入侵检测系统IDS工作原理笔记
入侵检测(Intrusion Detection):通过从计算机网络或计算机系统关键点收集信息并进行分析,从中发现网络或系统中是否违反安全策略的性能更为和被攻击的迹象。
入侵检测系统(IDS):入侵检测是软件和硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。
入侵检测的内容:试图闯入,成功闯入,冒充其他用户,违反安全策略,合法用户的泄漏,独占资源以及恶意使用。
入侵检测系统的作用
l 实用检测
实时地监视,分析网络中所有的数据报文
发现并实时处理所捕获的数据报文
l 安全审计
对系统记录的网络事件进行统计分析
发现异常现象
得出系统的安全状态,找出所需证据
l 主动响应
主动切断连接或与防火墙联动,调用其他程序处理
入侵检测的分类
根据所采用的技术分为:
1) 异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。
2) 特征检测:特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
根据所检测的对象分为:
1) 基于主机的入侵检测系统 HIDS
2) 基于网络的入侵检测系统 NIDS
根据系统的工作方式分为:
1) 离线检测系统
2) 在线检测系统 ----> IPS
信息收集
第一步是信息收集,包括系统,网络,数据及用户活动的状态和行为。需要在系统中的不同关键点(网段和主机)收集信息,这样做的理由就是从一个来源的信息有可能看不出疑点,但从几个原来的信息的不一致性却是可疑行为或入侵的做好标识。
1. 系统和网络日志文件
2. 目录和文件中的不期望的改变
3. 程序执行中的不期望行为
4. 物理形式的入侵信息
信息分析
对收集到的上述信息,通过三种手段进行分析:
模式匹配:用于实时的入侵检测
统计分析:用于实时的入侵检测
完整性分析:用于时候分析
基于规则入侵检测
l 对新的入侵方法无能为力
l 难点在于如何设计模式技能够表达入侵现象又不会将正常的活动包含进来
l 准确率较高
基于异常情况检测
l Anomaly Detection
l 假设入侵者活动异常于正常主体的活动
l 制定主体正常活动的“活动阀值”
l 检测到活动与“活动阈值”相比较
— 是否违反统计规律
l 难题在于如何建立“活动阀值”以及如何设计统计算法
入侵检测中的统计模型
l 操作模型
l 方差
l 多元模型
l 马尔可夫过程模型
l 时间序列分析
IDS存在问题
l NIDS具有网络局限性
l NIDS检测方法都有一定的局限性
l NIDS不能处理加密后的数据
l NIDS存在着资源和处理恩那个的局限性
l NIDS受内存和硬盘的限制
解决方案:HIDS与NIDS 相结合;重要的的服务器上装HIDS,剩余的部分装NIDS。
入侵检测系统IDS工作原理笔记相关推荐
- [网络工程师]-防火墙-入侵检测系统IDS
入侵检测是一种主动保护自己免受攻击的网络安全技术.作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全能力(包括安全审计.监视.攻击识别和响应),提高了信息安全基础结构的 ...
- 入侵检测系统IDS介绍
入侵检测系统 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件 ...
- Linux入侵检测系统IDS的安装与配置
一.IDS概述 在安全防御体系中,如果缺少有效的入侵检测,很容易造成不法人员的大范围入侵,为企业信息安全带来巨大的损失.而入侵检测系统(Intrusion Detection System)对入侵中或 ...
- 网络安全-防火墙与入侵检测系统
防火墙效率 吞吐量:指防火墙在不丢失数据包的情况下能达到的最大的转发数据报的速率. 时延:能够衡量出防火墙处理数据的快慢. 丢包率:在特定负载下,指应由网络设备传输,但由资源耗尽而丢弃帧的百分比. 背 ...
- 【总结】IDS入侵检测系统
IDS(inteusion detection system)入侵检测系统 对系统的运行状态进行监视.发现各种攻击企图.过程.结果.发送警告,用于保护系统资源.保证系统的机密性.完整性.可用性.是一个 ...
- 什么是入侵检测系统?有哪些分类?
在现在网络中,攻击无处不在,可以不夸张的说,每一秒都有企业或者个人被网络攻击.有人说了,不是有防火墙嘛? 确实,防火墙是防止有害和可疑流量流入系统的首选解决方案,但是防火墙并不能保证 100% 万无一 ...
- 网络安全实验-入侵检测-基于网络入侵检测系统
实验目的: 1.掌握snort IDS工作机理 2.应用snort三种方式工作 3.熟练编写snort规则 实验原理: 一.snort IDS概述 snort IDS(入侵检测系统)是一个强大的网络 ...
- 信息安全体系建设☞开源入侵检测系统NIDS
我们之前提到在边界处搭建信息安全体系,需要依赖防火墙,但是防火墙就像我们生活当中的一扇门,只是负责开和关我们不能够感知到是谁进来或者谁出去.比如说我们在制定防火墙策略的时候,我们制定的规则是人可以出去 ...
- 基于Snort的入侵检测系统
基于Snort的入侵检测系统 用Snort,Apache,MySQL,PHP及ACID构建高级IDS 第一章 入侵检测系统及Snort介绍 在当今的企业应用环境中,安全是所有网络面临的大问题.黑客和入 ...
最新文章
- iphone android 开发指南 http://mobile.tutsplus.com
- Windows Phone 7 页面的数值传递和对象传递
- Python中如何修改字符串的值
- leetcode 191. 位1的个数(移位操作)
- netbeans工具栏字体太小
- python判断题题库大数据技术_智慧树_大数据分析的python基础_搜题公众号
- 刷题bingo挑战赛1
- Spark 机器学习 —— ALS
- OpenStack Networking – FlatManager and FlatDHCPManager
- DB9串口线定义的解析
- SSL安全证书不受信任怎么办
- 第三方对接-云存储-最新亚马逊Amazon云AWS S3服务JAVA上传图片,访问图片教程(API版本2.14.22)
- 后端实践:Nginx日志配置(超详细)
- javaspringboot面试,挑战华为社招
- 服务器raid5阵列修复,RAID5磁盘阵列的安装与故障修复
- 400 行 C 代码实现一个虚拟机
- 微信公众号如何设置关键词回复Word/Excel/pdf/ppt等文件?
- 2876: [Noi2012]骑行川藏 - BZOJ
- 数据分析师—Excel函数篇
- NLP(三十九)使用keras-bert实现完形填空及简单的文本纠错功能