入侵检测系统基础知识
入侵检测是指在特定的网络环境中发现和识别未经授权的、恶意的入侵和攻击,并对此作出反应的过程。入侵检测系统(IDS,Intrusion Detecting System)是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。IDS一方面检测未经授权的对象(人或程序)入侵系统,另一方面还监视授权对象对系统资源的非法操作。入侵检测作为一种积极主动的安全防护技术,提供了对内部、外部和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统一般包括:
1)信息收集:包括系统日志、网络数据包、用户活动状态和行为等,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息。
2)信息分析:对收集到信息进行安全性分析,从中发现攻击或入侵的痕迹,常用的信息分析方法有:模式匹配、统计分析和完整性分析,其中模式匹配和统计分析用于实时入侵检测,完整性分析多用于事后分析。
3)信息存储:保存证据便于攻击信息查看和分析;
4)攻击响应:在攻击信息分析并确定攻击类型后,对检测到的攻击作相应处理,如发出警报、发邮件和短信等,利用自动装置直接处理,如切断连接、过滤攻击者地址、数据恢复、根除入侵者留下的后门、防火墙联动等。
入侵检测技术可分为两大类:异常入侵检测技术和误用入侵检测技术。
1)误用入侵检测技术:误用入侵检测首先对表示特定入侵的行为模式进行编码,建立误用模式库;然后对实际检测过程中得到的审计事件数据进行过滤,检查是否包含入侵特征串。误用检测的缺陷在于只能检测已知的攻击模式。常见的误用入侵检测技术有:
——模式匹配:将收集到的信息与已知的网络入侵和系统误用模式串进行比较,从而发现违背安全策略的行为,具有原理简单、扩展性好、检测效率高、可实时检测特点。轻量级开放源代码入侵检测系统snort采用这个技术。
——专家系统:根据安全专家对可疑行为的分析经验来形成一套推理规则,在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析,能够随着经验积累而利用其自学习能力进行规则的扩充和修正。在处理海量数据时存在效率问题,由于专家系统的推理和决策模块通常使用解释型语言,在执行速度上比编译型语言慢。规则库维护艰巨。
2)异常入侵检测技术:异常检测是通过对系统异常行为的检测来发现入侵。异常检测的关键问题在于正常使用模式的建立,以及如何利用该模式对当前系统或用户行为进行比较,从而判断出与正常模式的偏离程序。模式(profiles)通常使用一组系统的度量(metrics)来定义。度量,指系统或用户行为在特定方面的衡量标准。每个度量都对应于一个门限值。常见异常检测技术有:
——统计分析:首先,检测器根据用户对象的动作为每个用户建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否异常行为。统计分析优点:成熟概率统计理论支持、维护方便;缺点:不能实时检测,统计分析不能反映时间在时间顺序上的前后相关性,而不少入侵行为都有明显的前后相关性、门限值的确定比较棘手等。
——神经网络:对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并作出入侵可能性的判断。利用神经网络所具有的识别、分类和归纳能力,可以使入侵检测系统使用用户行为特征的可变性。从模式识别的角度来看,入侵检测系统可以使用神经网络来提取用户行为的模式特征,并以此创建用户的行为特征 轮廓。利用神经网络检测入侵的基本思想是用一系列单元(命令)训练神经单元,这样在给定一组输入后,就可能预测输出。
3)新技术有:免疫系统、基因算法、数据挖掘、基于代理的检测等。
入侵检测系统基础知识相关推荐
- 入侵检测系统--snort知识
1. IPS简介 入侵指的是破坏目标系统资源的完整性 . 机密性或可用性的一系列活动 . I D S 所检测的入侵不包括物理入侵 , 而仅包括以电子方式从系统内部或者外部发起的 , 尝试或者实施对系统 ...
- Nmap扫描教程之Nmap基础知识
Nmap扫描教程之Nmap基础知识 Nmap扫描Nmap基础知识 Nmap是一个免费开放的网络扫描和嗅探工具包,也叫网络映射器(Network Mapper).Nmap工具可以用来扫描电脑上开放的端口 ...
- 计算机网络安全基础知识笔记
1.网络安全威胁介绍 非法授权访问:没有预先经过同意,就使用网络或相关的计算机资源就是非授权访问.主要有以下几种形式:身份攻击.假冒.非法用户进入网络系统进行违法操作.合法用户以未授权的方式进行操作 ...
- 信息系统项目管理师核心考点(六十五)信息安全基础知识网络安全
科科过为您带来软考信息系统项目管理师核心重点考点(六十五)信息安全基础知识网络安全,内含思维导图+真题 [信息系统项目管理师核心考点]信息安全基础知识网络安全 1.拒绝服务攻击(Dos) 一种利用合理 ...
- 计算机基础知识题精选
1.网络钓鱼欺骗是社会工程学的一种方式,下列关于社会工程学的说法中错误的是( ) A.社会工程学利用了人性的弱点:B.社会工程学需要结合常识:C.社会工程学的目的是获取秘密信息:D.谎言越多,社会工程 ...
- 学习记录:计算机网络基础知识总结
计算机网络(第7版)谢希仁 阿里云盘 链接:https://www.aliyundrive.com/s/eLhv9FKkeW4 学习笔记:https://note.youdao.com/s/a5HE1 ...
- [论文阅读] (12)英文论文引言introduction如何撰写及精句摘抄——以入侵检测系统(IDS)为例
<娜璋带你读论文>系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢.由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正,非常欢迎大家给我留言评论,学 ...
- 安全防御——IDS(入侵检测系统)
安全防御--IDS(入侵检测系统) IDS介绍 为什么需要IDS IDS的工作原理 IDS的工作过程 第一步:信息收集 第二步:数据分析 IDS的主要检测方法 1.模式匹配(误用检测) 2.统计分析( ...
- 实验室环境下测试千兆入侵检测系统(转)
实验室环境下测试千兆入侵检测系统(转)[@more@] 在上期报纸中,我们重点介绍了美国<Network World>于2003年对千兆IDS进行的模拟真实情况测试.在这期文章中,我们将主 ...
最新文章
- mysql免压缩安装教程_MySql免解压版安装教程
- 三容水箱液位控制系统_三容水箱液位控制系统的建模及仿真.doc
- linux rabbitmq安装包,Linux安装RabbitMQ
- 利用存储过程来实现分页性能比较
- HDU-2094 产生冠军
- python中文字符编码问题
- hdu_Anniversary party_(树形DP入门题)
- php 小数末尾进1,PHP小数点最后一位加1、减1
- 基础知识学习-数据结构篇
- 递推公式与递归退出的条件
- 机器学习 Machine Learning- 吴恩达Andrew Ng Week2-Octave
- PDF内容太多分不清?这个PDF加页码的方法可以帮助你
- erlang ets写入mysql_ets:i/0 – 在输出端上打印显示所有 ETS 表的信息 - Erlang 中文手册...
- Type string trivially inferred from a string literal, remove type annotation.eslint@typescript-eslin
- 单相逆变电路实战!(基于STM32F103C8T6的单相逆变电路,PID控制输出额定电压)
- leetCode刷题记录(四月)
- 向U盘中安装Linux系统的经验(不是制作安装盘)
- 小程序——疫情下企业数字化的新方向
- Page “xxx“ has not been registered yet.
- 基于 Sodor 的矩阵乘法加速器设计之C++
热门文章
- 使用Apache来构建URL缩短服务
- zoj3988 二分图匹配
- Javaweb监听器(2)
- [ZPG TEST 109] 兔子跳跃【构图】
- 开启AngularJs之旅
- ubuntu编译安装php5 mysql nginx
- 移动机器人平台的坐标系---map,odom,base_link
- AndroidStuido编译release版本apk(非签名apk)
- 修改Linux内核的printk缓冲区(log缓冲区)大小
- python2中的unicode_python2中的unicode()函数在python3中会报错: