网络入侵检测技术
网络安全领域中的入侵检测技术
网络安全领域中的入侵检测技术随着互联网的发展,网络安全成为人们极为关注的问题。
入侵检测技术是网络安全领域中的一个重要分支,它可以帮助我们发现网络中的攻击行为。
在本文中,我们将讨论入侵检测技术的一些基本概念、技术原理以及应用现状。
一、入侵检测技术的基本概念入侵检测技术(Intrusion Detection Technology,IDT)是指基于一定的规则或模型,利用计算机技术对网络中的攻击行为进行检测、识别和报告的技术。
入侵检测技术主要分为两种:基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)。
1. 基于主机的入侵检测系统基于主机的入侵检测系统是一种利用主机上的日志、配置和文件等信息来检测并识别攻击行为的技术。
它可以监测主机的各种事件,如登录、文件修改、进程创建等等,以此来发现恶意行为。
基于主机的入侵检测系统通常运行在被保护的主机上,可以及时发现、记录和报告异常事件。
2. 基于网络的入侵检测系统基于网络的入侵检测系统是一种利用网络中的数据包来检测并识别攻击行为的技术。
它可以监测网络中的数据流,依据规则或模型来判断是否存在异常数据流,以此来发现攻击行为。
基于网络的入侵检测系统通常部署在网络上的节点上,可以发现整个网络中的异常行为。
二、入侵检测技术的技术原理入侵检测技术的核心是识别网络中的恶意行为。
入侵检测技术根据检测对象的不同,其技术原理也有所不同。
1. 基于主机的入侵检测技术原理基于主机的入侵检测技术原理是利用主机上的系统日志、配置和文件等信息,通过分析这些信息来监测主机的各种事件。
基于主机的入侵检测技术可以分为两类:基于签名检测和基于行为分析。
基于签名检测的入侵检测技术是利用已知的攻击特征来进行匹配,以此来判断是否存在攻击行为。
网络安全的入侵检测方法
网络安全的入侵检测方法随着互联网的广泛应用和发展,网络安全问题日益受到关注。
网络入侵已经成为网络安全的一个重要环节。
为了保护网络安全,我们需要有效的入侵检测方法。
本文将介绍几种常用的网络安全的入侵检测方法。
一、基于特征的入侵检测方法基于特征的入侵检测方法是通过分析已知的攻击特征,实现对入侵行为的检测。
这种方法的核心是构建特征数据库,将各种已知攻击的特征进行收集和分类。
当网络中出现与这些特征相似的行为时,就可以判定为入侵行为。
二、基于异常行为的入侵检测方法基于异常行为的入侵检测方法是通过监视网络流量、主机活动等,检测出与正常行为不一致的异常行为。
这种方法的核心是建立对正常行为的模型,当网络中出现与模型不一致的行为时,就可以判定为入侵行为。
三、基于机器学习的入侵检测方法基于机器学习的入侵检测方法是利用机器学习算法对网络流量、主机活动等数据进行分析和学习,建立模型来判断是否存在入侵行为。
该方法可以通过对大量数据的学习和训练,提高入侵检测的准确性和效率。
四、基于行为规则的入侵检测方法基于行为规则的入侵检测方法是制定一系列网络安全策略和规则,通过监控网络活动,检测与规则不符的行为,判断是否存在入侵行为。
这种方法的核心是对网络行为进行规范和规则制定,通过与规则进行比对来进行入侵检测。
五、混合入侵检测方法混合入侵检测方法是将多种入侵检测方法结合起来,通过综合分析多个入侵检测方法的结果,提高入侵检测的准确性和可靠性。
这种方法可以综合利用各种入侵检测方法的优点,弥补单一方法的不足,提高入侵检测的效果。
总结:网络安全的入侵检测是确保网络安全的重要环节。
本文介绍了几种常用的入侵检测方法,包括基于特征、异常行为、机器学习、行为规则等不同的方法。
每种方法都有其优点和适用场景,可以通过综合应用来提高入侵检测的效果。
在实际应用中,也可以根据具体情况结合使用多种方法,以更好地保护网络安全。
网络安全入侵检测方法的发展是一个不断演进和改进的过程,我们需要不断关注最新的技术和方法,及时更新和优化入侵检测策略,以应对不断变化的网络安全威胁。
入侵检测技术名词解释
入侵检测技术名词解释入侵检测技术是指一种用于检测网络安全漏洞、攻击、恶意软件和其他安全威胁的技术。
它可以检测网络中的异常活动,例如未经授权的访问、数据泄露、网络攻击等。
入侵检测技术通常由一系列算法和工具组成,用于分析网络数据包、检测恶意软件的行为和识别潜在的安全漏洞。
以下是入侵检测技术的一些主要名词解释:1. 入侵检测系统(IDS):是一种能够检测网络安全威胁的计算机系统,通常使用算法和规则来检测异常活动,例如IP地址欺骗、SYN洪水、恶意软件等。
2. 入侵防御系统(IDS):是一种能够防止网络安全威胁的计算机系统,通常使用算法和规则来检测和阻止未经授权的访问、攻击和其他安全威胁。
3. 入侵者分析器(IA):是一种用于分析网络数据包的计算机系统,可以检测和识别潜在的安全漏洞和恶意软件。
4. 漏洞扫描器:是一种用于扫描网络和系统漏洞的计算机系统,可以检测和识别系统中的漏洞,以便及时修复。
5. 行为分析器:是一种用于分析网络和系统行为的工具,可以检测和识别恶意软件和其他安全威胁。
6. 漏洞报告器:是一种用于向管理员报告漏洞的计算机系统,以便及时修复。
7. 防火墙:是一种用于保护网络和系统的设备,可以过滤网络流量并防止未经授权的访问。
8. 入侵检测和响应计划:是一种用于检测和响应网络安全威胁的系统和计划,通常包括一个IDS和一个IPS(入侵防御系统)的组合,以保护网络和系统免受入侵者的攻击。
随着网络安全威胁的不断增多,入侵检测技术也在不断发展和改进。
IDS和IPS技术已经越来越成熟,并且可以通过结合其他技术和工具来提高其检测和响应能力。
入侵检测技术不仅可以用于个人网络,还可以用于企业、政府机构和其他组织的网络安全。
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当今社会中的一个重要议题,随着互联网的普及和信息技术的迅速发展,网络攻击和入侵事件屡见不鲜。
为了保护网络系统和用户的安全,研究人员和安全专家们积极探索各种入侵检测技术。
本文将综述几种常见的入侵检测技术,并分析它们的特点和应用。
一、入侵检测技术的概念入侵检测技术(Intrusion Detection Technology)是指通过对网络通信流量、系统日志、主机状态等进行监控和分析,及时发现和识别已发生或即将发生的入侵行为。
其目的是快速准确地发现并阻止潜在的安全威胁,保护网络系统和用户的数据安全。
二、基于签名的入侵检测技术基于签名的入侵检测技术(signature-based intrusion detection)是一种传统而有效的检测方法。
它通过预定义的规则集合,检测网络流量中是否存在已知的攻击模式。
这种技术的优点在于准确率高,适用于已知攻击的检测。
然而,缺点也显而易见,就是无法检测未知攻击和变异攻击。
三、基于异常行为的入侵检测技术基于异常行为的入侵检测技术(anomaly-based intrusion detection)通过建立正常行为模型,检测网络流量中的异常行为。
相比于基于签名的方法,这种技术更具有普遍性,能够发现未知攻击。
然而,误报率较高是其主要问题之一,因为正常行为的变化也会被误判为异常。
四、混合型入侵检测技术为了克服单一方法的局限性,许多研究者提出了混合型入侵检测技术。
这些方法综合了基于签名和基于异常行为的特点,在检测效果上有所提高。
其中,流量分析、机器学习、数据挖掘等技术的应用,使得混合型入侵检测技术更加精准和智能化。
五、网络入侵检测系统的架构网络入侵检测系统(Intrusion Detection System,简称IDS)是实现入侵检测的关键组件。
其整体架构包括数据采集、数据处理、检测分析、警报响应等模块。
数据采集模块负责收集网络流量、日志信息等数据;数据处理模块负责对采集到的数据进行预处理和分析;检测分析模块负责使用各种入侵检测技术进行实时监测和分析;警报响应模块负责生成报警信息并采取相应的应对措施。
网络信息安全中的入侵检测与防御技术
网络信息安全中的入侵检测与防御技术在当今日益发展的互联网时代,网络信息安全问题备受关注。
网络入侵已成为威胁企业和个人网络安全的重要问题。
为了保护网络系统的安全,入侵检测与防御技术逐渐成为网络安全领域的焦点。
本文将深入探讨网络信息安全中的入侵检测与防御技术。
一、入侵检测技术入侵检测技术是指通过监控和分析网络流量和系统日志,检测并识别潜在的网络入侵行为。
入侵检测技术主要分为两类:基于特征的入侵检测和基于行为的入侵检测。
1. 基于特征的入侵检测基于特征的入侵检测是通过事先学习和建立入侵行为的特征数据库,来判断网络流量中是否存在已知的入侵行为。
这种方法需要专家不断更新和维护特征数据库,以及频繁的数据库查询,因此对计算资源和时间都有较高的要求。
2. 基于行为的入侵检测基于行为的入侵检测是通过分析网络流量和系统日志,识别并建立正常行为模型,进而检测出异常行为。
这种方法相对于基于特征的入侵检测更加灵活和自适应,能够应对未知的入侵行为。
二、入侵防御技术入侵防御技术是指通过各种手段和方法,保护网络系统免受入侵行为的侵害。
入侵防御技术主要分为主动防御和被动防御两种类型。
1. 主动防御主动防御是指在网络系统中主动采取措施,预防和减少入侵行为的发生。
常见的主动防御手段包括:加密通信、访问控制、强化身份认证、安全审计和漏洞修补等。
主动防御需要对网络系统进行全面的安全规划和布局,以保证整个网络体系的安全性。
2. 被动防御被动防御是指在入侵行为发生后,通过监控和响应措施,减少入侵对网络系统造成的损害。
常见的被动防御手段包括:网络入侵检测系统的部署、实时告警和事件响应等。
被动防御需要及时发现和应对入侵行为,以减少网络系统的损失。
三、入侵检测与防御技术的未来发展随着网络入侵技术的不断演进,入侵检测与防御技术也在不断发展和创新。
未来的发展趋势主要体现在以下几个方面:1. 智能化与自适应未来的入侵检测与防御技术将更加智能化和自适应,能够根据网络的动态变化和入侵行为的特点,及时调整策略和规则,提高检测和防御的准确性和效率。
网络入侵检测技术
网络入侵检测技术网络入侵检测技术(Intrusion Detection System,简称IDS)是一种保护网络安全的重要手段。
随着网络的迅速发展和应用,网络安全问题日益突出,各种网络攻击活动不断涌现,给个人和企业带来严重风险。
因此,网络入侵检测技术的研究和应用变得尤为重要。
一、网络入侵检测技术的基本原理网络入侵检测技术主要通过监控网络流量和系统日志,识别并响应计算机网络中的恶意活动。
其基本原理分为两类:基于签名的入侵检测(Signature-based IDS)和基于行为的入侵检测(Behavior-based IDS)。
1. 基于签名的入侵检测基于签名的入侵检测采用特定的模式序列(即签名)来识别已知的攻击活动。
该技术通过与预先存储的签名数据库进行匹配,从而检测网络中的入侵行为。
它能够有效识别常见的攻击类型,但对于新型攻击缺乏有效识别能力。
2. 基于行为的入侵检测基于行为的入侵检测则通过分析和建模网络中的正常行为模式,并根据不正常的行为模式来识别入侵行为。
这种方法不依赖于已知的攻击特征,对未知攻击具有较好的应对能力。
然而,由于需要建立和维护复杂的行为模型,基于行为的入侵检测技术相对较为复杂和耗时。
二、网络入侵检测技术的分类根据部署位置和监测对象的不同,网络入侵检测技术可以分为网络入侵检测系统(Network IDS,NIDS)和主机入侵检测系统(Host IDS,HIDS)。
1. 网络入侵检测系统网络入侵检测系统是部署在网络边界或内部的设备,用于监测网络中的恶意流量和攻击行为。
它可以实时分析网络流量数据,发现可疑活动并及时采取措施。
网络入侵检测系统通常使用深度包检测(Deep Packet Inspection,DPI)技术,能够检测到传输层以上的攻击。
2. 主机入侵检测系统主机入侵检测系统是运行在主机上的软件程序,主要监测主机系统的安全状态和异常行为。
它通过监测主机上的日志、文件和系统调用等信息,检测入侵行为并及时发出警报。
入侵检测技术 第二版pdf
入侵检测技术第二版pdf引言概述:入侵检测技术是网络安全领域中至关重要的一环。
为了应对不断增长的网络威胁,入侵检测技术不断发展和更新。
本文将介绍入侵检测技术第二版PDF的内容,包括其结构、功能和应用。
正文内容:1. 入侵检测技术的基础知识1.1 入侵检测技术的定义和分类入侵检测技术是指通过对网络流量和系统日志的分析,识别和报告潜在的安全威胁。
根据检测方法的不同,入侵检测技术可分为基于特征的检测和基于行为的检测。
1.2 入侵检测技术的工作原理入侵检测技术通过监控网络流量和系统行为,检测异常活动和潜在的入侵行为。
它使用规则和模型来识别与已知攻击行为相匹配的模式,并通过实时监测和分析来提供警报和报告。
1.3 入侵检测技术的优势和局限性入侵检测技术可以及时发现并响应潜在的安全威胁,提高网络安全性。
然而,它也存在误报和漏报的问题,需要不断更新和优化以适应新的攻击方式。
2. 入侵检测技术第二版PDF的内容概述2.1 入侵检测技术的发展历程第二版PDF介绍了入侵检测技术的发展历程,包括早期的基于特征的检测方法和现代的基于行为的检测技术。
它还介绍了入侵检测技术在不同领域的应用和挑战。
2.2 入侵检测技术的新功能和算法第二版PDF详细介绍了新的功能和算法,用于提高入侵检测技术的准确性和效率。
其中包括机器学习算法、深度学习技术和云计算等新兴技术的应用。
2.3 入侵检测技术的实际案例和应用场景第二版PDF提供了实际案例和应用场景,展示了入侵检测技术在企业网络、云计算环境和物联网等不同领域的应用。
它还介绍了如何根据实际需求选择和配置入侵检测系统。
3. 入侵检测技术的挑战和解决方案3.1 入侵检测技术面临的挑战入侵检测技术面临着不断增长的网络威胁、大规模数据分析和隐私保护等挑战。
它需要应对新的攻击方式和快速变化的网络环境。
3.2 入侵检测技术的解决方案为了应对挑战,入侵检测技术可以采用自适应算法和混合检测方法,结合多个检测引擎和数据源。
企业网络入侵检测的关键技术有哪些
企业网络入侵检测的关键技术有哪些在当今数字化的商业世界中,企业的网络安全至关重要。
网络入侵不仅可能导致企业的敏感信息泄露,还可能对企业的运营和声誉造成严重损害。
为了保护企业网络的安全,入侵检测技术成为了关键的防线。
那么,企业网络入侵检测的关键技术都有哪些呢?一、基于特征的检测技术基于特征的检测技术是一种较为常见和传统的入侵检测方法。
它的工作原理就像是一个“通缉犯数据库”。
系统会事先收集和定义已知的入侵行为特征,比如特定的网络数据包模式、恶意软件的代码特征等。
当网络中的流量经过检测系统时,会与这些预先定义的特征进行比对。
如果匹配上了,就会发出警报,表明可能存在入侵行为。
这种技术的优点是检测准确率相对较高,特别是对于已知的攻击模式。
然而,它也有明显的局限性。
对于新出现的、未知的攻击,或者经过变异的攻击手段,基于特征的检测技术可能就无能为力了,因为它依赖于事先定义好的特征库。
二、基于异常的检测技术与基于特征的检测技术相反,基于异常的检测技术是通过建立正常网络行为的模型,然后监测网络活动是否偏离了这个正常模型来判断是否存在入侵。
要实现这一技术,首先需要对企业网络中的正常流量、用户行为等进行一段时间的学习和分析,从而确定正常的行为模式和范围。
比如,某个用户通常在特定的时间段内访问特定的资源,或者网络流量在一天中的某个时段会处于特定的水平。
如果后续监测到的行为明显超出了这些正常范围,比如某个用户突然在非工作时间大量访问敏感数据,或者网络流量出现异常的激增,系统就会认为可能存在入侵。
基于异常的检测技术的优点在于能够发现新的、未知的攻击,因为它不依赖于已知的攻击特征。
但它也存在一些挑战,比如建立准确的正常行为模型比较困难,可能会产生误报(将正常行为误认为是异常)或者漏报(未能检测到真正的异常行为)。
三、协议分析技术网络通信是基于各种协议进行的,协议分析技术就是深入研究这些协议的规则和特点,来检测入侵行为。
通过对协议的结构、字段含义、交互流程等进行详细的解析,检测系统能够更准确地理解网络数据包的含义。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络入侵检测技术一、入侵检测发展史1980年,在James P. Anderson 的文章“Computer Security Threat Monitoring and Surveillance”中[1],“入侵检测”的概念首次被提出。
为开发基于主机的IDS提供了最初的理论基础。
1985年,美国国防部计算机安全中心(NCSC)正式颁布了《可信任的计算机系统评估标准》(Trusted Computer System Evalution Criteria, TCSEC)。
TCSEC为预防非法入侵定义了四类七个安全级别。
由低到高分别是D、C1、C2、B1、B2、B3、A1,规定C2以上级别的操作系统必须具备审计功能,并记录日志。
TCSEC标准的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用,是信息安全发展史上的一个里程碑。
1988年,莫里斯(Morris)蠕虫感染了Internet上近万台计算机,造成Internet持续两天停机。
美国空军、国家安全局、加州大学戴维斯分校等开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起1990年,加州大学戴维斯分校的L.T.Heberlein等人提出了基于网络的入侵检测概念,即将网络数据流作为审计数据来追踪可疑的行为。
1992年,加州大学的Koral llgun开发出实时入侵检测系统USTAT(a State Transition Analysis Tool for UNIX)。
他们提出的状态转换分析法,使用系统状态与状态转换的表达式描述和检测已知的入侵手段,使用反映系统状态转换的图表直观地记载渗透细节。
1994年,普渡大学计算机系COAST实验室的Mark Crosbie和Gene Spafford 研究了遗传算法在入侵检测中的应用。
使用遗传算法构建的智能代理(Autonomous Agents)程序能够识别入侵行为,而且这些agents具有“学习”用户操作习惯的初步智能。
1996年,加州大学戴维斯分校的Staniford等研究人员提出了基于图表的入侵检测系统(Graph-based Intrusion Detection System,GrIDS)原理,并完成了原型的设计和实现。
1996年,Forrest将免疫原理运用到分布式入侵检测领域。
此后,在IDS 中还出现了遗传算法、遗传编程的运用。
1997年3月,美国国防部高级研究计划局(DARPA)开始着手通用入侵检测框架CIDF(Common Intrusion Detection Framework)标准的制定,加州大学戴维斯分校的安全实验室完成了CIDF标准。
1997年9月,公司推出基于主机的IDS(KSM,Kane Security Monitor),agents技术第一次出现在IDS的市场产品中。
1998年1月,哥伦比亚大学的Wenke Lee和Salvatore J.Stolfo提出和实现了在CIDF上实现多级IDS,并将数据挖掘技术应用到入侵检测中,利用数据挖掘中的关联规则等算法提取程序和用户的行为特征,并根据这些特征生成安全事件的分类模型。
1998年2月, Cisco通过收购Wheel Group公司成功挺进入侵检测市场。
NetRanger的入侵检测技术被集成到Cisco的系列路由器中,NetRanger(后被更名为Secure IDS)成为Cisco公司的招牌产品。
1998年12月,Marty Roesch推出了Snort第一版,基于网络的IDS,采用误用检测技术。
目前已成为应用最广泛的IDS之一。
2000年2月,CA(Computer Associates International)公司发布了抵御黑客攻击的新工具SessionWall-3(后更名为eTrust Intrusion Detection)。
eTrust可以自动识别网络使用模式和网络使用具体细节,做到全面地监控网络数据,可以对Web和公司内部网络访问策略实施监视和强制实施。
eTrust是新一代网络保护产品的代表。
2000年7月,Cisco公司和ClickNet(ClickNet Security Technologies)公司宣布联合开发用于电子商务的入侵检测系统。
ClickNet公司的基于主机的入侵检测产品Entercept技术先进,同Cisco公司的安全入侵检测系统(Secure IDS)软件结合以后成为一套全方位的安全系列产品。
2001年1月,ClickNet公司改名为Entercept Security Technology公司。
该公司的IDS产品Entercept的新版本检测水平进一步提高,并首先提出入侵防御(IP,Intrusion Prevention)概念。
由于已有的入侵检测系统是被动的进行系统安全防护,当发现攻击而不能及时做出防护反应时,攻击的成功率会随着时间的增加而提高。
入侵防御系统IPS(Intrusion Prevention System)在系统请求被执行之前,即在网络系统受到攻击之前,将请求与防御数据库中的预定义内容进行比较,然后根据相应的安全级别采取不同的行动,如执行请求、忽略请求、终止请求或记入日志等。
2001年5月,Dipankar Dasgupta和Fabio Gonzalez研究了入侵检测的智能决策支撑系统。
2002年3月,ISS公司发布集成了Network ICE公司BlackICE技术的网络安全产品:RealSecure Network Sensor 7.0,具备更详细的协议分析功能和更出色的碎片重组能力。
如果配合ISS公司同时发布的RealSecure Guard来实现与防火墙的联动,则可以利用协议分析技术来实时分析是否存在对网络的非法入侵。
当检测到非法入侵时做到彻底切断这种网络攻击。
2002年6月,Entercept公司开始提供更先进的入侵防御软件,能够在黑客的攻击造成伤害之前采取行动来阻止其发生,增加了名为Vault Mode的先进封锁功能,能够锁住重要的操作系统文件和设置,防止主机被攻击。
2003年以来,全球众多安全研究机构都在开展入侵检测的研究,许多新的入侵检测技术被应用到IDS产品中。
如对入侵防御系统IPS的讨论[2-5];对于入侵检测中的误报问题,Cheung、Steven等人提出入侵容忍(Intrusion tolerance)的概念,在IDS中引入了容错技术;2006年,Morton Swimmer针对现代数据网络的分布式防御提出一个危险模型的免疫系统等[6]。
入侵检测技术的发展阶段第一阶段(20世纪80年代):主要是主机日志分析和模式匹配技术研究,推出的IDES(Intrusion Detection Expert System,入侵检测专家系统)、DIDS (Distributed Intrusion Detection System,分布式入侵检测系统)、NSM (Network Security Monitor,网络安全监控系统)等基本上都是实验室系统[7][8]。
第二阶段(20世纪90年代):主要研究网络数据包截获、主机系统的审计数据分析,以及基于网络的IDS(NIDS)和基于主机的IDS(HIDS)的明确分工和合作技术。
代表性产品有早期的ISS RealSecure(v6.0之前)、Cisco(1998年收购Wheel Group获得)、Snort(2000年开发代码并免费)等。
目前国内绝大多数厂家沿用的是Snort核心。
第三阶段(20世纪90年代后期):主要涉及协议分析、行为异常分析技术。
协议分析技术的误报率是传统模式匹配的1/4左右。
行为异常分析技术的出现则赋予了第三代IDS系统识别未知攻击的能力。
代表性产品有NetworkICE(2001年并入ISS)、安氏LinkTrustNetworkDefender(v6.6)、NFR(第二版)等。
入侵检测技术从出现到现在已有20多年,IDS系统已从有线IDS发展到无线IDS,并出现了IPS(Intrusion Prevention System,入侵防御系统)。
二、入侵检测系统定义与功能入侵检测:对入侵行为的发觉,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统:进行入侵检测的软件与硬件的组合。
入侵检测系统功能:(1)监控并分析系统及用户活动;(2)检查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为以及统计分析异常行为;(5)对操作系统进行日志管理,并识别违反安全策略的用户活动;(6)针对已发现的攻击行为做出适当的反应,如警告、终止进程等。
三、入侵检测系统分类A、根据信息源分类1、基于网络的入侵检测系统(NIDS,Network Intrusion Detection System)NIDS能够截获网络中的数据包,提取其特征并与知识库中已知的攻击签名相比较,从而达到检测的目的。
优点:(1)监测速度快。
基于网络的监测器通常能在微秒或秒级发现问题。
而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。
(2)隐蔽性好。
一个网络上的监测器不像一个主机那样显眼和易被存取,因而也不那么容易遭受攻击。
此外监视器不运行其他的应用程序,不提供网络服务,可以不响应其他计算机,因此可以做得比较安全。
(3)视野更宽。
可以检测一些主机检测不到的攻击,如泪滴(tear drop)攻击,基于网络的SYN洪水等。
还可以检测不成功的攻击和恶意企图。
(4)较少的监测器。
使用一个监测器就可以保护一个共享的网段。
(5)攻击者不易转移证据。
基于网络的IDS使用正在发生的网络通信进行实时攻击的检测。
所以攻击者无法转移证据。
(6)操作系统无关性。
基于网络的IDS作为安全监测资源,与主机的操作系统无关。
(7)不占用被保护的设备上的任何资源。
可以配置在专门的机器上。
主要缺点:(1)只能监视本网段的活动,精确度不高。
(2)在交换环境下难以配置。
(3)防入侵欺骗的能力较差。
(4)难以定位入侵者。
2、基于主机的入侵检测系统(HIDS,Host Intrusion Detection System)数据来源于主机系统,通常是系统日志和审计记录。
优点:(1)能确定攻击是否成功。
主机是攻击的目的所在,所以基于主机的IDS 使用含有已发生的事件信息,可以比基于网络的IDS更加准确地判断攻击是否成功。
(2)监控粒度更细。
基于主机的IDS,监控的目标明确,视野集中,它可以检测一些基于网络的IDS不能检测的攻击。
它可以很容易地监控系统的一些活动,如对敏感文件、目录程序或端口的存取。