入侵檢測技術原理與應用
入侵指未經授權蓄意嘗試訪問信息、篡改信息使系統不可用的行為,即違背訪問目標的安全策略的行為,具有入侵檢測概念的系統稱為入侵檢測系統,簡稱IDS。
入侵檢測模型:
CIDF入侵檢測模型,由事件產生器、事件分析器、響應單元、事件數據庫組成。
入侵檢測的作用
入侵檢測的作用不是阻止攻擊,而是預警和安全檢測巡邏功能。
- 發現受保護系統的入侵行為和異常行為
- 檢驗安全保護措施的有效性
- 發現受保護系統所面臨的威脅
- 有利於阻止安全事件擴大,及時觸發報警和響應
- 為網絡安全策略提供數據以及指導
- 網絡犯罪取證
入侵檢測技術
基於誤用的入侵檢測技術:
也稱基於特征的入侵檢測方法,指根據已知的入侵檢測沒啥檢測入侵行為。
- 基於條件概率的誤用檢測方法
- 基於狀態遷移的誤用檢測方法
- 基於鍵盤監控的誤用檢測方法
- 基於規則的誤用檢測方法,大部分IDS是基於預先定義的規則進行檢測。
基於異常的入侵檢測技術:
通過計算機統計分析建立系統正常運行的軌跡,然后與系統運行時比較。
- 基於統計的異常檢測方法
- 基於模式預測的異常檢測方法
- 基於文本分類的異常檢測方法
基於貝葉斯推理的異常檢測方法
入侵檢測系統的組成與分類
主要包括基於主機的入侵檢測系統(HIDS)、基於網絡的入侵檢測系統(NIDS)和分布式入侵檢測系統(DIDS)。
入侵檢測系統由數據采集模塊、入侵分析引擎模塊、應急處置模塊、管理配置模塊和相關的輔助模塊組成。
基於主機的入侵檢測系統:HIDS
一般安裝在單台主機,通過收集主機的日志信息進行分析發現入侵攻擊。主要功能:
- 針對主機的端口或者漏洞掃描
- 重復失敗的登陸嘗試
- 遠程口令破解
- 主機系統的用戶賬號添加
- 服務的啟動和停止
- 系統重啟動
- 文件的完整性或許可權限變化
- 注冊表修改
- 重要系統啟動文件變更
- 程序的異常調用
- 拒絕服務攻擊
基於網絡的入侵檢測系統:NIDS
通過偵查網絡系統,捕獲網絡數據包進行分析是否具有攻擊特征來識別入侵行為,分為探測器和管理器兩部分。開源Snort
- 同步風暴(SYN Flood)
- 分布式拒絕服務攻擊(DDOS)
- 網絡掃描
- 緩沖區溢出
- 協議攻擊
- 流量異常
- 非法網絡訪問
分布式入侵檢測系統:
又分為基於主機檢測的分布式入侵檢測系統HDIDS和基於網絡的分布式入侵檢測系統NDIDS。
入侵檢測技術
- 主機入侵檢測系統
- 網絡入侵檢測系統
- 統一威脅管理(UTM)
- 高級持續威脅檢測(APT)
- 其它