目录
IDS入侵检测系统
IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。在很多中大型企业,政府机构,都会布有IDS。我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
专业上讲IDS就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求就是:IDS应当挂接在所有所关注流量都必须流经的链路上。
IDS的接入方式:并行接入(并联)
IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源
这些位置通常是:
- 服务器区域的交换机上
- 边界路由器的相邻交换机上
- 重点保护网段的局域网交换机上
入侵检测系统的作用
- 防火墙的重要补充
- 构建网络安全防御体系重要环节
- 克服传统防御机制的限制
入侵检测系统功能
- 监测并分析用户和系统的活动
- 核查系统配置和漏洞
- 对操作系统进行日志管理,并识别违反安全策略的用户活动
- 针对已发现的攻击行为作出适当的反应,如告警、中止进程等
入侵检测系统的分类
按入侵检测形态
- 硬件入侵检测
- 软件入侵检测
按目标系统的类型
- 网络入侵检测
- 主机入侵检测
按系统结构
- 集中式
- 分布式
入侵检测系统的架构
- 事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
- 事件分析器:分析数据,发现危险、异常事件,通知响应单元
- 响应单元:对分析结果作出反应
- 事件数据库:存放各种中间和最终数据
入侵检测工作过程
数据检测技术
误用检测技术
- 建立入侵行为模型(攻击特征)
- 假设可以识别和表示所有可能的特征
- 基于系统和基于用户的误用
异常检测技术
- 设定“正常”的行为模式
- 假设所有的入侵行为是异常的
- 基于系统和基于用户的异常
误用检测
优点
- 准确率高
- 算法简单
关键问题
- 要识别所有的攻击特征,就要建立完备的特征库
- 特征库要不断更新
- 无法检测新的入侵
异常检测
优点
- 可检测未知攻击
- 自适应、自学习能力
关键问题
- “正常”行为特征的选择
- 统计算法、统计点的选择
IDS的部署
基于网络的IDS
基于主机的IDS
入侵检测系统的局限性
- 对用户知识要求较高,配置、操作和管理使用较为复杂
- 网络发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要
- 高虚警率,用户处理的负担重
- 由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果
- 在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响
相关文章:防火墙Firewall