网络安全学习笔记-入侵检测系统IDS
入侵检测系统
- 防火墙可以根据IP和服务端口过滤数据报文,极少深入数据包检查内容(合法IP和端口从事破坏活动);
- 防火墙只在网络边界提供安全保护,对内网用户的违规行为或者攻击者将内网终端作为跳板的恶意行为无能为力;
IDS的必要性
- 在造成损害前切断连接或终止操作
- 对攻击者震慑作用
- 可以搜集入侵信息,与防火墙联动更新全工具的配置
IDS体系结构
CIDF通用入侵检测框架
四个组件:
- 事件产生器:所需要分析的数据都称为事件。可以是网络中的数据包,或是系统日志或进程消息。其作用是从IDS之外的整个计算环境中搜集事件,将这些事件转换为CIDF的GIDO格式像其他组件提供此事件。
- 事件分析器:分析从其他组件发送来的GIDO,经过分析得到数据,分析产生结构GIDO,并将结果向其他组件分发。(入侵检测的核心,可以用不同算法对其 进行精确分析)。
- 响应单元:处理其他组件发来的GIDO,并作出反应的功能单元,可以作出切断连接、改变文件属性等强烈反应,也可以是简单的报警。
- 事件数据库:存放各种中间和最终GIDO的介质的统称,可以是复杂的数据库也可以是简单的文本文件。
应用程序:事件产生器+事件分析器+响应单元(数据收集器、数据分析器、控制中心)
文本or数据库:事件数据库
决定主要性能:事件发生器和事件分析器
搜集的原始数据+分析算法的效率
根据事件分析器采用数据来源不同分类:基于主机的入侵检测系统、基于网络的入侵检测系统、分布式的入侵检测系统
根据事件分析器分析算法类型的不同分类:基于异常的入侵检测系统、基于误用的入侵检测系统
核心功能:
对各种事件进行分析,从这个发现违反安全策略的行为
IDS的两大类分析检测方法(基于异常检测、基于误用检测)分别对应经验主义和理性主义
基于误用检测
定义了一套规则来判断特定的行为是否是一个入侵行为。这些规则是基于特征对已知攻击行为的描述(公理)。
优点:误报率低
缺点:对新的入侵行为防范能力很弱
黑名单模式
建立入侵行为特征库
缺点是规则库对系统类型依赖度很高,不同的系统需要有不同的规则库
定义入侵行为数据库,以及匹配与入侵行为分析方法。
- 专家系统:建立数据库
- 模式匹配与协议分析
- 状态建模:入侵行为建模一个行为序列
基于异常检测
通过大量的观察和统计,建立正常行为的轮廓,只要一个行为不严重偏离正常行为轮廓就是一个正常行为,反之则是入侵行为。
优点:检出率高
缺点:误报率高
白名单模式
存在假阳性和假阴性的情况;
难点在于合理的选择阈值,以最大限度地减少误报率和漏报率。阈值的选择是一种折中的艺术。
概率统计入侵检测
系统首先定义一个能够描述合法用户行为的特征数据集合,利用数理统计方法对特征数据进行分析,形成正常行为轮廓。
采用多个变量的统计值进行入侵检测也叫做多元变量的入侵检测
基础是审计记录或日志数据
作用:
- 对一段时间内的审计记录分析可以缺点平均用户活动曲线,形成合法用户的行为轮廓。
- 用户当前的审计记录可以作为入侵检测系统的输入,根据当前记录与行为轮廓的偏差判断入侵行为。
- 原始审计记录:事实上现有的所有操作系统均有系统日志,缺点是原始日志不便于直接分析使用
- 面向入侵检测的审计记录:专门的审计记录收集工具,优点是可以采用特别地工具满足ids特定的需求,缺点是增加了系统的开销
具体的审计记录至少应当包括以下内容:
主体,行为,客体,异常条件,资源使用情况,时间戳,计数器,计量器,计时器,积分器,定时器
优点:
不需要具备太多系统安全弱点的先验知识,统计本身具有一定的自学习能力(依赖阈值时一种比较粗糙的检测方法)
缺点:
对事件发生的次序不敏感,可能会漏检依赖彼此关联事件的入侵行为。
预测模型入侵检测
- 马尔可夫过程
- 时间序列模型
网络中行为是动态变化的,以前合法的行为可能会变成不合法的行为
基于监督学习的入侵检测
KNN(K近邻算法)、决策树(DT)、支持向量机(SVM)
基于无监督学习的入侵检测
K-means聚类、层次聚类
入侵检测系统的部署方式
基于主机的入侵检测系统(HIDS)
检测目标是运行于网络中的主机或主机上的用户;
运行在网络中的主要主机、服务器、工作站或关键路由器上。
数据来源:主机的系统审计日志或网络流量
基于网络的入侵检测系统(NIDS)
被动在网络中监听整个网段的数据流,通过补货数据报文进行分析。
分布式入侵检测系统(DIDS)
每台被监控主机上的检测代理、网络检测代理和中央控制器
中央控制器:
- 通信管理控制整个分布式入侵检测系统中的信息流
- 专家系统负载分析个各代理发来的过滤后的数据,进行高层次的入侵检测分析
- 用户接口主要负责给安全管理员良好的的人机界面
中央控制器:
- 通信管理控制整个分布式入侵检测系统中的信息流
- 专家系统负载分析个各代理发来的过滤后的数据,进行高层次的入侵检测分析
- 用户接口主要负责给安全管理员良好的的人机界面
网络安全学习笔记-入侵检测系统IDS相关推荐
- 网络安全-防火墙与入侵检测系统
防火墙效率 吞吐量:指防火墙在不丢失数据包的情况下能达到的最大的转发数据报的速率. 时延:能够衡量出防火墙处理数据的快慢. 丢包率:在特定负载下,指应由网络设备传输,但由资源耗尽而丢弃帧的百分比. 背 ...
- 入侵检测系统IDS工作原理笔记
入侵检测(Intrusion Detection):通过从计算机网络或计算机系统关键点收集信息并进行分析,从中发现网络或系统中是否违反安全策略的性能更为和被攻击的迹象. 入侵检测系统(IDS):入侵检 ...
- [网络工程师]-防火墙-入侵检测系统IDS
入侵检测是一种主动保护自己免受攻击的网络安全技术.作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全能力(包括安全审计.监视.攻击识别和响应),提高了信息安全基础结构的 ...
- 入侵检测系统IDS介绍
入侵检测系统 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件 ...
- Linux入侵检测系统IDS的安装与配置
一.IDS概述 在安全防御体系中,如果缺少有效的入侵检测,很容易造成不法人员的大范围入侵,为企业信息安全带来巨大的损失.而入侵检测系统(Intrusion Detection System)对入侵中或 ...
- 网络安全之入侵检测系统
一 入侵检测定义 入侵:指一系列试图破坏信息资源机密性.完整性和可用性的行为.对信息系统的非授权访问及(或)未经许可在信息系统中进行操作. 入侵检测:是通过从计算机网络系统中的若干关键节点收集信息,并 ...
- 网络安全实验-入侵检测-基于网络入侵检测系统
实验目的: 1.掌握snort IDS工作机理 2.应用snort三种方式工作 3.熟练编写snort规则 实验原理: 一.snort IDS概述 snort IDS(入侵检测系统)是一个强大的网络 ...
- 第四章网络安全学习笔记(超详细)
---------------------------网络安全---------------------------- 万字长文,小编自己手打,如有勘误,敬请谅解! 网安笔记 ------------ ...
- 信息安全体系建设☞开源入侵检测系统NIDS
我们之前提到在边界处搭建信息安全体系,需要依赖防火墙,但是防火墙就像我们生活当中的一扇门,只是负责开和关我们不能够感知到是谁进来或者谁出去.比如说我们在制定防火墙策略的时候,我们制定的规则是人可以出去 ...
- 入侵检测(IDS)技术
入侵检测(IDS)技术 入侵检测:对企图入侵.正在进行的入侵或已经发生的入侵进行识别的过程. 入侵检测系统:完成入侵检测功能的软件.硬件及其组合,是一种能够通过分析系统安全相关数据来检测入侵活动的系统 ...
最新文章
- 2020人工神经网络第一次作业-参考答案第十部分
- OpenStack OVS实现安全组(五)
- 崛起于Springboot2.X之前端模版freemaker(23)
- hive(4)——元数据概述
- li 字多出了省略号_文字溢出自动显示省略号css方法 -
- 图解算法学习笔记(六):广度优先搜索
- [数据库笔记]规范化(Normalization)-把数据冗余降下来
- Linux自动配置部署,企业级自动化部署方案——ansible实现tomcat自动安装和配置,...
- 190727每日一句
- AdminLTE-2.4.10源码包
- 第三方支付的概述 第三方支付通道对接
- android高德SDK无法定位,高德地图 getLocation无法定位的问题
- 【名企面试经验-新浪-校招提前批】【数据平台研发工程师】
- Java——计算机随机产生一个[1,100]之间的数字(终极版)
- 考研操作系统【1.1 操作系统的基本概念】
- strstr(str1,str2) 函数
- 论文阅读:Softer-NMS: Rethinking Bounding Box Regression for Accurate Object Detection
- 网站上面无法显示woff、svg格式字体
- 从零开始搭建K8S--搭建K8S Ingress
- 使用 Spring Quartz组件实现定时任务
热门文章
- php在线翻译,PHP 在线翻译函数代码
- 用Excel数据透视表的单字段透视功能统计各销售人员的销售总金额
- 人工智能深度学习Caffe框架介绍,优秀的深度学习架构 1
- 【C学习】全通纸笔王网上阅卷系统 APMS_Setup.exe IP修改程序 - 附C/C#/Delphi源码
- mysql 1032 update_MySQL 1032 主从错误解决方法
- Windows远程桌面如何设置分辨率
- 热敏打印机排版—打印机的指令
- 短期刚需还是未来趋势? 聚焦音视频技术发展方向
- 电子书阅读器背景颜色修改方法
- html中css鼠标经过事件,css中鼠标点击变色 css里鼠标悬停变色怎么弄