入侵检测系统
入侵检测系统
入侵检测系统的组成
IETF(互联网工程任务组—The Internet Engineering Task Force)将一个入侵检测系统分为四个组件: • 事件产生器(Event generators):目的是从整个计算环境中获得 事件,并向系统的其他部分提供此事件。 • 事件分析器(Event analyzers):分析得到的数据,并产生分析 结果。 • 响应单元(Response units ):对分析结果作出作出反应的功能 单元,它可以作出切断连接、改变文件属性等强烈反应,也可以 只是简单的报警。 • 事件数据库(Event databases ):存放各种中间和最终数据的 地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测系统的简介
入侵检测系统的特点:ຫໍສະໝຸດ • • • 不需要人工干预即可不间断地运行 有容错功能 不需要占用大量的系统资源 能够发现异于正常行为的操作 能够适应系统行为的长期变化 判断准确 灵活定制 保持领先 IDS对数据的检测; 对IDS自身攻击的防护。 由于当代网络发展迅速,网络传输速率大大加快,这造成了IDS工作 的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对 对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技 术的不完善,IDS的高虚警率也是它的一大问题。
IDS的缺点:
6.1.3 入侵行为误判 入侵行为的误判分为正误判、负误判和失控误判三种类型。 • 正误判:把一个合法操作判断为异常行为;
•
•
负误判:把一个攻击行为判断为非攻击行为并允许它通过检测;
失控误判:是攻击者修改了IDS系统的操作,使他总是出现负误判;
常见的网络入侵检测系统(IDS)和入侵防御系统(IPS)
常见的网络入侵检测系统(IDS)和入侵防御系统(IPS)网络入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)是当今网络安全领域中非常重要的组成部分。
它们被广泛应用于各种网络环境中,包括企业网络、个人用户网络等。
本文将介绍一些常见的网络入侵检测系统和入侵防御系统,并探讨它们的工作原理和应用。
一、网络入侵检测系统(IDS)网络入侵检测系统用于监测网络中的异常活动和入侵行为。
它通过分析网络流量和系统日志来发现潜在的入侵事件,并及时进行警报。
IDS可以分为两种类型:基于签名的IDS和基于行为的IDS。
1.1 基于签名的IDS基于签名的IDS使用预定义的规则集合(也称为签名)来检测已知的入侵行为。
这些规则基于已知的攻击模式和攻击者使用的特定工具或技术。
当网络流量或系统日志与这些签名匹配时,IDS会发出警报。
1.2 基于行为的IDS基于行为的IDS通过对网络流量和系统行为的实时监测来检测未知的入侵行为。
它使用机器学习和行为分析算法来建立正常网络活动的基线,当检测到偏离基线的行为时,IDS会发出警报。
二、入侵防御系统(IPS)入侵防御系统与入侵检测系统类似,但不仅仅是检测入侵行为,还可以主动地阻止潜在的攻击。
IPS可以分为两种类型:基于规则的IPS和基于行为的IPS。
2.1 基于规则的IPS基于规则的IPS使用与IDS相似的签名规则集合来检测已知的入侵行为,并采取相应的阻止措施,比如阻止源IP地址或关闭特定的网络服务。
它可以在实时中断攻击流量或阻断攻击者与目标之间的连接。
2.2 基于行为的IPS基于行为的IPS通过分析网络流量和系统行为来检测未知的入侵行为,并采取相应的阻止措施。
它使用机器学习和行为分析算法来建立正常网络活动的基线,并监测偏离基线的行为。
当检测到异常行为时,IPS会实时采取措施进行防御。
入侵检测
入侵检测系统及部署一.什么是入侵检测系统?入侵检测系统(intrusion detection system,简称“IDS”),是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。
同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。
图 1 入侵检测系统二.入侵检测系统的主要功能IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。
IDS 入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。
[1]这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
图 2 入侵检测系统的主要功能三.入侵检测系统的分类根据检测数据的采集来源,入侵检测系统可以分为:基于网络的入侵检测系统(NIDS) 和基于主机的入侵检测系统(HIDS)。
基于主机的入侵检测系统(HIDS):HIDS一般是基于代理的,即需要在被保护的系统上安装一个程序。
HIDS用于保护关键应用的服务器,实时监视可疑的连接、系统日志、非法访问的闯入等,并且提供对典型应用的监视。
网络安全防护的入侵检测系统
网络安全防护的入侵检测系统随着互联网的普及和网络技术的快速发展,我们越来越依赖于网络来完成各种任务和活动。
然而,网络的普及也带来了一系列安全威胁,如入侵、黑客攻击等。
因此,建立有效的网络安全防护措施变得非常重要。
其中,入侵检测系统(Intrusion Detection System,IDS)作为网络安全防护的重要组成部分,具有检测和应对网络入侵的功能,对于保护网络安全具有巨大的意义。
一、入侵检测系统的概念和作用入侵检测系统是一种监视网络或系统中异常活动的安全设备,它的作用是检测和分析网络中的恶意行为和入侵事件,并及时采取应对措施。
入侵检测系统通过监控网络流量、分析日志和异常行为等手段,发现并警报任何可能的入侵事件,从而及时保护网络安全。
二、入侵检测系统的分类根据工作原理和部署位置的不同,入侵检测系统可以分为主机入侵检测系统(Host-based IDS)和网络入侵检测系统(Network-based IDS)两种类型。
1. 主机入侵检测系统主机入侵检测系统部署在主机上,通过监视主机行为,检测并分析主机上的异常活动。
主机入侵检测系统能够捕获主机级别的信息,如文件修改、注册表变化、系统文件损坏等。
它主要用于检测主机上的恶意软件、病毒、木马等威胁,并能及时阻止它们对系统的进一步侵害。
2. 网络入侵检测系统网络入侵检测系统部署在网络上,通过监视网络流量,检测并分析网络中的异常活动。
网络入侵检测系统能够捕获网络层次的信息,如IP地址、端口号、协议类型等。
它主要用于检测网络流量中的入侵行为、DDoS攻击、端口扫描等,并能及时阻止它们对网络的进一步侵害。
三、入侵检测系统的工作原理入侵检测系统主要通过以下几个步骤来实现入侵检测和预防:1. 监控和收集信息入侵检测系统通过监控网络流量、日志和系统行为等方式,收集和获取信息。
网络入侵检测系统可以通过流量分析技术、协议分析技术等来获取数据,而主机入侵检测系统则可以通过监视主机上的日志和系统行为来获取数据。
入侵检测系统简介
入侵检测系统简介入侵检测系统(Intrusion Detection System,简称IDS)是一种用于保护计算机网络免受未经授权的访问和恶意攻击的安全工具。
它通过监控和分析网络流量以及系统日志,识别出潜在的入侵行为,并及时生成警报,帮助管理员采取适当的措施保护网络的安全。
一、入侵检测系统的作用入侵检测系统主要具有以下几个作用:1. 发现未知入侵行为:入侵检测系统可以分析网络流量和系统日志,通过与已知的入侵特征进行比较,识别出未知的入侵行为。
这有助于及时发现并应对新型的攻击手段。
2. 预防未知威胁:IDS可以根据已知的威胁情报对网络流量进行实时分析,从而及早发现潜在的威胁。
管理员可以通过及时更新系统规则和策略来增强网络的安全性,提前避免可能的攻击。
3. 提供实时警报和反馈:IDS能够实时监控网络流量和系统状态,并及时发出警报。
这可以帮助管理员快速响应并采取适当的措施,以减少潜在的损害或数据泄露。
4. 支持安全审计和合规性要求:入侵检测系统可以记录网络活动并生成详细的日志报告,为安全审计提供可靠的数据。
此外,IDS还可以帮助组织满足合规性要求,如GDPR、HIPAA等。
二、入侵检测系统的类型根据工作原理和部署方式的不同,入侵检测系统可以分为以下几类:1. 签名型入侵检测系统(Signature-based IDS):这种类型的IDS使用已知的攻击特征来检测入侵行为。
它会将已知的攻击签名与网络流量进行比对,如果匹配成功,则判断为入侵。
由于该类型IDS需要事先定义并更新大量的攻击签名,因此对于未知的攻击手段无法有效检测。
2. 基于异常行为检测的入侵检测系统(Anomaly-based IDS):这类IDS会建立正常网络活动的行为模型,并通过与该模型的比较来检测异常行为。
它可以及时发现未知的入侵行为,但也容易产生误报。
该类型IDS需要较长时间的学习和适应阶段,并需要不断调整和优化行为模型。
3. 巚杂入侵检测系统(Hybrid IDS):这是一种结合了签名型和基于异常行为检测的入侵检测系统的混合型IDS。
网络入侵检测系统
网络入侵检测系统随着互联网的迅猛发展和普及,网络安全问题变得越来越重要。
在当今这个数字化时代,大量的个人和机构数据存储在云端或私人网络中,网络入侵已成为一种威胁。
为了保障网络安全,网络入侵检测系统(Intrusion Detection System,简称IDS)应运而生。
一、什么是网络入侵检测系统网络入侵检测系统是一种用于监测网络流量并检测潜在入侵行为的安全工具。
它的主要功能是监控网络中传输的数据,并根据预设规则和算法,识别出可能的入侵行为,并及时发出警报,以便管理员及时采取相应措施。
二、网络入侵检测系统的种类1. 主机入侵检测系统(Host-based Intrusion Detection System,简称HIDS)主机入侵检测系统是安装在主机上的一种入侵检测软件,通过监控主机上的日志文件、系统调用和文件系统等,来识别可能的入侵行为。
2. 网络入侵检测系统(Network-based Intrusion Detection System,简称NIDS)网络入侵检测系统则是在网络中的媒介上来监测网络流量,通过分析网络中的数据包,来识别出可能的入侵行为。
它可以在网络交换机、路由器或防火墙上进行部署。
三、网络入侵检测系统的工作原理1. 网络流量监测网络入侵检测系统通过监听网络上的数据流量,收集传输的数据包进行分析。
它可以检测到内外部的通信,并对通信中的数据进行监控。
2. 入侵检测规则在网络入侵检测系统中,管理员可以设定一系列的规则来识别入侵行为。
这些规则涵盖了常见的入侵手法和攻击方式,并且根据个人或组织的需求来进行定制。
系统会根据这些规则来分析流量中的数据包,找出可能的入侵行为。
3. 入侵警报和响应当网络入侵检测系统发现潜在的入侵行为时,它会根据事先设定的策略发出警报。
管理员可以根据警报的级别和类型,采取相应的响应措施来应对入侵行为,例如阻止数据流量、断开与恶意源的连接等。
四、网络入侵检测系统的优势和挑战1. 优势网络入侵检测系统能够及时识别出潜在的入侵行为,帮助管理员迅速采取应对措施,保障网络的安全。
入侵检测系统 IDS
集中式架构
通过中心节点收集和处理网络中所 有节点的数据,实现全局检测和响 应,适用于规模较小的网络。
混合式架构
结合分布式和集中式架构的优点, 实现分层检测和响应,提高检测效 率和准确性,同时降低误报率。
设备配置与参数设置
设备选型
根据网络规模、流量、安 全需求等因素,选择适合 的IDS设备,如硬件IDS、 软件IDS或云IDS等。
数据分析
IDS使用各种检测算法和技术,如模 式匹配、统计分析、行为分析等,对 收集到的数据进行分析,以识别潜在 的攻击行为或异常活动。
响应与记录
IDS可以采取自动或手动响应措施, 如阻断攻击源、通知管理员等,并记 录相关活动以供后续分析和调查。
常见类型与特点
基于网络的IDS(NIDS)
NIDS部署在网络中,通过监听网络流量来检测攻击。它可以实时监测并分析网络数据包 ,以识别潜在的攻击行为。NIDS具有部署灵活、可扩展性强的特点。
参数配置
根据网络环境和安全策略 ,配置IDS设备的参数,如 检测规则、阈值、日志存 储等。
设备联动
将IDS设备与其他安全设备 (如防火墙、SIEM等)进 行联动,实现安全事件的 自动响应和处置。
数据收集、处理和分析流程
数据收集
通过镜像、分流等方式,将网 络流量数据收集到IDS设备中。
数据处理
对收集到的数据进行预处理, 如去重、过滤、格式化等,以 便于后续的分析和检测。
新兴技术对IDS的影响和启示
人工智能和机器学习
通过应用人工智能和机器学习技术,IDS可以实现对网络 流量的智能分析和威胁的自动识别,提高检测效率和准确 性。
大数据分析技术
借助大数据分析技术,IDS可以对海量数据进行深入挖掘 和分析,发现隐藏在其中的威胁和异常行为。
介绍主流的入侵检测系统及其选择要素
介绍主流的入侵检测系统及其选择要素入侵检测系统是网络安全中至关重要的一部分,可以帮助组织及个人发现和阻止未经授权的访问、恶意软件和其他网络威胁。
随着网络威胁的不断增加和演变,主流的入侵检测系统不断发展和创新,以满足不同需求和预算。
本文将介绍几种主流的入侵检测系统及其选择要素,帮助读者了解和选择适合自己的系统。
1. 网络入侵检测系统(NIDS)网络入侵检测系统(Network Intrusion Detection System,简称NIDS)在网络上监视和分析网络流量,以侦测和报告潜在的入侵行为。
NIDS通常部署在网络的关键节点上,能够实时监控网络流量,通过比对已知的攻击特征来识别潜在的入侵行为。
一些主流的NIDS包括Snort、Suricata等。
选择NIDS时,要考虑以下要素:- 可定制性:一个好的NIDS应该能够支持用户定制规则,以适应不同网络环境和需求。
- 支持的协议:确保NIDS能够监测和分析常见的网络协议,以便有效检测各种类型的入侵行为。
- 实时性:NIDS应具备实时监测和报告功能,以快速响应潜在的入侵威胁,降低网络风险。
- 易用性:考虑到用户可能没有专业的安全技术背景,选择一个易于配置和使用的NIDS,有助于提高安全性。
2. 主机入侵检测系统(HIDS)主机入侵检测系统(Host Intrusion Detection System,简称HIDS)是在主机操作系统上运行的入侵检测系统,用于监视和分析特定主机的活动。
HIDS可以检测和报告主机上的异常行为,如未经授权的文件修改、系统配置更改等。
主流的HIDS包括OSSEC、Tripwire等。
选择HIDS时,要考虑以下要素:- 完整性监测:一个好的HIDS应该能够监测和检测主机文件和配置的完整性,以及对系统重要文件的未经授权修改。
- 实时监测:HIDS应该能够实时监测主机活动,及时发现并报告异常行为。
- 资源消耗:考虑HIDS对主机资源的消耗情况,选择一个能够平衡安全性和资源需求的系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7.1
入侵检测系统概述
7.1.3 入侵检测系统的作用
监控网络和系统 监控网络和系统 发现入侵企图或异常现象 发现入侵企图或异常现象 实时报警 实时报警 主动响应 主动响应 审计跟踪 审计跟踪
形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据, 形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据, 同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、 同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网 络数据,它还是X光摄像机 能够穿透一些巧妙的伪装, 光摄像机, 络数据,它还是 光摄像机,能够穿透一些巧妙的伪装,抓住实际的内 它还不仅仅只是摄像机,还包括保安员的摄像机. 容。它还不仅仅只是摄像机,还包括保安员的摄像机
13
7.2
入侵检测的原理与技术
网络IDS的劣势 的劣势 网络 (1)不适合交换环境和高速环境 不适合交换环境和高速环境 (2)不能处理加密数据 不能处理加密数据 (3) 资源及处理能力局限 (4) 系统相关的脆弱性
14
7.2
入侵检测的原理与技术
7.2.1 入侵检测的实现方式
2、主机IDS: 主机IDS: IDS 运行于被检测的主机之上,通过查询、 运行于被检测的主机之上,通过查询、监听当前系统 的各种资源的使用运行状态, 的各种资源的使用运行状态,发现系统资源被非法使用和 修改的事件,进行上报和处理。 修改的事件,进行上报和处理。 – 安装于被保护的主机中 – 主要分析主机内部活动 – 占用一定的系统资源
7
7.1
入侵检测系统概述
8
7.1
入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年 1980年,概念的诞生 1984~1986年,模型的发展 1984~1986年 1990年 形成网络IDS和主机IDS两大阵营 1990年,形成网络IDS和主机IDS两大阵营 IDS和主机IDS 九十年代后至今,百家争鸣、 九十年代后至今,百家争鸣、繁荣昌盛
16
7.2
入侵检测的原理与技术
主机IDS的劣势 的劣势 主机 (1) HIDS对被保护主机的影响。 对被保护主机的影响。 对被保护主机的影响 (2) HIDS的安全性受到宿主操作系统的限制。 的安全性受到宿主操作系统的限制。 的安全性受到宿主操作系统的限制 (3) HIDS的数据源受到审计系统限制。 的数据源受到审计系统限制。 的数据源受到审计系统限制 (4) 被木马化的系统内核能够骗过 被木马化的系统内核能够骗过HIDS。 。 (5) 维护 升级不方便。 维护/升级不方便 升级不方便。
10
7.2
入侵检测的原理与技术
7.2.1 入侵检测的实现方式
1、网络IDS: 网络IDS: IDS 网络IDS是网络上的一个监听设备(或一个专用主机) 网络IDS是网络上的一个监听设备(或一个专用主机), IDS是网络上的一个监听设备 通过监听网络上的所有报文,根据协议进行分析, 通过监听网络上的所有报文,根据协议进行分析,并报告 网络中的非法使用者信息。 网络中的非法使用者信息。 –安装在被保护的网段(通常是共享网络,交换环境中交 安装在被保护的网段(通常是共享网络, 安装在被保护的网段 换机需支持端口映射) 换机需支持端口映射)中 –混杂模式监听 混杂模式监听 –分析网段中所有的数据包 分析网段中所有的数据包 –实时检测和响应 实时检测和响应
4
7.1
入侵检测系统概述
7.1.2 入侵检测
入侵检测( Detection) 入侵检测(Intrusion Detection)技术是一种动态的网 络检测技术,主要用于识别对计算机和网络资源的恶意使用行 络检测技术, 包括来自外部用户的入侵行为和内部用户的未经授权活动。 为,包括来自外部用户的入侵行为和内部用户的未经授权活动。 一旦发现网络入侵现象,则应当做出适当的反应。 一旦发现网络入侵现象,则应当做出适当的反应。对于正在进 行的网络攻击,则采取适当的方法来阻断攻击( 行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联 ),以减少系统损失 对于已经发生的网络攻击, 以减少系统损失。 动),以减少系统损失。对于已经发生的网络攻击,则应通过 分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强 分析日志记录找到发生攻击的原因和入侵者的踪迹, 网络系统安全性和追究入侵者法律责任的依据。 网络系统安全性和追究入侵者法律责任的依据。它从计算机网 络系统中的若干关键点收集信息,并分析这些信息, 络系统中的若干关键点收集信息,并分析这些信息,看看网络 中是否有违反安全策略的行为和遭到袭击的迹象。 中是否有违反安全策略的行为和遭到袭击的迹象。
5
7.1
入侵检测系统概述
入侵检测系统
入侵检测系统(IDS)由入侵检测的软件与硬件组合而 入侵检测系统( IDS) 被认为是防火墙之后的第二道安全闸门, 成,被认为是防火墙之后的第二道安全闸门,在不影响网络 性能的情况下能对网络进行监测,提供对内部攻击、 性能的情况下能对网络进行监测,提供对内部攻击、外部攻 击和误操作的实时保护。这些都通过它执行以下任务来实现: 击和误操作的实时保护。这些都通过它执行以下任务来实现: 监视、分析用户及系统活动。 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 系统构造和弱点的审计。 识别反映已知进攻的活动模式并向相关人士报警。 3)识别反映已知进攻的活动模式并向相关人士报警。 异常行为模式的统计分析。 4)异常行为模式的统计分析。 评估重要系统和数据文件的完整性。 5)评估重要系统和数据文件的完整性。 操作系统的审计跟踪管理, 6)操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。 略的行为。
17
7.2
入侵检测的原理与技术
3、两种实现方式的比较: 两种实现方式的比较: 1)如果攻击不经过网络基于网络的IDS无法检测到只能 1)如果攻击不经过网络基于网络的IDS无法检测到只能 如果攻击不经过网络基于网络的IDS 通过使用基于主机的IDS来检测; 通过使用基于主机的IDS来检测; IDS来检测 2)基于网络的IDS通过检查所有的包头来进行检测, 2)基于网络的IDS通过检查所有的包头来进行检测,而 基于网络的IDS通过检查所有的包头来进行检测 基于主机的IDS并不查看包头。主机IDS往往不能识别基于 基于主机的IDS并不查看包头。主机IDS往往不能识别基于 IDS并不查看包头 IDS IP的拒绝服务攻击和碎片攻击 的拒绝服务攻击和碎片攻击; IP的拒绝服务攻击和碎片攻击; 3)基于网络的IDS可以研究数据包的内容,查找特定攻 3)基于网络的IDS可以研究数据包的内容, 基于网络的IDS可以研究数据包的内容 击中使用的命令或语法, 击中使用的命令或语法,这类攻击可以被实时检查包序列 IDS迅速识别 而基于主机的系统无法看到负载, 迅速识别; 的IDS迅速识别;而基于主机的系统无法看到负载,因此也 无法识别嵌入式的数据包攻击。 无法识别嵌入式的数据包攻击。
9
7.2
入侵检测的原理与技术
7.2.1 入侵检测的实现方式
入侵检测系统根据数据包来源的不同, 入侵检测系统根据数据包来源的不同,采用不用的实 现方式,一般地可分为网络型、主机型, 现方式,一般地可分为网络型、主机型,也可是这两种类 型的混合应用。 型的混合应用。 基于网络的入侵检测系统(NIDS) 基于网络的入侵检测系统(NIDS) 基于网络的入侵检测系统 基于主机的入侵检测系统(HIDS) 基于主机的入侵检测系统(HIDS) 基于主机的入侵检测系统 混合型入侵检测系统(Hybrid IDS) 混合型入侵检测系统( IDS) 混合型入侵检测系统
3
7.1
入侵检测系统概述
7.1.1 相关术语
入侵 对信息系统的非授权访问及(或)未经许可在信息系统中进 对信息系统的非授权访问及( 对信息系统的非授权访问及 行操作 入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进行识别的 对企图入侵、 对企图入侵 过程 入侵检测系统(IDS) 入侵检测系统( ) 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具
第7章
入侵检测技术
本章学习目标: 本章学习目标:
了解入侵检测系统的原理 掌握入侵检测系统的核心技术 了解入侵检测系统的作用 了解入侵检测技术的发展趋势 掌握入侵检测系统在网络安全中的地位 掌握评源自入侵检测系统的性能指标7.1
入侵检测系统概述
防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡 防火墙是所有保护网络的方法中最能普遍接受的方法, 外部入侵者,但对内部攻击无能为力;同时, 外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不 可摧的,即使是某些防火墙本身也会引起一些安全问题。 可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不 能防止通向站点的后门,不提供对内部的保护, 能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动 型的攻击,不能防止用户由Internet Internet上下载被病毒感染的计算机程 型的攻击,不能防止用户由Internet上下载被病毒感染的计算机程 序或将该类程序附在电子邮件上传输。 序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网络攻击, 入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩 展了系统管理员的安全管理能力(包括安全审计、监视、 展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别 和响应) 提高了信息安全基础结构的完整性。 和响应),提高了信息安全基础结构的完整性。
2
7.1
入侵检测系统概述
7.1.1 相关术语
攻击 攻击者利用工具,出于某种动机,对目标系统采取的行动, 攻击者利用工具, 攻击者利用工具 出于某种动机,对目标系统采取的行动, 其后果是获取/破坏 破坏/篡改目标系统的数据或访问权限 其后果是获取 破坏 篡改目标系统的数据或访问权限 事件 在攻击过程中发生的可以识别的行动或行动造成的后果;在 在攻击过程中发生的可以识别的行动或行动造成的后果; 在攻击过程中发生的可以识别的行动或行动造成的后果 入侵检测系统中,事件常常具有一系列属性和详细的描述信 入侵检测系统中, 息可供用户查看。 息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统 称为事件( 称为事件(event) )