入侵檢測(cè)
入侵檢測(cè)
入侵檢測(cè)(入侵檢測(cè))
入侵檢測(cè)(Intrusion Detection),顧名思義,就是對(duì)入侵行為的發(fā)覺。他通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。
目錄 基本簡(jiǎn)介 分類情況 入侵分類 工作步驟 收縮展開 基本簡(jiǎn)介入侵檢測(cè)(Intrusion Detection)是對(duì)入侵行為的檢測(cè)。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。入侵檢測(cè)通過執(zhí)行以下任務(wù)來實(shí)現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動(dòng);系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;異常行為模式的統(tǒng)計(jì)分析;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。 入侵檢測(cè)是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn): ·監(jiān)視、分析用戶及系統(tǒng)活動(dòng) · 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì) · 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警 · 異常行為模式的統(tǒng)計(jì)分析 · 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性 ·操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。 對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來講,它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更,還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是,它應(yīng)該管理、配置簡(jiǎn)單,從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且,入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后,會(huì)及時(shí)作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。
分類情況入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。
特征檢測(cè)
特征檢測(cè)(Signature-based detection) 又稱Misuse detection ,這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來表示,系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來,但對(duì)新的入侵方法無能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來。
異常檢測(cè)
異常檢測(cè)(Anomaly detection) 的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正;顒(dòng)的'“活動(dòng)簡(jiǎn)檔”,將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較,當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí),認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
入侵分類1)基于主機(jī)
一般主要使用操作系統(tǒng)的審計(jì)、跟蹤日志作為數(shù)據(jù)源,某些也會(huì)主動(dòng)與主機(jī)系統(tǒng)進(jìn)行交互以獲得不存在于系統(tǒng)日志中的信息以檢測(cè)入侵。這種類型的檢測(cè)系統(tǒng)不需要額外的硬件.對(duì)網(wǎng)絡(luò)流量不敏感,效率高,能準(zhǔn)確定位入侵并及時(shí)進(jìn)行反應(yīng),但是占用主機(jī)資源,依賴于主機(jī)的可靠住,所能檢測(cè)的攻擊類型受限。不能檢測(cè)網(wǎng)絡(luò)攻擊。
2)基于網(wǎng)絡(luò)
通過被動(dòng)地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁浚瑢?duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理,從中提取有用的信息,再通過與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來識(shí)別攻擊事件。此類檢測(cè)系統(tǒng)不依賴操作系統(tǒng)作為檢測(cè)資源,可應(yīng)用于不同的操作系統(tǒng)平臺(tái);配置簡(jiǎn).單,不需要任何特殊的審計(jì)和登錄機(jī)制;可檢測(cè)協(xié)議攻擊、特定環(huán)境的攻擊等多種攻擊。但它只能監(jiān)視經(jīng)過本網(wǎng)段的活動(dòng),無法得到主機(jī)系統(tǒng)的實(shí)時(shí)狀態(tài),精確度較差。大部分入侵檢測(cè)工具都是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng).
3)分布式
這種入侵檢測(cè)系統(tǒng)一般為分布式結(jié)構(gòu),由多個(gè)部件組成,在關(guān)鍵主機(jī)上采用主機(jī)入侵檢測(cè),在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上采用網(wǎng)絡(luò)入侵檢測(cè),同時(shí)分析來自主機(jī)系統(tǒng)的審計(jì)日志和來自網(wǎng)絡(luò)的數(shù)據(jù)流,判斷被保護(hù)系統(tǒng)是否受到攻擊。
工作步驟對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來講,它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更,還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是,它應(yīng)該管理、配置簡(jiǎn)單,從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且,入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后,會(huì)及時(shí)作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。
【入侵檢測(cè)】相關(guān)文章:
安防及入侵檢測(cè)·什么是IDS入侵檢測(cè)06-22
入侵檢測(cè)產(chǎn)品選購要點(diǎn)入侵檢測(cè) -電腦資料01-01
入侵檢測(cè) -電腦資料01-01
入侵檢測(cè)技術(shù)發(fā)展方向入侵檢測(cè) -電腦資料01-01
針對(duì)入侵檢測(cè)系統(tǒng)的漏洞學(xué)習(xí) 的入侵手法 -電腦資料01-01
針對(duì)入侵檢測(cè)系統(tǒng)的漏洞了解 的入侵手法 -電腦資料01-01
入侵檢測(cè)與入侵防御將長(zhǎng)期共存 -電腦資料01-01