• IDS入侵检测系统


    目录

    IDS入侵检测系统

    入侵检测系统的作用

    入侵检测系统功能

    入侵检测系统的分类

    入侵检测系统的架构

    入侵检测工作过程 

    数据检测技术

    误用检测

    异常检测

    IDS的部署

    基于网络的IDS

    基于主机的IDS

    入侵检测系统的局限性 


    IDS入侵检测系统

    IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。在很多中大型企业,政府机构,都会布有IDS。我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。

    专业上讲IDS就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求就是:IDS应当挂接在所有所关注流量都必须流经的链路上。

    IDS的接入方式:并行接入(并联)
    IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源

    这些位置通常是:

    • 服务器区域的交换机上
    • 边界路由器的相邻交换机上
    • 重点保护网段的局域网交换机上

    入侵检测系统的作用

    • 防火墙的重要补充
    • 构建网络安全防御体系重要环节
    • 克服传统防御机制的限制

    入侵检测系统功能

    • 监测并分析用户和系统的活动
    • 核查系统配置和漏洞
    • 对操作系统进行日志管理,并识别违反安全策略的用户活动
    • 针对已发现的攻击行为作出适当的反应,如告警、中止进程等

    入侵检测系统的分类

    按入侵检测形态

    • 硬件入侵检测
    • 软件入侵检测

    按目标系统的类型

    • 网络入侵检测
    • 主机入侵检测

    按系统结构

    • 集中式
    • 分布式

    入侵检测系统的架构

    • 事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
    • 事件分析器:分析数据,发现危险、异常事件,通知响应单元
    • 响应单元:对分析结果作出反应
    • 事件数据库:存放各种中间和最终数据

    入侵检测工作过程 

    数据检测技术

    误用检测技术

    •  建立入侵行为模型(攻击特征)
    • 假设可以识别和表示所有可能的特征
    • 基于系统和基于用户的误用

    异常检测技术

    • 设定“正常”的行为模式
    • 假设所有的入侵行为是异常的
    • 基于系统和基于用户的异常

    误用检测

    优点

    • 准确率高
    • 算法简单

    关键问题

    • 要识别所有的攻击特征,就要建立完备的特征库
    • 特征库要不断更新
    • 无法检测新的入侵

    异常检测

    优点

    • 可检测未知攻击
    • 自适应、自学习能力

    关键问题

    • “正常”行为特征的选择
    • 统计算法、统计点的选择

    IDS的部署

    基于网络的IDS

    基于主机的IDS

    入侵检测系统的局限性 

    • 对用户知识要求较高,配置、操作和管理使用较为复杂
    • 网络发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要
    • 高虚警率,用户处理的负担重
    • 由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果
    • 在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响

    相关文章:防火墙Firewall

                     IPS入侵防御系统

                      大型企业网络架构

  • 相关阅读:
    使用Docker在本地搭建Hadoop分布式集群
    微博推荐 第三个map 源码
    对象
    http无状态(stateless)
    理解http的无连接
    http响应报文之首部行
    http响应报文之状态行
    http响应报文
    http请求报文之首部行
    http请求之请求数据
  • 原文地址:https://www.cnblogs.com/csnd/p/11807767.html
Copyright © 2020-2023  润新知