信息安全工程师笔记-入侵检测技术原理与应用
入侵检测:通过收集操作系统、系统程序、应用程序、网络包信息,发现系统中违背安全策略或危及系统安全的行为。
具有入侵检测功能的系统称为入侵检测系统,简称为IDS。
通用入侵检测模型
通用入侵检测框架模型(CIDF)认为入侵检测系统由事件产生器、事件分析器、响应单元、事件数据库组成。
基于误用的入侵检测技术
检测与已知的不可接受行为之间的匹配程度。
这种检测模型误报率率、漏报率高。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
基于异常的入侵检测技术
检测与可接受行为之间的偏差。
漏报率低,误报率高。因为不需要对每钟入侵行为进行定义,所以能有效检测未知的入侵。
入侵检测系统组成
以下功能快组成:
①数据采集模块(数据采集):为入侵分析引擎模块提供分析用的数据。如操作系统的审计日志、应用程序的运行日志、网络数据包;
②入侵分析引擎模块(入侵检测器):依据辅助模块提供的信息(如攻击模式),根据算法对收集到的数据进行分析,判断是否有入侵行为出现,产生入侵报警,是入侵检测系统的核心模块;
③应急处理模块(应急措施):发生入侵后,提供紧急响应服务,如关闭网络服务、中断网络连接、启动备份系统等;
④管理配置模块(配置系统库):为其他模块提供配置服务,是IDS系统中的模块与用户的接口;
⑤相关的辅助模块(攻击模式库):协助乳清分析引擎模块工作,为它提供相应的信息,攻击特征库、漏洞信息等。
统一威胁管理(UTM)
统一威胁管理是指一个功能全面的安全产品,它将多种安全特性集成与一个硬件设备里,形成标准的统一威胁管理平台,防范多种威胁。UTM产品通常包括防火墙,防病毒软件,内容过滤和垃圾邮件过滤器。如H3C SecPath U200-CA。
UTM通常部署在内部网络与外部网络的边界,对流出和进入内部网络的数据进行保护和控制。UTM在实际网络中的部署方式包括透明网桥、路由转发和NAT网关。
高级持续威胁(APT)
高级持续威胁包括三要素:高级、长期、威胁。
①高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞;
②长期指某个外部力量会持续监控特定的目标,并从其获取数据;
③威胁则指人为参与与策划攻击。
入侵检测系统部署
IDS应当旁路部署在所有关注流量都必须流经的链路上。
IDS部署在尽可能靠近攻击源或尽可能靠近受保护资源的位置,如:
①服务器区域的交换机上;
②Internet接入路由器之后的第一台交换机上;
③重点保护网段的局域网交换机上。
或
信息安全工程师笔记-入侵检测技术原理与应用相关推荐
- 信息安全工程师笔记-网络安全风险评估技术原理与应用
网络安全风险评估要素 网络安全分析评估要素包括:资产.威胁.脆弱性.安全措施.风险,各个要素之间相互作用. 网络安全风险评估模式 ①自评估:网络系统拥有者依靠自身力量,对自有的网络系统进行的风险评估活 ...
- 信安教程第二版-第10章入侵检测技术原理与应用
第10章 入侵检测技术原理与应用 10.1 入侵检测概述 193 10.1.1 入侵检测概念 193 10.1.2 入侵检测模型 193 10.1.3 入侵检测作用 194 10.2 入侵检测技术 1 ...
- 第10章 入侵检测技术原理与应用
第10章 入侵检测技术原理与应用 10.1 入侵检测概述 10.1.1 入侵检测概念 入侵检测通过收集操作系统.应用程序.系统程序.网络包等信息发现系统中违背安全策略活危机系统安全的行为.IDS 10 ...
- 信息安全软考 第十章 入侵检测技术原理应用
入侵检测概述 入侵检测技术 ※ 入侵检测系统组成与分类 ※ 入侵检测系统主要产品与技术指标 入侵检测应用 ※ ※ 命题规则:上午选择题2分左右,下午案例题结合其他知识考5-8分 入侵检测是 ...
- 信息安全-入侵检测技术原理与应用
一.入侵检测概述 1.1 入侵检测概念 入侵应与受害目标相关联,该受害目标可以是一个大的系统或单个对象 判断与目标相关的操作是否为入侵的依据:对目标的操作是否超出了目标的安全策略范围 入侵:指违背访问 ...
- 【软考信安】入侵检测技术原理应用
入侵检测概述 入侵的判定:对目标的操作超出目标的安全策略范围. 入侵检测系统(IDS) 通用入侵检测框架模型(CIDF) 组成:事件产生器.事件分析器.响应单元和事件数据库. 入侵检测技术
- 信息安全工程师笔记-网络安全主动防御技术与应用
入侵防御系统(IPS) 入侵防御系统(Intrusion Prevention System)是一种主动的.积极的入侵防范及阻止系统(防火墙是被动的),它部署在网络的进出口处,当检测到攻击企图后,自动 ...
- 信息安全工程师笔记-网络攻击常见技术
前言 前面说了端口扫描技术,这次笔记再来补充下其他技术. 口令破解 1.建立与目标网络服务的网络连接: 2.选取用户列表文件及字典文件: 3.在用户列表文件及字典文件中,选取组用户和口令,按网络服务协 ...
- 信息安全工程师笔记-网络安全测评技术与标准
基于测评目标分类 按照测评的目标,网络安全测评分为三种: ①网络信息系统安全等级测评:采用网络等级保护2.0标准: ②网络信息系统安全验收测评:评价该项目是否满足安全验收要求中的各项安全技术指标和安全 ...
最新文章
- 计算机应用基础 a)卷,《计算机应用基础》(A卷)44648
- DevOps笔记-05:IT行业中BA、SM、PO、PM、PD、Dev、Ops、QA都是什么角色
- mysql linux 中文乱码_解决MySQL中文乱码的问题
- Linux 笔记(持续补充)
- 从Delphi 7升级到Delphi XE
- dhcp计算机毕业论文,基于线程池机制的高性能DHCP服务器研究与实现-计算机科学与技术专业毕业论文.docx...
- 用SharpZipLib来压缩和解压文件 --zt
- 不同磁盘目录共享linux,linux下实现磁盘共享(mount)
- 使用VS2019创建项目,添加文件和库地址
- system.argumentnullexception值不能为null_MySQL NULL 值如何处理?
- 每日一题(C语言基础篇)1
- 优酷用户触达平台技术大揭秘
- 动态规划实战15 leetcode-256. Paint House
- 什么是CMPP、SGIP、SMGP三大运营商接口协议
- c语言免杀程序源码,ghost源码免杀教程 步
- 威纶触摸屏485轮询通讯_【威纶】触摸屏 界面制作软件 EBpro使用手册.pdf
- 计算机文档分段,Word文档如何快速分段
- Android平台根据分辨率计算屏幕尺寸
- 【学习笔记】《Writing Science》10-13
- 源码分享!!!world文档转换为JPG图片