碼上快樂

相關內容    簡體    繁體

網絡安全概論——入侵檢測系統IDS

本文轉載自   查看原文   2021-02-05 16:11   544    網絡安全概論

一、入侵檢測的概念

1、入侵檢測的概念

  • 檢測對計算機系統的非授權訪問
  • 對系統的運行狀態進行監視,發現各種攻擊企圖、攻擊行為或攻擊結果,以保證系統資源的保密性、完整性和可用性
  • 識別針對計算機系統和網絡系統或廣義上的信息系統的非法攻擊,包括檢測外部非法入侵者的惡意攻擊或探測,以及內部合法用戶越權使用系統資源的非法行為。

所有能夠執行入侵檢測任務和實現入侵檢測功能的系統都可稱為入侵檢測系統(IDS Intrusion Detection System)

入侵檢測系統 IDS,它從計算機網絡系統中的若干關鍵點收集信息,並分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之后的第二道安全閘門。能在不影響網絡性能的情況下對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,這些都通過它執行以下任務來實現:

  • 監視、分析用戶及系統的活動
  • 系統構造和弱點的審計
  • 識別反映已知攻擊的活動模式並向相關人員報警
  • 異常行為模式的統計分析
  • 評估重要系統和數據文件的完整性
  • 操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為

2、IDS系統模型的四個部分

  1. 數據收集器
  2. 檢測器
  3. 知識庫
  4. 控制器

3、IDS的任務

  1. 信息收集
  2. 信息分析:模式匹配(與已知網絡入侵數據庫比較,誤報率低,但只能發現已知攻擊),統計分析(觀察值與正常值比較)、完整性分析(檢查某個文件是否被修改)
  3. 安全響應:主動響應(系統本身自動執行,采取終止連接,修正系統環境),被動響應(發出告警信息和通知)

4、IDS的評價標准

  1. 性能檢測
  2. 功能測試
  3. 用戶可用性測試

二、入侵檢測原理及主要方法

IDS通常使用兩種基本的分析方法來分析事件、檢測入侵行為,即異常檢測(Anomaly Detection)誤用檢測(Misuse Detection)

1、異常檢測

假定所有入侵行為都是與正常行為不同的,如果建立系統正常行為軌跡,那么理論上可以通過統計那些不同於我們已建立的特征文件的所有系統狀態的數量來識別入侵企圖,把所有與正常軌跡不同的系統狀態視為可疑企圖。

2、誤用檢測(基於知識的檢測技術)

假定所有入侵行為和手段(及其變種)都能夠表達為一種模式或特征,那么所有已知的入侵方法都可以用匹配方法發現。因為很大一部分的入侵是利用了系統的脆弱性,通過分析入侵過程的特征、條件、排列以及事件間關系能具體描述入侵行為的跡象。

誤用檢測系統的關鍵問題是如何從已知入侵中提取金和編寫特征,使得其能夠覆蓋該入侵的所有可能的變種,而同時不會匹配到非法入侵活動(把真正入侵與正常行為區分開來)

三、IDS的結構與分類

1、IDS的功能

IDS至少包含事件提取入侵分析入侵響應遠程管理四部分功能。

2、IDS的分類

按照數據來源分類:

①、基於網絡的入侵檢測系統(NIDS):數據來自於網絡的數據流。

優缺點:偵測速度快,不容易受到攻擊,對主機資源消耗少,//來自服務器本身的攻擊不經過網絡,誤報率高

關鍵技術:蜜罐技術

工作原理:將入侵檢測系統的產品放在比較重要的網段,如果數據包與產品內置的規則吻合就發出警報甚至直接切斷連接

②、基於主機的入侵檢測系統(HIDS):數據來自於審計記錄和系統日志。

優缺點:不同操作系統捕獲應用層入侵,誤報少,//依賴與主機及其子系統,實時性差

工作原理:掃描操作系統和應用程序日志文件,查看敏感文件是否被篡改,檢驗進出主機的網絡傳輸流,發現攻擊。

監視用戶和訪問文件的活動

監視主要系統文件和可執行文件的改變

監視只有管理員才能實施的異常行為

③、分布式入侵檢測系統(DIDS):數據來自於系統審計記錄和網絡的數據流。

克服了單一HIDS、NIDS的不足。

HIDS常安裝於被保護的主機上,而NIDS常安裝於網絡入口處

按照入侵檢測策略分類:

①、濫用檢測

優缺點:只收集相關數據集合,減少系統負擔,//需要不斷升級

原理:將收集到的信息與已知網絡入侵和數據庫比對

②、異常檢測

優缺點:可檢測到未知的入侵和更復雜的入侵//誤報,漏報率高,且不適用於用戶正常行為的突然改變

原理:統計正常使用的測量屬性,若觀察值超過正常范圍,則認為有入侵發生

③、完整性分析

優缺點:只要攻擊導致某個文件的改變就可以被發現,//一般以批處理方式不容易實時響應。

原理:關注某個文件是否被修改

3、DIDS構件

數據采集構件、通信傳輸構件、入侵檢測分析構件、應急處理構件、用戶管理構件

 

4、IDS控制台

控制台的設計重點是

  • 日志檢索
  • 探測器管理
  • 規則管理
  • 日志報表
  • 用戶管理

 

 

5、蜜罐技術

現代的IDS采用了蜜罐(Honeypot)技術的新思想。蜜罐是一個吸引潛在攻擊者的陷阱,它的作用是:

把潛在入侵者的注意力從關鍵系統移開;

收集入侵者的動作信息

設法讓攻擊者停留一段時間,使管理員能檢測到它並采取相應的措施。

潛在入侵者的信息可以通過檢查蜜罐日志來獲得

四、IDS的發展方向

  1. 寬帶高速實時檢測技術
  2. 大規模分布式的檢測技術
  3. 數據挖掘技術
  4. 更先進的檢測算法
  5. 入侵響應技術


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 【網絡安全設備系列】2、IDS(入侵檢測系統) 網絡安全筆記-入侵檢測系統 網絡入侵檢測系統(IDS)的安裝部署 網絡入侵檢測系統(IDS)的安裝部署 如何構建一個入侵檢測系統(IDS) 搭建Linux入侵檢測系統(ids) 網絡入侵檢測系統 網絡入侵檢測系統(IDS)的安裝部署(實驗報告) 構建基於Suricata+Splunk的IDS入侵檢測系統 構建基於Suricata+Splunk的IDS入侵檢測系統
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM