- 时间:2021-12-22 03:13 编辑:罗立群 来源:蚂蚁资源 阅读:213
- 扫一扫,手机访问
摘要:大家好,今天给大家介绍关于网络入侵检测系统(入侵检测系统名词解释)的相关内容,详细讲解什么是入侵检测系统它有哪些基本组件构成,网络上的入侵检测系统有什么功能,入侵检测系统的基本功能是什么等,希望可以帮助到您。
什么是入侵检测系统它有哪些基本组件构成,入侵检测是防火墙的合理补充,帮助系统处理网络攻击,扩展系统管理员的安全管理功能(包括安全审核,监控,冒犯识别和响应),并提高信息安全基础架构的完整性。它从计算机网络系统中的几个关键点收集信息,并分析此信息以查看是否存在违反安全策略和攻击迹象。入侵检测被认为是防火墙后的第二安全门,它可以监控网络而不影响网络性能,为内部攻击,外部攻击和滥用提供实时保护。这些是通过执行以下任务来实现:·监控,分析用户和系统活动; •系统构造函数和弱点的审计; ·评估重要系统和数据文件的完整性; •操作系统的审计跟踪管理并确定违反安全策略的用户的行为。对于成功的入侵检测系统,它不仅可以使系统管理员能够了解网络系统(包括程序,文件和硬件设备等)的任何更改,还可以为网络安全策略提供指南。更重要的是,它应该进行管理和配置,使非专业人员非常容易访问网络安全性。此外,还应根据网络威胁,系统构造函数和安全要求的变化来改变入侵检测规模。入侵检测系统,在找到侵入后,它将及时响应,包括切断网络连接,录制事件和报警。信息收集入侵检测的第一步是信息收集,包括系统,网络,数据和用户活动的状态和行为。此外,需要信息来收集几个不同的信息T关键点(不同的网络段和不同主机)在计算机网络系统中,除了扩大检测范围的因素外,还有一个重要因素可以来自源。我看不出怀疑,但是来自多个来源的不一致是最佳的可疑行为或入侵的识别。当然,入侵检测在很大程度上取决于收集信息的可靠性和正确性,因此只需要使用已知的真实和精确的软件报告此信息。因为黑客经常替代软件,以混淆和删除这些信息,例如替换程序调用的子程序,库和其他工具。黑客的系统修改可能导致系统发生故障,看起来像正常,但实际上不是。例如,UNIX系统的PS指令可以用未显示入侵过程的指令替换,或者编辑器被读取的文件替换与指定文件不同(黑客隐藏初始测试文件并替换为另一个版本)。这要求用于检测网络系统的软件的完整性,特别是入侵检测系统软件本身应该具有相当大的稳健性,防止收集的信息收集。入侵检测使用的信息通常来自以下四个方面:1。系统和网络日志文件黑客通常会在系统日志文件中留下其迹线,因此充分利用系统,网络日志文件信息是检测的必要条件侵入。日志包含了在系统和网络上发生的不寻常和不良活动的证据。这些证据表明某人正在入侵或已成功入侵系统。通过查看日志文件,您可以找到成功的入侵或入侵尝试,并快速启动相应的紧急响应程序。各种行为类型ES被记录在日志文件中,每种类型都包含不同的信息,例如日志记录“用户活动”类型日志,包含文件的日志记录,用户ID和用户访问,授权和身份验证信息。显然,重要的是重复登录失败,登录到一个不期望的位置和未经授权的尝试访问重要文件等。2.在目录中显示在网络环境中的文件系统中包含许多软件和数据文件,以及具有重要信息和私有数据文件的文件通常是修改或销毁的黑客。目录和文件的意外更改(包括修改,创建和删除),尤其是在正常情况下的文件,可能是由入侵产生的指示和信号。黑客经常替换,修改并销毁它们以访问访问系统上的文件,同时尝试替换系统程序或修改系统日志文件以隐藏其性能和t系统的比赛。3.程序执行程序执行中的精致行为通常包括操作系统,网络服务,用户靴子和特定目的应用程序,例如数据库服务器。在系统上执行的每个程序都是由一个到多个进程实现的。每个进程都在具有不同权限的环境中执行,该过程控制处理可访问的系统资源,程序和数据文件。通过它执行的操作表现出进程的执行行为,并且操作执行是不同的,它利用的系统资源是不同的。操作包括计算,文件传输,设备和其他进程,以及与网络之间的其他进程通信。不尊重的过程可能表明黑客正在侵入您的系统。
网络上的入侵检测系统有什么功能,入侵检测是检测入侵行为。它收集和分析网络行为,安全日志,审计数据,其他网络上可用的其他信息,以及计算机系统中的信息,检查是否存在违反安全策略和攻击迹象在System.Intrusion检测用作主动主动安全保护技术,在网络系统有害之前,为内部攻击,外部攻击和误用,禁止和响应提供实时保护,禁止响应。因此,它被认为是防火墙后的第二个安全门,可以监控网络而不影响网络性能。分解检测实现:监控,分析用户和系统活动;系统构建和弱点审计;识别反映已知攻击性的活动模型;对相关人员的报警;异常行为的统计分析;评估重要的系统和数据文件完整性;ope.评级系统审计跟踪管理,并确定违反安全策略的用户的行为。
入侵检测系统的基本功能是什么,入侵检测系统的基本功能是立即监控网络传输,并在发现可疑传输时发出或主动响应措施的警报。它与IDS是主动安全技术的其他网络安全设备不同。在当今的网络拓扑中,很难找到先前集线器共享媒体冲突域的网络,并且大多数网络区域已完全升级到交换网络结构。因此,通常选择切换网络中的ID的位置尽可能接近攻击源或尽可能接近受保护资源。根据入侵检测的行为:异常检测和误用检测,入侵检测系统分为两种模式。前者必须首先建立一个系统访问正常行为的模型。访客不符合此模型的人将被缔结为入侵;后者是相反的,首先在汇集中探测所有不可饶恕的不可接受的行为来建立模型,任何访问此模型的人都将被缔结为入侵。扩展数据:主检测系统是异常检测,另一个是特征检测。异常检测:假设假设是在正常机构的情况下,入侵者活动是异常的,并且建立了“活动的激活”。当活动活动违反其统计数据时,它被认为是“入侵”行为。通过检测系统的行为或使用,完成特征检测:特征检测假设入侵者活动可以由模式表示,然后比较观察对象,区分它是否符合这些模式。参考资料来源:Sogou百科全书 - 入侵检测系统
责任编辑(
罗立群)
以上就是关于**网络入侵检测系统,入侵检测系统名词解释**的全部内容,如有需要以上系统,请在搜索框搜索商品或者咨询客服,了解更多请关注蚂蚁资源网。
内容来源于网络,如无意中有侵权,请联系客服核实,以便及时删除,谢谢支持!
- 好牛通
- ,
- 2021-12-22 03:13:14
- 00萨满祭司00
- 入侵检测系统的概念入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。对于入侵检测而言的网络攻击可以分为4类:①检查单IP包(包括TCP、UDP)首部即可发觉的攻击,如winnuke、ping of death、land.c、部分OS detection、source routing等。②检查单IP包,但同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞,缓存溢出攻击等。③通过检测发生频率才能发觉的攻击,如端口扫描、SYN Flood、smurf攻击等。④利用分片进行的攻击,如teadrop,nestea,jolt等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类攻击,必须提前(在IP层接受或转发时,而不是在向上层发送时)作组装尝试。分片不仅可用来攻击,还可用来逃避未对分片进行组装尝试的入侵检测系统的检测。入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统。入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应(被动响应和主动响应)。信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测,而完整性分析则用于事后分析。可用5种统计模型进行数据分析:操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。入侵检测系统在发现入侵后会及时作出响应,包括切断网络连接、记录事件和报警等。响应一般分为主动响应(阻止攻击或影响进而改变攻击的进程)和被动响应(报告和记录所检测出的问题)两种类型。主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动(如断开连接)、修正系统环境或收集有用信息;被动响应则包括告警和通知、简单网络管理协议(SNMP)陷阱和插件等。另外,还可以按策略配置响应,可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。 IDS分类一般来说,入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式(promisc mode),监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。不难看出,网络型IDS的优点主要是简便:一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用,不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及,这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。而尽管主机型IDS的缺点显而易见:必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。参考文献[7]对此做了描述,感兴趣的读者可参看。入侵检测系统的几个部件往往位于不同的主机上。一般来说会有三台机器,分别运行事件产生器、事件分析器和响应单元。将前两者合在一起,只需两台。在安装IDS的时候,关键是选择数据采集部分所在的位置,因为它决定了“事件”的可见度。对于主机型IDS,其数据采集部分当然位于其所监测的主机上。对于网络型IDS,其数据采集部分则有多种可能:(1)如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可;(2)对于交换式以太网交换机,问题则会变得复杂。由于交换机不采用共享媒质的办法,传统的采用一个sniffer来监听整个子网的办法不再可行。可解决的办法有:a. 交换机的核心芯片上一般有一个用于调试的端口(span port),任何其他端口的进出信息都可从此得到。如果交换机厂商把此端口开放出来,用户可将IDS系统接到此端口上。优点:无需改变IDS体系结构。缺点:采用此端口会降低交换机性能。b. 把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。优点:可得到几乎所有关键数据。缺点:必须与其他厂商紧密合作,且会降低网络性能。c. 采用分接器(Tap),将其接在所有要监测的线路上。优点:在不降低网络性能的前提下收集了所需的信息。缺点:必须购买额外的设备(Tap);若所保护的资源众多,IDS必须配备众多网络接口。d. 可能唯一在理论上没有限制的办法就是采用主机型IDS。 通信协议IDS系统签名系统组件之间需要通信,不同的厂商的IDS系统之间也需要通信。因此,定义统一的协议,使各部分能够根据协议所制订的标准进行沟通是很有必要的。IETF目前有一个专门的小组Intrusion Detection Working Group (IDWG)负责定义这种通信格式,称作Intrusion Detection Exchange Format。目前只有相关的草案(internet draft),并未形成正式的RFC文档。尽管如此,草案为IDS各部分之间甚至不同IDS系统之间的通信提供了一定的指引。IAP(Intrusion Alert Protocol)是IDWG制定的、运行于TCP之上的应用层协议,其设计在很大程度上参考了HTTP,但补充了许多其他功能(如可从任意端发起连接,结合了加密、身份验证等)。对于IAP的具体实现,请参看 [4],其中给出了非常详尽的说明。这里我们主要讨论一下设计一个入侵检测系统通信协议时应考虑的问题:(1)分析系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输(同时防止主动和被动攻击)。(2)通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外措施保证系统正常工作。入侵检测技术对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知得攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广泛甚至未发觉的攻击。如果条件允许,两者结合的检测会达到更好的效果.入侵检测系统技术和主要方法 入侵检测系统技术可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。发现入侵检测一般采用如下两项技术:① 异常发现技术,假定所有入侵行为都是与正常行为不同的。它的原理是,假设可以建立系统正常行为的轨迹,所有与正常轨迹不同的系统状态则视为可疑企图。异常阀值与特征的选择是其成败的关键。其局限在于,并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。② 是模式发现技术,它是假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,所有已知的入侵方法都可以用匹配的方法发现。模式发现技术的关键是如何表达入侵的模式,以正确区分真正的入侵与正常行为。模式发现的优点是误报少,局限是只能发现已知的攻击,对未知的攻击无能为力。 入侵检测的主要方法 静态配置分析静态配置分析通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息),而不是系统中的活动。采用静态分析方法主要有以下几方面的原因:入侵者对系统攻击时可能会留下痕迹,这可通过检查系统的状态检测出来;系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施;另外,系统在遭受攻击后,入侵者可能会在系统中安装一些安全性后门以方便对系统进行进一步的攻击。所以,静态配置分析方法需要尽可能了解系统的缺陷,否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。
- 2021-12-22 03:14:52
开通会员
