返回
入侵检测系统及应用

入侵检测系统及应用

ID:40097536

大小:731.81 KB

页数:42页

时间:2019-07-21

入侵检测系统及应用_第1页
入侵检测系统及应用_第2页
入侵检测系统及应用_第3页
入侵检测系统及应用_第4页
入侵检测系统及应用_第5页
资源描述:

《入侵检测系统及应用》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、入侵检测系统及应用本章介绍的入侵检测系统是对防火墙极其有益的补充,能对非法入侵行为进行全面的监测和防护。在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,增强系统的防范能力,避免系统再次受到入侵。 本章重点如下:什么是入侵检测系统及主要类型主要入侵检测技主要入侵检测模型及各自特点入侵检测技术的未来发展方向入侵检测原理主要入侵检测系统的应用4.1入侵检测系统(IDS)基础入侵检测系统(IDS,Intrus

2、ionDetectionSystems)是目前预防黑客攻击应用最为广泛的技术之一。4.1.1入侵检测系统概述入侵检测(IntrusionDetection,ID)就是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。 入侵检测系统通常包含3个必要的功能组件:信息来源、分析引擎和响应组件。目前,IDS策略按检测范围分为十二大类,其中包含了1400余种入侵规则,包括TCP、UDP

3、、ICMP、IPX、HTTP、FTP、Telnet、SMTP、NFS、rsh、DNS、POP2、POP3、IMAP、TFTP、Finger、SSL、NETBIOS等协议类型。本节详细内容参见书本P126页。4.1.2主要入侵检测技术入侵检测系统中最核心的问题是数据分析技术,包括对原始数据的同步、整理、组织、分类以及各种类型的细致分析,提取其中所包含的系统活动特征或模式,用于对正常和异常行为的判断。采用哪种数据分析技术,将直接决定系统的检测能力和效果。  数据分析技术主要分为两类:误用检测(MisuseDetecti

4、on)和异常检测(AnomalyDetection)。误用检测搜索审计事件数据,查看是否存在预先定义的误用模式,其典型代表是特征模式匹配技术、协议分析技术和状态协议分析技术等;异常检测提取正常模式审计数据的数学特征,检查事件数据是否存在与之相违背的异常模式,其典型代表有统计分析技术、数据重组技术、行为分析技术。 除了以上两类主要数据分析技术外,研究人员还提出了一些新的分析技术,如免疫系统、基因算法、数据挖掘、基于代理的检测等。本节详细内容参见书本P126~P129页。4.1.3主要入侵检测模型如果按照检测对象划分,

5、入侵检测技术又可分为“基于主机的检测”、“基于网络的检测”和“混合型检测”三大类。1.基于主机的检测(HIDS)基于主机的入侵检测系统是早期的入侵检测系统结构,通常是软件型的,直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。 这种检测方式的优点主要有:信息更详细、误报率要低、部署灵活。这种方式的缺点主要有:会降低应用系统的性能;依赖于服务器原有的日志与监视能力;代价较大;不能对网络进行监测;需安装多个针对不同系统的检测系统。2.基于网络的检测

6、(NIDS)基于网络的入侵检测方式是目前一种比较主流的监测方式,这类检测系统需要有一台专门的检测设备。检测设备放置在比较重要的网段内,不停地监视网段中的各种数据包,而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析,如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报,甚至直接切断网络连接。目前,大部分入侵检测产品是基于网络的。 这种检测技术的优点主要有:能够检测那些来自网络的攻击和超过授权的非法访问;不需要改变服务器等主机的配置,也不会影响主机性能;风险低;配置简单。其缺点主

7、要是:成本高、检测范围受局限;大量计算,影响系统性能;大量分析数据流,影响系统性能;对加密的会话过程处理较难;网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出。3.混合型(Hybrid) 基于网络的入侵检测和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面。但是它们可以互补构成一套完整的主动防御体系,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。本节详细内容参见书本P129~P131页。4.1.4当前入侵检测技术的不足目前

8、的IDS还存在很多问题,主要表现在如下:误报率高:主要表现为把良性流量误认为恶性流量进行误报。还有些IDS产品会对用户不关心事件的进行误报。产品适应能力差:传统的IDS产品在开发时没有考虑特定网络环境下的需求,适应能力差。入侵检测产品要能适应当前网络技术和设备的发展进行动态调整,以适应不同环境的需求。大型网络管理能力差:首先,要确保新的产品体系结构能够支持数

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。