检测
IDS(Intrusion Detection System)是网络安全技术的 重要组成部分之一,其主要目的是为了监视、分析 和检测所发生的异常行为,衡量一个IDS的标准为:
关于防火墙 ❖ 网络边界的设备 ❖ 自身可以被攻破 ❖ 对某些攻击保护很弱 ❖ 不是所有的威胁来自防火墙外部
入侵很容易 ❖ 入侵教程随处可见 ❖ 各种工具唾手可得
5
入侵检测和防火墙的区别
入侵检测产品和防火墙是无法互相替代的, 作为一个完整的网络安全体系,二者缺一不 可。
防火墙—城墙
入 侵 检 测
异常检测技术是通过建立正常或者有效行为的模型的方 法,把当前行为和正常模型相比较,所有不符合于正 常模型的行为都被认为是入侵。
计算机网络安全技术
6
入侵检测
1.3 入侵检测系统
1.入侵检测系统分类
根据检测数据来源的不同,入侵检测系统常被分为基于 主机(HIDS)、基于网络(NIDS)和基于分布式系 统(DIDS)的入侵检测系统。
数据中,检测出符合某一特征的数据。攻击者进行攻
击的时候会留下痕迹,这些痕迹和系统正常运行的时
候产生的信息混在一起。入侵检测的任务就是从这个
混合信息中找出是否有入侵的痕迹,如果有就报警。
从这个原理来看,入侵检测系统有两个重要部分:数
据取得和检测技术。 计算机网络安全技术
3
入侵检测
(2)入侵检测系统的工作流程
计算机网络安全技术
入侵检测
1.1 入侵检测概述
入侵检测系统(Intrusion Detection System,IDS)是一个能检测 出入侵行为发生的系统软件(或者硬件)。它使安全管理员能 够及时地处理入侵警报,尽可能减少入侵对系统造成的损害。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生 的事件,再分析处理这些事件,检测出入侵事件。
基于主机的入侵检测系统的数据源来自主机,如日志文
件、审计记录等。基于主机的入侵检测系统不但可以 检测出系统的远程入侵,还可以检测出本地入侵。
基于网络的入侵检测系统的数据源是网络流量,其检测
范围是整个网段,它只能检测出远程入侵,对于本地
入侵它是看不到的。 计算机网络安全技术
7
入侵检测
2.典型入侵检测系统 (1)JUMP入侵检测系统 主要技术特点有: • 采取基于状态协议分析的智能匹配算法; • 采用状态转换分析技术来降低系统的误报率,
入侵检测
3.2 误用检测技术——基于知识的检测
1. 误用检测技术入侵检测系统的基本原理 误用检测技术(Misuse Detection)也称为基于知 识的检测技术或者模式匹配检测技术。它的前提是 假设所有的网络攻击行为和方法都具有一定的模式 或特征,如果把以往发现的所有网络攻击的特征总 结出来并建立一个入侵信息库,那么入侵检测系统 可以将当前捕获到的网络行为特征与入侵信息库中 的特征信息相比较,如果匹配,则当前行为就被认 定为入侵行为。
3.3 异常检测技术和误用检测技术的比较
无论哪种入侵检测技术都需要搜集总结有关网络入 侵行为的各种知识,或者系统及其用户的各种行为 的知识。基于异常检测技术的入侵检测系统如果想 检测到所有的网络入侵行为,必须掌握被保护系统 已知行为和预期行为的所有信息,这一点实际上无 法做到,因此入侵检测系统必须不断地学习并更新 已有的行为轮廓。
5.1 基于网络入侵检测系统的部署
基于网络的入侵检测系统可以在网络的多个位置进 行部署。这里的部署主要指对网络入侵检测器的部 署。根据检测器部署位置的不同,入侵检测系统具 有不同的工作特点。用户需要根据自己的网络环境 以及安全需求进行网络部署,以达到预定的网络安 全需求。总体来说,入侵检测的部署点可以划分为 4个位置: ①DMZ区、②外网入口、③内网主干、 ④关键子网,如图3入侵检测概述 入侵检测系统分类 入侵检测系统的分析方式 入侵检测系统的设置 入侵检测系统的部署 入侵检测系统的有点与局限性
1 入侵检测系统概述
1.1 入侵检测的概念
入侵检测是从计算机网络或计算机系统中的若干关 键点搜集信息并对其进行分析,从中发现网络或系 统中是否有违反安全策略的行为和遭到袭击的迹象 的一种机制。入侵检测系统的英文缩写是IDS (Intrusion Detection System),它使用入侵检测 技术对网络与其上的系统进行监视,并根据监视结 果进行不同的安全动作,最大限度地降低可能的入 侵危害。
入侵检测概述
入侵检测概述
1.1 入侵检测的概念
❖ 入侵检测是指发现非授权用户企图使用计算机系统或合法用户滥用其 特权的行为,这些行为破坏了系统的完整性、机密性及资源的可用性。 为完成入侵检测任务而设计的计算机系统,是一套运用入侵检测技术 对计算机或网络资源进行实时检测的系统工具。
❖ 入侵检测的作用是检测对系统的入侵事件,一般不采取措施防止入侵 行为。一个入侵检测系统应具有准确性、可靠性、可用性、适应性、 实时性和安全性等特点。
器的输出为标识入侵行为是否发生的指示信号(如一个警告信号),该指示信号中还可能包括相关的证据信息。另外, 分析器还能够提供关于可能的反应措施的相关信息。 ❖ 3.用户接口 ❖ 用户接口使得用户易于观察系统的输出信号,并对系统行为进行控制。在某些系统中,用户接口又可以称为“管理 器”、“控制器”或者“控制台”等。 ❖ 除了以上3个必要的组成部分之外,某些入侵检测系统可能还包括一个“蜜罐”诱饵机。该诱饵机的设计和配置具有 明显的系统安全漏洞,并对攻击者明显可见。
系统原有的务”攻击。
(6)及时性。一个入侵检测系统必须尽快地执行和传送它的分析结果,以便 在系统造成严重危害之前能及时作出反应,阻止攻击者破坏审计数据或入侵 检测系统本身。
网络安全技术
1.3 入侵检测功能
❖ 入侵检测与传统的安全技术不同,它并不是设法建立安全、可靠的计 算机系统或网络环境,而是通过对网络活动和系统用户信息进行分析 处理来达到对非法行为的检测、报警和预警目的,进而由有关安全组 件(如防火墙)对非法行为进行控制,来保障系统的安全。其功能为:
❖ (1)监控和分析用户以及系统的活动。 ❖ (2)核查系统安全配置和漏洞。 ❖ (3)评估关键系统和数据文件的完整性。 ❖ (4)识别攻击的活动模式并向网络管理人员报警。 ❖ (5)统计分析异常活动,识别违反安全策略的用户活动。
入侵检测技术
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
网络攻击检测技术
网络攻击检测技术随着互联网的迅速发展和普及,网络安全问题越来越受到人们的重视。
网络攻击已经成为互联网世界中一个严重的威胁。
为了保护网络的安全,网络攻击检测技术应运而生。
本文将介绍几种常见的网络攻击检测技术,并分析它们的优缺点。
一、入侵检测系统(IDS)入侵检测系统是一种主动监测网络流量并识别潜在攻击的技术。
它运行在网络的一个节点上,通过分析传入和传出的数据包来检测入侵和异常行为。
入侵检测系统分为两种类型:一种是基于签名的,它通过比对已知攻击的特征来检测新的攻击。
另一种是基于行为的,它通过学习和了解网络正常行为,来查找异常行为并检测潜在攻击。
优点:能够较准确地检测到已知攻击的企图,对于已知攻击有较好的检测效果。
缺点:对于未知攻击的检测效果较差,在大规模网络中的实时数据处理方面存在困难。
二、入侵防御系统(IPS)入侵防御系统是一种针对检测到的攻击进行实时响应和阻止的技术。
它可以对恶意流量进行过滤、封锁攻击源IP地址等,以防止攻击的继续进行。
入侵防御系统往往结合入侵检测系统使用,可以在检测到攻击后立即采取行动,尽可能地减少攻击对网络的影响。
优点:能够对检测到的攻击实时作出响应,减少攻击造成的危害。
缺点:可能会导致误报和误封,对网络正常流量的处理有一定的影响。
三、恶意软件检测技术恶意软件是指故意制作和传播的恶意计算机程序,用于对网络和计算机系统进行攻击或破坏。
恶意软件检测技术旨在识别和清除潜在的恶意软件。
恶意软件检测技术主要有两种方法:一种是基于特征的,通过分析恶意软件的特征特性来进行检测。
另一种是基于行为的,通过观察软件的行为和操作来检测恶意软件。
优点:能够及时发现和清除潜在的恶意软件,有效地保护网络安全。
缺点:对于新型的恶意软件可能需要较长时间的学习和分析,检测效果可能有所延迟。
四、异常流量检测技术异常流量检测技术通过分析网络流量的统计特征和行为模式来识别异常的网络流量。
它常用于检测DDoS(分布式拒绝服务)攻击、数据包欺骗等网络攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
杨乔乔(122182) 电气三班
主要内容
• • • • • • 背景介绍 入侵检测的基本概念 入侵检测的系统模型 入侵检测的系统分类 入侵检测的优点与不足 入侵检测系统的发展
背景介绍
1 信息社会出现的新问题
• 信息时代到来,电子商务、电子政务,网络改变人 们的生活,人类进入信息化社
• 计算机系统与网络的广泛应用,商业和国家机密信 息的保护以及信息时代电子、信息对抗的需求 • 存储信息的系统面临的极大的安全威胁 • 潜在的网络、系统缺陷危及系统的安全
• c.适应交换和加密。基于主机的IDS系统可以 较为灵活地配置在多个关键主机上,不必考 虑交换和网络拓扑问题。这对关键主机零散 地分布在多个网段上的环境特别有利。某些 类型的加密也是对基于网络的入侵检测的挑 战。依靠加密方法在协议堆栈中的位置,它 可能使基于网络的系统不能判断确切的攻击。 基于主机的IDS没有这种限制。 • d.不要求额外的硬件。基于主机的IDS配置在 被保护的网络设备中,不要求在网络上增加 额外的硬件。
• e.检测不成功的攻击和恶意企图。基于网络的 IDS可以检测到不成功的攻击企图,而基于主 机的系统则可能会遗漏一些重要信息。 • f.基于网络的IDS不依赖于被保护主机的操作 系统。 • 3.缺点 • a.对加密通信无能为力。 • b.对高速网络无能为力。 • c.不能预测命令的执行后果。
Internet
• a.基于网络的ID技术不要求在大量的主机上 安装和管理软件,允许在重要的访问端口检 查面向多个网络系统的流量。在一个网段只 需要安装一套系统,则可以监视整个网段的 通信,因而花费较低。 • b.基于主机的IDS不查看包头,因而会遗漏一 些关键信息,而基于网络的IDS检查所有的包 头来识别恶意和可疑行为。例如,许多拒绝 服务攻击(DoS)只能在它们通过网络传输时检 查包头信息才能识别。
入侵检测的概念
• 对一个成功的入侵检测系统来讲,它不但可使 系统管理员时刻了解网络系统(包括程序、文件 和硬件设备等)的任何变更,还能给网络安全策 略的制订提供指南。更为重要的一点是,它应该 管理、配置简单,从而使非专业人员非常容易地 获得网络安全。而且,入侵检测的规模还应根据 网络威胁、系统构造和安全需求的改变而改变。 入侵检测系统在发现入侵后,会及时作出响应, 包括切断网络连接、记录事件和报警等。
• NIDS自身的特点决定了能够与其它产品实现集成,更能 体现全面保护。
集成入侵检测(Integrated Intrusion Detection)
• 1.概念
• 综合了上面介绍的几种技术的入侵检测方法。 • 2.优点 • a.具有每一种检测技术的优点,并试图弥补各自 的不足。 • b.趋势分析——能够更容易看清长期攻击和跨网 络攻击的模式。 • c.稳定性好。 • d.节约成本--购买集成化解决方案相对于分别购买 独立组件的解决方案,可节约开支。 • 3.缺点 • a.把不同供应商的组件集成在一起较困难
基于主机的入侵检测(Host Intrusion Detection)
• 1.概念 • 基于主机的入侵检测始于20世纪80年代早期, 通常采用查看针对可疑行为的审计记录来执行。 它对新的记录条目与攻击特征进行比较,并检查 不应该被改变的系统文件的校验和来分析系统是 否被侵入或者被攻击。如果发现与攻击模式匹配, IDS系统通过向管理员报警和其他呼叫行为来响应。 它的主要目的是在事件发生后提供足够的分析来 阻止进一步的攻击。反应的时间依赖于定期检测 的时间间隔。实时性没有基于网络的IDS系统好。
简而言之:防火墙只是防御为主,通过防火墙的数据便不再进行任何操 作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙
弱点的修补;防火墙可以允许内部的一些主机被外部访问,IDS则没有
这些功能,只是监视和分析用户和系统活动。 总之: IDS是继防火墙之后的又一道防线,防火墙是防御,IDS是主
Mail 服务器
交换机
Web 服务器 Mail 服务器 NIDS
DB
• Question3:HIDS和NIDS哪个更安全应用更 加广泛?
• 与基于主机的IDS(Host Intrusion Detection Systems,HIDS) 相比,基于网络的IDS(Network Intrusion Detection Systems,NIDS)最大的特点在于不需要改变服务器等主 机的配置。由于它不需在业务系统的主机中安装额外的软 件,不会影响这些机器的CPU、I/O与磁盘等资源的使用, 也不会影响业务系统的性能。另外,NIDS不是系统中的 关键路径,即使发生故障也不会影响正常业务的运行。因 此,部署一个NIDS,比HIDS的风险与成本相对较低。
它从计算机网络系统中的若干关键点收集信息,并分析这
些信息,看看网络中是否有违反安全策略的行为和遭到袭 击的迹象。对网络进行监测,从而提供对内部攻击、外部
攻击和误操作的实时保护
入侵检测的概念
• • • • • • • 这些都通过它执行以下任务来实现: 监视、分析用户及系统活动 系统构造和弱点的审计 识别反映已知进攻的活动模式并向相关人士报警 异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理,并识别用户违反安全 策略的行为。
对内部攻击、外部攻击和误操作的实时保护,在网络系统受 到危害之前拦截和响应入侵。因此被认为是防火墙之后的第 二道安全闸门,在不影响网络性能的情况下能对网络进行监 测。
入侵检测的概念
• 入侵检测是防火墙的合理补充,帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力(包括安全审计、监视、 进攻识别和响应),提高了信息安全基础结构的完整性。
• 传统的安全保密技术都有各自的局限性,不能够确 保系统的安全
背景介绍
2 信息系统的安全问题
• • • 操作系统的脆弱性 计算机网络的资源开放、信息共享以及网络复 杂性增大了系统的不安全性 数据库管理系统等应用系统设计中存在的安全 性缺陷 缺乏有效的安全管理
•
黑客攻击猖獗
特洛伊木马 黑客攻击 后门、隐蔽通道 计算机病毒
• 2.优点 • 基于主机的入侵检测具有以下优势: • a.监视所有系统行为。基于主机的IDS能够 监视所有的用户登录和退出,甚至用户所做 的所有操作,审计系统在日志里记录的策略 改变,监视关键系统文件和可执行文件的改 变等。可以提供比基于网络的IDS更为详细的 主机内部活动信息。 • b.有些攻击在网络的数据流中很难发现, 或者根本没有通过网络在本地进行。这时基 于网络的IDS系统将无能为力
Question1:入侵检测和防火墙的不同? Question2:杀毒软件和入侵检测有什么不同呢?
•
防火墙是针对黑客攻击的一种被动的防御,IDS则是主动出击寻找
潜在的攻击者;防火墙相当于一个机构的门卫,收到各种限制和区域的 影响,即凡是防火墙允许的行为都是合法的,而IDS则相当于巡逻兵,
不受范围和限制的约束。
• c.基于网络IDS的宿主机通常处于比较隐蔽的位置, 基本上不对外提供服务,因此也比较坚固。这样对 于攻击者来说,消除攻击证据非常困难。捕获的数 据不仅包括攻击方法,还包括可以辅助证明和作为 起诉证据的信息。而基于主机IDS的数据源则可能 已经被精通审计日志的黑客篡改。 • d.基于网络的IDS具有更好的实时性。例如,它可 以在目标主机崩溃之前切断TCP连接,从而达到保 护的目的。而基于主机的系统是在攻击发生之后, 用于防止攻击者的进一步攻击。
动检测,两者相结合有力的保证了内部系统的安全 IDS实时检测可以及
时发现一些防火墙没有发现的入侵行为,发行入侵行为的规律,这样防 火墙就可以将这些规律加入规则之中,提高防火墙的防护力度。
入侵检测的系统分类
• 根据原始数据的来源分类
——主机级IDS:Host-Based IDS (HIDS) 基于主 机的入侵检测系统系统安装在主机上面,对本主 机进行安全检测 ——网络级IDS:Network-Based IDS (NIDS) 基于网络的入侵检测系统安装在比较重要的网段 内 ——集成入侵检测(Integrated Intrusion Detection) 结合了NIDS和HIDS的技术适合于高速交换环境 原事件来源 和加密数据
• 3.缺点 • a.看不到网络活动的状况。 • b.运行审计功能要占用额外系统资源。 • c.主机监视感应器对不同的平台不能通用。 • d.管理和实施比较复杂。
Internet
防火墙
Web 服务器
Mail 服务器
交换机
Web 服务器
Mail 服务器
HIDS
DB
HIDS
HIDS
基于网络的入侵检测(NetworkIntrusionDetection)
入侵检测系统模型
响应单元
输出:高级中断事件 输出:反应或事件 输出:事件的存储信息
事件分析器
事件数据库
输出:原始或低级事件
事件产生器
输入:原始事件源
• 事件产生器(Event generators) 事件产生器的目的是从整个计算环境中获得 事件,并向系统的其他部分提供此事件。 • 事件分析器(Event analyzers)事件分析器分析得 到的数据,并产生分析结果。 • 响应单元(Response units)响应单元则是对分析 结果作出作出反应的功能单元,它可以作出 切断连接、改变文件属性等强烈反应,甚至发 动对攻击者的反击,也可以只是简单的报警 • 事件数据库(Event databases)事件数据库是存 放各种中间和最终数据的地方的统称,它可 以是复杂的数据库,也可以是简单的文本文 件
• Question4:电脑上的哪些信息可以帮助实现 入侵检测呢?
• 系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和 网络日志文件信息是检测入侵的必要条件。日志记录了含发生在系统 和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在 入侵或已成功入侵过系统。通过查看日志文件,就能够发现成功的入 侵或入侵企图。 • 目录和文件中的不正常的改变 • 黑客经常替换、访问权的系统文件,同时为了隐藏在系统中活动痕迹, 都会尽力去替换系统程序或修改系统日志文件。这就要求我们要熟悉 自己的文件系统,注意检查系统目录文件或者重要数据目录文件的变 动情况。最好自己能有相关的记录,这样如果有什么改动发生,就可 以据此来推断系统有没有被入侵过 • 程序执行中的不期望行为 • 当一个进程出现了不期望的行为就可能表明黑客正在入侵你的系统。 黑客可能会将程序或服务的运行分解从而导致它失败,或者是使之违 背用户或管理员意图运行。 • 物理形式的入侵信息 • 这包括两个方面的内容,一是未授权的网络硬件连接;二是对物理资源 的未授权访问。通常情况下,黑客会想方设法去突破网络的周边防卫, 如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。 这些设备或者软件就成为黑客入侵的后门,黑客可以从这里随意进出 网络。 • 这种入侵一般可以找到可疑的网络设备连接,另外,黑客也有可能利 用网络设备的电磁泄漏来窃取信息或者入侵系统,这种设备就可能不 是和系统设备直接地物理连接了。