第五章入侵检测系统
网络入侵检测系统的安装与配置手册
网络入侵检测系统的安装与配置手册第一章:介绍网络入侵是指未经授权的用户或系统对网络资源的非法访问、修改、删除或者使用。
为了提高网络的安全级别,我们需要安装和配置网络入侵检测系统(IDS)。
本手册将为您详细介绍网络入侵检测系统的安装与配置步骤,以及如何确保系统的有效性和稳定性。
第二章:准备工作在开始安装和配置网络入侵检测系统之前,您需要进行一些准备工作:1. 确认您的计算机符合系统要求,包括硬件和软件规格。
2. 下载最新版本的网络入侵检测系统软件,并保证其完整性。
3. 确保您的计算机已经连接到互联网,并具有正常的网络连接。
4. 确定您的网络拓扑结构和系统域。
第三章:安装网络入侵检测系统在本章中,我们将为您介绍网络入侵检测系统的安装步骤:1. 解压下载的网络入侵检测系统软件包。
2. 打开安装程序,并按照提示完成安装过程。
3. 选择您所需要的组件和功能,并根据您的需求进行配置。
4. 安装完成后,根据系统指引完成系统初始化设置。
5. 配置系统的管理员账户和密码,并确保其安全性。
第四章:配置网络入侵检测系统在本章中,我们将为您介绍网络入侵检测系统的配置步骤:1. 设定系统的网络参数,包括IP地址、子网掩码、网关等。
2. 配置系统的安全策略,包括过滤规则、用户权限等。
3. 配置系统的监控规则,以便检测和报告任何潜在的入侵行为。
4. 确保系统的日志记录功能正常运行,并设置相关参数。
5. 配置系统的警报机制,包括警报方式、警报级别等。
6. 定期更新系统的规则库和软件补丁,以确保系统的正常运行和最新的威胁识别能力。
第五章:测试和优化网络入侵检测系统在本章中,我们将为您介绍如何测试和优化网络入侵检测系统:1. 进行系统的功能测试,确保系统的所有功能和组件正常工作。
2. 使用测试工具模拟不同类型的入侵行为,并观察系统的检测和警报机制。
3. 根据测试结果,调整系统的监控规则和警报机制,以提高系统的准确性和反应速度。
4. 分析系统的日志信息,发现和排除可能存在的问题。
网络安全防护中的入侵检测系统
网络安全防护中的入侵检测系统随着互联网的快速发展,网络安全问题成为各个领域不可忽视的重要议题。
为了保护网络系统免受未经授权的访问和攻击,入侵检测系统应运而生。
本文将介绍网络安全防护中的入侵检测系统,并探讨其在网络安全中的重要性。
一、什么是入侵检测系统入侵检测系统(Intrusion Detection System,简称IDS)是一种通过监控和分析网络流量、系统活动以及异常行为来检测和预防未经授权的访问和攻击的系统。
它可以帮助网络管理员及时发现潜在的威胁,并采取相应的措施进行防范和应对。
入侵检测系统通常分为两种类型:网络入侵检测系统(Network-based Intrusion Detection System,简称NIDS)和主机入侵检测系统(Host-based Intrusion Detection System,简称HIDS)。
NIDS主要通过监视网络流量来检测潜在的攻击行为,而HIDS则主要通过监视主机上的系统活动来检测潜在的入侵行为。
二、入侵检测系统的工作原理入侵检测系统通过收集网络流量、系统日志以及其他相关信息来进行分析和判断,以便发现异常活动和潜在的入侵行为。
它主要包括以下几个关键步骤:1. 收集数据:入侵检测系统会主动收集网络流量、系统日志等数据,并存储在相应的数据库中。
2. 分析数据:入侵检测系统会对收集到的数据进行分析和处理,以发现异常活动和潜在的入侵行为。
3. 判断威胁:入侵检测系统会根据事先设定好的规则和模型对数据进行判断,以确定是否存在潜在的威胁。
4. 发出警报:一旦入侵检测系统检测到异常活动或潜在的入侵行为,它会立即发出警报,通知网络管理员或相关人员采取相应的措施。
5. 响应措施:在发出警报后,网络管理员可以根据入侵检测系统提供的信息采取相应的防御和应对措施,以保护网络系统的安全。
三、入侵检测系统在网络安全中的重要性入侵检测系统在网络安全中发挥着重要的作用,具有以下几个重要的优点和价值:1. 及时发现威胁:入侵检测系统可以及时发现网络系统中的潜在威胁和异常活动,为网络管理员提供了预警机制,有助于他们及时采取相应的防御和应对措施。
网络安全中的入侵检测系统
网络安全中的入侵检测系统网络安全作为当今信息化社会必备的一项重要保障,在网络攻击和数据泄露日益增多的背景下,成为了各大企业、组织和个人关注和投入的重点领域。
入侵检测系统(Intrusion Detection System,简称IDS)作为网络安全的一部分,起到了监测和防范入侵行为的重要作用。
本文将对入侵检测系统的概念、分类、工作原理以及应用前景进行探讨。
一、入侵检测系统的概念入侵检测系统是一种在计算机网络中用于检测和预防未经授权的网络访问和异常行为的技术。
其主要功能是通过分析网络流量和系统日志,识别出可能的攻击行为,并及时采取相应的防护措施,保护网络系统的安全。
二、入侵检测系统的分类根据监测位置和检测原理,入侵检测系统可以分为两类:主机型入侵检测系统(Host-based IDS,简称HIDS)和网络型入侵检测系统(Network-based IDS,简称NIDS)。
1. 主机型入侵检测系统(HIDS)主机型入侵检测系统基于主机内部的数据和行为进行检测,一般安装在每台需要保护的主机上。
其优点是可以监测到主机内部的异常行为和攻击,并且可以在主机本地进行处理和防护,但是由于只针对主机进行监测,无法全面覆盖整个网络的攻击情况。
2. 网络型入侵检测系统(NIDS)网络型入侵检测系统基于网络流量进行检测,通过监测整个网络中的数据包来判断是否存在入侵行为。
其优点是可以全面监控网络中的各种攻击行为,同时也可以对恶意流量进行过滤和屏蔽,但是无法获取主机内部的具体行为信息。
三、入侵检测系统的工作原理入侵检测系统主要通过以下几个步骤来进行工作:1. 采集数据:IDS会收集网络流量、系统日志、主机数据等信息作为分析和监测依据。
2. 行为分析:通过对采集到的数据进行分析和比对,识别出可能的入侵行为。
这一过程通过建立规则库、学习和训练机器学习模型等方式进行。
3. 发现异常:当系统检测到异常行为时,会发送警报通知管理员或相关人员。
网络安全防护的入侵检测系统
网络安全防护的入侵检测系统随着互联网的普及和网络技术的快速发展,我们越来越依赖于网络来完成各种任务和活动。
然而,网络的普及也带来了一系列安全威胁,如入侵、黑客攻击等。
因此,建立有效的网络安全防护措施变得非常重要。
其中,入侵检测系统(Intrusion Detection System,IDS)作为网络安全防护的重要组成部分,具有检测和应对网络入侵的功能,对于保护网络安全具有巨大的意义。
一、入侵检测系统的概念和作用入侵检测系统是一种监视网络或系统中异常活动的安全设备,它的作用是检测和分析网络中的恶意行为和入侵事件,并及时采取应对措施。
入侵检测系统通过监控网络流量、分析日志和异常行为等手段,发现并警报任何可能的入侵事件,从而及时保护网络安全。
二、入侵检测系统的分类根据工作原理和部署位置的不同,入侵检测系统可以分为主机入侵检测系统(Host-based IDS)和网络入侵检测系统(Network-based IDS)两种类型。
1. 主机入侵检测系统主机入侵检测系统部署在主机上,通过监视主机行为,检测并分析主机上的异常活动。
主机入侵检测系统能够捕获主机级别的信息,如文件修改、注册表变化、系统文件损坏等。
它主要用于检测主机上的恶意软件、病毒、木马等威胁,并能及时阻止它们对系统的进一步侵害。
2. 网络入侵检测系统网络入侵检测系统部署在网络上,通过监视网络流量,检测并分析网络中的异常活动。
网络入侵检测系统能够捕获网络层次的信息,如IP地址、端口号、协议类型等。
它主要用于检测网络流量中的入侵行为、DDoS攻击、端口扫描等,并能及时阻止它们对网络的进一步侵害。
三、入侵检测系统的工作原理入侵检测系统主要通过以下几个步骤来实现入侵检测和预防:1. 监控和收集信息入侵检测系统通过监控网络流量、日志和系统行为等方式,收集和获取信息。
网络入侵检测系统可以通过流量分析技术、协议分析技术等来获取数据,而主机入侵检测系统则可以通过监视主机上的日志和系统行为来获取数据。
《入侵检测系统》课件
如何维护和管理入侵检测系统
定期更新系统:确保系统始终处于最新状态,以应对不断变化的威胁 监控系统运行状态:实时监控系统运行状态,及时发现并解决异常情况 定期备份数据:定期备份系统数据,以防数据丢失或损坏 培训员工:对员工进行系统使用和维护的培训,提高员工的安全意识和操作技能
THANKS
汇报人:
基于网络的入侵检测系统
基于主机的入侵检测系统
基于代理的入侵检测系统
基于蜜罐的入侵检测系统
入侵检测系统的重要性
保护网络安全: 及时发现并阻 止网络攻击, 保护网络和数
据安全
提高系统稳定 性:及时发现 并修复系统漏 洞,提高系统 稳定性和可靠
性
降低损失:及 时发现并阻止 网络攻击,降 低经济损失和
声誉损失
如何评估入侵检测系统的性能
检测率:评估系统对入侵行为的检测能 力
误报率:评估系统对正常行为的误报情 况
响应时间:评估系统对入侵行为的响应 速度
兼容性:评估系统与其他安全设备的兼 容性
易用性:评估系统的操作简便性和用户 友好性
成本:评估系统的购买和维护成本
如何部署和配置入侵检测系统
选择合适的入侵 检测系统:根据 企业需求、网络 环境、安全策略 等因素选择合适 的入侵检测系统。
法规政策:政 府对网络安全 的重视将推动 入侵检测系统 的发展和应用
Part Six
如何选择合适的入 侵检测系统
选择入侵检测速度和准确性
功能:系统的检测范围和功能是否满 足需求
兼容性:系统与其他安全设备的兼容 性
价格:系统的价格是否在预算范围内 易用性:系统的操作是否简单易用 售后服务:系统的售后服务是否完善
实时监控:能够实时监控网络流量,及时发现异常行为 智能分析:利用机器学习和人工智能技术,提高检测精度 自动响应:能够自动响应入侵行为,如阻断攻击、报警等 降低风险:减少网络攻击带来的损失,提高网络安全性
第五章 入侵检测流程
分析器的构建方法依赖于入侵检测的分析方法。 分析方法的讲解见后面。
5.3
分析数据
分析器对输入的事件进行分析,识别出入侵行 为。
5.3
反馈和更新
反馈和更新是IDS非常重要的一个过程。 对于误用检测,反馈和更新体现在攻击行为模
式库的更新,能及时地将新攻击的特征反映在 行为模式库中。 对于异常检测,反馈和更新体现在正常行为特 征轮廓库的更新。
功的次数、企图访问文件的次数、某一特定服 务的网络连接数等,均以数值来表示; 采用这种方法给出阈值。
5.3
统计度量
体现在用户特征轮廓的更新上。 使得特征轮廓适合反映用户行为在时间上的变
化。
5.3
非参数统计度量
早期的统计分析均采用参数方法,即假定审计 数据服从一些固定的分布。
缺点:如果假定不正确,IDS的性能大受影响; 非参数统计度量:据用户行为特征,将用户活
自动终止攻击; 终止用户连接; 禁止用户帐号; 重新配置防火墙阻塞攻击的源地址; 向管理控制台发出警告指出事件的发生; 向网络管理平台发出SNMP trap; 记录事件的日志,包括日期、时间、源地址、目的
地址、描述与事件相关的原始数据; 向安全管理人员发出提示性的电子邮件; 执行一个用户自定义的程序。
日志文件中记录了各种行为类型,每种 类型又包含不同的信息,例如记录“用 户活动”类型的日志,就包含登录、用 户ID改变、用户对文件的访问、授权和 认证信息等内容。
5.1
系统目录和文件的异常变化
网络环境中的重要信息文件和私有数据文 件是黑客经常修改或破坏的目标。
目录和文件中的不期望的改变(包括修改、 创建和删除),可能是入侵产生的指示和 信号。
入侵检测系统
30
12
Snort安装(2)
安装pcre,snort2.0需要6.0以上的版本 下载网址:
tar xvzf pcre-7.7.tar.gz
cd pcre-7.7;./configure;make;make install
13
Snort安装(3)
在下载snort源码
入侵检测系统
四川大学 软件学院 2009-09
什么是入侵检测系统
入侵检测系统工作机制
snort的安装与使用
实验
基本概念
入侵检测系统(IDS,Intrusion Detection System)是防火墙
的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安
全管理能力(包括安全审计、监视、进攻识别和响应),提高了 信息安全基础结构的完整性它从计算机网络系统中的若干关键 点(不同网段和不同主机)收集信息,并分析这些信息(将事 件与入侵检测规则比较),在发现入侵行为与迹象后,及时作
8
入侵检测工作机制(4)
结果处理:在发现了攻击企图或违背安全策略的 网络行为时,入侵检测系统需要及时对这些网 络行为进行响应。响应的行为包括: 1)告警
2)记录:记录入侵的细节和系统的反应;
3)反应:进行响应的处理进行进一步的处理 ;
9
Snort的安装与使用
Snort简介 Snort是一个用C语言编写的开源代码软件,是 一个跨平台的网络入侵检测软件,它本质上是 一个基于Libpcap的网络嗅探器和日子记录工具 ,在加载规则的基础上,可以对采集的数据包 进行模式匹配,从中发现入侵和探测行为。
源信息(目的信息):源信息由源的IP地址和端口号组成
IP地址的表示方式
单一IP地址,如192.168.0.154
网络安全的入侵检测系统
网络安全的入侵检测系统随着互联网的普及和发展,网络安全问题变得愈发突出。
为了保护用户信息和确保网络环境的安全稳定,各种安全技术应运而生。
其中,入侵检测系统(Intrusion Detection System,简称IDS)是一种重要的安全防护措施。
本文将介绍网络安全的入侵检测系统及其作用、分类和实现原理。
一、入侵检测系统的概述入侵检测系统(Intrusion Detection System)是一种通过对网络流量进行监控、检测和分析,来寻找并应对可能的入侵行为的安全设备。
其主要作用是帮助网络管理员发现和响应各种针对网络系统的威胁和攻击,以降低网络系统被入侵的风险。
二、入侵检测系统的分类根据入侵检测系统的部署位置和检测方法,可以将其分为两种常见的分类:主机入侵检测系统(Host-based IDS)和网络入侵检测系统(Network-based IDS)。
1. 主机入侵检测系统主机入侵检测系统部署在网络中的每台主机上,通过监控主机上的系统日志和事件,以及分析主机的行为和进程等信息,来检测是否存在异常活动和潜在的入侵行为。
主机入侵检测系统可以对主机内部的安全事件进行较为详细的分析,但其规模较小,只能保护单个主机。
2. 网络入侵检测系统网络入侵检测系统则部署在网络的关键节点上,通过对网络流量进行实时监测和分析,来检测网络中的入侵行为。
网络入侵检测系统可以对整个网络进行全面的监控,并结合攻击特征库和模式识别算法,快速识别和应对网络攻击事件。
但相对于主机入侵检测系统,网络入侵检测系统对网络资源要求较高,需要投入较大的运维成本。
三、入侵检测系统的实现原理入侵检测系统通过以下步骤实现对网络安全的监测和检测。
1. 流量监测入侵检测系统首先需要对网络流量进行实时监测。
这可以通过物理设备(如交换机、路由器等)上的镜像端口或网络流量监测仪来实现,也可以通过网络流量分析工具来捕获并处理数据包。
2. 流量分析监测到的网络流量将被送到流量分析引擎中进行分析。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
历史 用户当前操作
入侵 检测
专家 知识
断开连接
收集证据 数据恢复
图2 事后入侵检测原理
8.1.3 入侵检测一般步骤
入侵检测的一般过程包括数据提取、数据分析和事件响应。 1.入侵数据提取(信息收集) 主要是为系统提供数据,提取的内容包括系统、网络、 数据及用户活动的状态和行为。需要在计算机网络系统中的 若干不同关键点(不同网段和不同主机)收集信息。一是尽 可能扩大检测范围,二是检测不同来源的信息的一致性。入 侵检测很大程度上依赖于收集信息的可靠性和正确性。 入侵检测数据提取可来自以下4个方面。 (1)系统和网络日志; (2)目录和文件中的的改变; (3)程序执行中的不期望行为; (4)物理形式的入侵信息。
8.1.2入侵检测原理
入侵检测可分为实时入 侵检测和事后入侵检测, 其原理分别如图1和图2 所示。 实时入侵检测在网络连 接过程中进行,系统根 据用户的历史行为模型、 存储在计算机中的专家 知识以及神经网络模型 对用户当前的操作进行 判断,一旦发现入侵迹 象立即断开入侵者与主 机的连接,并收集证据 和实施数据恢复。
8.1.1 入侵检测系统的产生
审计技术:产生、记录并检查按时间顺序排列的系统事件记 录的过程。 国际上在20世纪70年代就开始了对计算机和网络遭受攻击进 行防范的研究,审计跟踪是当时的主要方法。1980年4月, James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算 机安全威胁监控与监视)的技术报告,这份报告被公认为是 入侵检测的开山之作,报告里第一次详细阐述了入侵检测的 概念。他提出了一种对计算机系统风险和威胁的分类方法, 并将威胁分为外部渗透、内部渗透和不法行为三种,还提出 了利用审计跟踪数据,监视入侵活动的思想。 1984~1986年入侵检测专家系统产生。 商业的入侵检测系统一直到了20世纪80年代后期才出现,但 总的看来,现在对IDS的研究还不够深入,产品的性能也有 待提高。
入侵检测系统的部署 在目前的网络拓扑中,绝大部分的网络区 域都已经全面升级到交换式的网络结构。因此,IDS 在交换式网络中的位臵一般选择在尽可能靠近攻击 源和受保护的资源处(通常是在服务器区域的交换 机上、Internet接入路由器之后的第一台交换机上 或重点保护网段的局域网交换机上)。 经典入侵检测系统的部署方式如图所示。
8.1.1 入侵检测系统的产生
1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯 分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)。 NSM是入侵检测研究史上一个非常重要的里程碑,从此之后,入侵检测系 统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主 机的IDS。 1991年,美国空军等多部门进行联合,开展对分布式入侵检测系统(DIDS) 的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入 侵检测系统历史上的一个里程碑式的产品,它的检测模型采用了分层结构。 从二十世纪90年代到现在,入侵检测系统的研究呈现出百家争鸣的繁荣局 面,并在智能化和分布式两个方面取得了长足的进展。
用户当前操作
用户历史行为 专家知识 神经网络模型 入侵? 是 断开连接 收集证据 数据恢复 否 入侵 检测 检测
图1 实时入侵检测原理
8.1.2入侵检测原理
事后入侵检测由网络 管理人员定期或不定期进 行,根据计算机系统对用 户操作所做的历史审计记 录判断用户是否具有入侵 行为,如果有就断开连接, 并记录入侵证据和进行数 据恢复;但是其入侵检测 的能力不如实时入侵检测 系统。
8.1.5 IDS功能
一般来说,IDS能够完成下列活动: 监控、分析用户、网络系统和的活动; 发现入侵企图或异常现象; 审计系统的配臵和弱点; 评估关键系统和数据文件的完整性; 对异常活动的统计分析; 识别攻击的活动模式; 实时报警和主动响应。
8.2 入侵检测系统的类型
随着入侵检测技术的发展,到目前为止出现了很多入侵检测 系统,不同的入侵检测系统具有不同的特征。根据不同的分 类标准,入侵检测系统可分为不同的类别。按照信息源划分 入侵检测系统是目前最通用的划分方法。 根据数据来源(或系统监测的对象)分类,入侵检测系统分 为3类: 基于主机的入侵检测系统:主机型IDS驻留在一台主机上,监 控那些有入侵动作的机器。 基于网络的入侵检测系统:对流动在网络中的其他主机发送和 接收的流量进行监控。 根据技术(分析方法或分析引擎),可以将IDS划分为误用 检测系统和异常检测系统。 根据IDS的系统结构,可分为集中式、等级式和分布式三种.
8.2.1 基于主机的入侵检测系统HIDS
基于主机的入侵检测系统( Host-based IDS,HIDS )的输入 数据来源于系统的审计日志,它只能检测发生在这个主机上 的入侵行为。 这种检测系统一般应用在系统服务器、用户机器和工作站上。 检测的目标主要是主机系统和系统本地用户。 检测的原理是根据主机的审计数据和系统的日志发现可疑事 件,检测系统可以运行在被检测的主机或单独的主机上。 最适合于检测那些可以信赖的内部人员的误用以及已经避开 了传统的检测方法而渗透到网络中的活动。 基于主机的IDS系统的优点是能够校验出攻击是成功还是 失败;可使特定的系统行为受到严密监控等。缺点是它会占 用主机的资源,要依赖操作系统等。
8.1 入侵检测系统概述
入侵检测系统(IDS, Intrusion Detection System)通过 对网络中的数据包或主机的日志等信息进行提取、分析,发 现入侵和攻击行为,并对入侵或攻击作出响应。入侵检测系 统在识别入侵和攻击时具有一定的智能,这主要体现在入侵 特征的提取和汇总、响应的合并与融合、在检测到入侵后能 够主动采取响应措施等方面,所以说,入侵检测系统是一种 主动防御技术。 网络入侵检测技术是网络动态安全的核心技术,相关设备和 系统是整个安全防护体系的重要组成部分。目前,防火墙沿 用的仍是静态安全防御技术,对于网络环境下日新月异的攻 击手段缺乏主动的响应,不能提供足够的安全保护;而网络 入侵检测系统却能对网络入侵事件和过程作出实时响应,与 防火墙共同成为网络安全的核心设备。 一个安全的完整的入侵检测系统必须具备以下特点:可行性、 安全性、实时性、扩展性。
第8章 入侵检测技术
入侵检测系统概述 ----IDS产生、原理、步骤、通用模型、功能 入侵检测系统分类(重点) 入侵检测技术(重点) 入侵诱骗技术 典型入侵检测系统—Snort 入侵检测产品选购 入侵检测的主要性能指标 网络入侵检测技术发展的三个阶段 -----IDS、IPS、IMS
8.1.3 入侵检测一般步骤
2.入侵数据分析 主要作用在于对数据进行深入分析,发现攻击并根据 分析的结果产生事件,传递给事件响应模块。常用技术有: 模式匹配、统计分析和完整性分析等。前两种方法用于实时 网络入侵检测,而完整性分析用于事后的计算机网络入侵检 测。 三种分析方法(重点) ① 模式匹配 ;模式匹配就是将收集到的信息与已知的计算 机网络入侵和系统误用模式数据库进行比较,从而发现违背 安全策略的行为。 ② 统计分析 :统计分析方法首先给系统对象(例如用户、 文件、目录和设备等)创建一个统计描述,统计正常使用时 的一些测量属性(例如访问次数、操作失败次数和时延 等)。 ③ 完整性分析 :完整性分析主要关注某个文件或对象是否 被更改。
基于主机的入侵检测系统图
审计数据
审计数据过滤 相关数据 审计分析
分析员
基于主机的入侵检测系统
总结: 数据来源:HIDS所保护的主机或服务器 主要用途:保护特定主机和运行关键应用的服务器 检测内容:系统调用、端口调用、审计记录、系统日志、应 用日志 监视和分析主机的审计记录和日志文件 最适合于检测那些可以信赖的内部人员的误用以及已经避开 了传统的检测方法而渗透到网络中的活动
经典的入侵检测系统的部署方式(基于主机)
8.2.2 基于网络的入侵检测系统NIDS
基于网络的入侵检测系统通过在共享网段上对通信数据进行 侦听,采集数据,分析可疑现象,系统根据网络流量、协议 分析、简单网络管理协议信息等检测入侵。 网络入侵检测系统(Network-based IDS,NIDS)放臵在网络基 础设施的关键区域,监控流向其他主机的流量。 基于网络的IDS一般安装在需要保护的网段中,利用网络侦 听技术实时监视网段中传输的各种数据包,并对这些数据包 的内容、源地址、目的地址等进行分析和检测。如果发现入 侵行为或可疑事件,入侵检测系统就会发出警报甚至切断网 络连接。 在共享网段上对通信数据进行侦听采集数据 主机资源消耗较少 典型产品代表:Snort
8.1.3入侵检测一般步骤
3.入侵事件响应 事件响应模块的作用在于报警与反应,响 应方式分为主动响应和被动响应。 被动响应系统只会发出报警通知,将发生 的不正常情况报告给管理员,本身并不试图 降低所造成的破坏,更不会主动地对攻击者 采取反击行动。 主动响应系统可以分为对被攻击系统实施 保护(如:阻断攻击、影响并改变进程)和 对攻击系统实施反击的系统。
在网络入侵检测系统 模型中,事件产生器、事 件分析器和响应单元通常 以应用程序的形式出现, 而事件数据库则往往以文 件或数据流的形式出现。
8.1.4 通用入侵检测框架
(1)事件产生器:事件产生器从系统所处的计算机网络环境中采集原始
数据,并将收集到的原始数据转换为事件,并将这些事件传送给其他组件。 (2)事件数据库:是各种原始数据或已加工过数据的存储器。用来存储 事件产生器和事件分析器产生的临时事件,以备系统需要的时候使用。 (3)事件分析器:事件分析器可以是一个特征检测工具,用于在一个事 件序列中检查是否有已知的攻击特征;也可以是一个统计分析工具,检查现 在的事件是否与以前某个事件来自同一个事件序列;此外,事件分析器还可 以是一个相关器,观察事件之间的关系,将有联系的事件放到一起,以利于 以后的进一步分析。 (4)响应单元:响应单元根据事件产生器检测到的和事件分析器分析到 的入侵行为而采取相应的响应措施。根据响应策略采取相应的行为,发出命 令响应攻击,如简单的报警、杀死进程、切断连接、改变文件属性等。