第七讲 入侵检测技术
概念:入侵检测 入侵检测通用框架(IDWG CIDF CVE)
理解:入侵检测原理、入侵检测系统分类、误用检测和异常检测的区别及特点
运用举例:
能够依据具体的应用场景,选择恰当的入侵检测系统部署方法,满足应用需求。
一、概述
1.概念
入侵:绕过系统安全机制的非授权行为。
入侵检测:是一种对计算机系统或者网络事件进行监测并分析这些入侵事件特征的过程。
入侵检测系统:自动进行这种监测和分析过程的软件或硬件产品。
误报:检测系统在系统在检测时把系统的正常行为判为入侵行为的错误被称为误报。
漏报:检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报。
检测原理:通过对计算机网络或者计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象
技术要求:入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行
系统部署:入侵检测系统是处于防火墙之后对网络活动的实时监控,不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动
2、入侵检测系统分类
按数据检测方法:异常检测模型,误用检测模型
异常检测:首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵
误用检测:收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
按系统结构:集中式、分布式
按时效性:离线入侵检测系统、在线入侵检测系统
按数据来源:基于主机的入侵检测系统HIDS、基于网络的入侵检测系统NIDS、混合型入侵检测系统Hybrid IDS、网络节点入侵检测系统NNIDS
主机IDS:运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理
特点:安装于被保护的主机中系统日志、系统调用、文件完整性检查;主要分析主机内部活动、占用一定系统资源
网络IDS:通过在共享网段上对通信数据的侦听采集数据,分析可疑现象。这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。
特点:安装在被保护的网段中,混杂模式监听、分析网段中所有的数据包、实时监测和响应
二、通用入侵检测框架
1.IDWG入侵检测工作组
目的:定义数据格式、定义交换流程
输出:需求文件、公共入侵检测语言规范、框架文件
目前成果:尚未形成正式标准,形成4个草案
组成:传感器、分析器和管理器
安全策略:预定义的、正式的成文的说明,它定义了组织机构内网络或特点主机上允许发生的目的为支持组织机构要求的活动。
2.CIDF通用入侵检测框架
体系结构的IDS模块,便于审计数据和数据传送的规范
3.CVE通用漏洞披露
目标:标准化命名所有公共已知的脆弱性和安全暴露
三、入侵检测技术原理
1.数据采集技术:高速网络线速采集、包俘虏、主机信息采集
2.数据检测技术:
2.1基于误用的检测:运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测;通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象;检测准确度很高,无法检测未知入侵。
专家系统、模式匹配检测
2.2基于异常的检测:前提:入侵是异常活动的子集;用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围
特点:指标:漏报率低,误报率高,可检测未知入侵
具体实现:基于统计学方法的异常检测、基于神经网络的异常检测、基于数据挖掘的异常检测
3.数据分析技术
常见类型:协议解析、有限状态自动机、ACBM字符串匹配、正则表达式、事件规则树、完整性分析
四、入侵检测系统部署
1.NIDS传感器的部署方法
共享环境:Hub 交换环境:SPAN/端口镜像、TAP分接器
2.外围支撑技术
3.评价指标
三个因素:准确性、处理性能、完备性
增加两个:容错性、及时性
4.性能测试
HIDS:漏报率、误报率、资源占用率
NIDS:漏报率、误报率、特征库强度
模拟背景流量
习题:
第七讲 入侵检测技术相关推荐
- 入侵检测技术-矛与盾
一.IDS产品的"痛点" 1.误报率:"把好人当坏蛋了"" 2.漏报率:"把坏蛋当好人了" 二.用户抱怨IDS最多的两件事 1.海 ...
- 信息安全软考 第十章 入侵检测技术原理应用
入侵检测概述 入侵检测技术 ※ 入侵检测系统组成与分类 ※ 入侵检测系统主要产品与技术指标 入侵检测应用 ※ ※ 命题规则:上午选择题2分左右,下午案例题结合其他知识考5-8分 入侵检测是 ...
- 信息安全-入侵检测技术原理与应用
一.入侵检测概述 1.1 入侵检测概念 入侵应与受害目标相关联,该受害目标可以是一个大的系统或单个对象 判断与目标相关的操作是否为入侵的依据:对目标的操作是否超出了目标的安全策略范围 入侵:指违背访问 ...
- 信息安全工程师笔记-入侵检测技术原理与应用
入侵检测:通过收集操作系统.系统程序.应用程序.网络包信息,发现系统中违背安全策略或危及系统安全的行为. 具有入侵检测功能的系统称为入侵检测系统,简称为IDS. 通用入侵检测模型 通用入侵检测框架模型 ...
- 信安教程第二版-第10章入侵检测技术原理与应用
第10章 入侵检测技术原理与应用 10.1 入侵检测概述 193 10.1.1 入侵检测概念 193 10.1.2 入侵检测模型 193 10.1.3 入侵检测作用 194 10.2 入侵检测技术 1 ...
- 入侵检测技术目的-发现黑客
一.黑客常见的操作 1.制造并传播病毒木马 2.寝取隐私或敏感信息 3.控制你的计算机 4.服务器宕机(死机) 5网络瘫痪 二.常见的网络攻击手段: 网络攻击主要分为以下几种类型 (1)主动攻击:包含 ...
- 基于时间序列特征提取的车载网络系统入侵检测技术
目录 一.介绍 二.车载网络 三.针对的攻击 四.基于递归神经网络的入侵检测技术 五.总结 一.介绍 随着对物联网(IoT)需求的增长,通过网络提供并控制了诸如电力,天然气,水,铁路,飞机,汽车等各种 ...
- 综述类_网络入侵检测技术综述
文章目录 网络入侵检测技术综述 大纲 一.入侵检测系统分类 1.基于数据来源划分 2.基于检测技术划分 二.基于传统机器学习的入侵检测 1.入侵数据处理 2.监督机器学习技术 3.无监督机器学习技术 ...
- 入侵检测技术是为保证计算机系统安全,计算机数据库的入侵检测技术
计算机数据库的入侵检测技术作为一种信息技术,是保证数据安全的技术.本文主要以入侵检测技术的相关认识作为切入点,研究和分析入侵检测技术相关模式. [关键词]计算机数据库 层次化 入侵检测 模型入侵检测 ...
最新文章
- windows AD/DNS服务器搭建
- VMware 虚拟机 1、ubuntu 扩容(扩展硬盘容量)2、修改内存大小
- linux关闭开发者模式的命今,CentOS防火墙用命令行方式关闭的方式
- android工作注意事项
- 使用IDEA Maven搭建Mybatis环境
- 鸟类南飞,去的是哪个“南方”?
- LeetCode 58.最后一个单词的长度(python、c++)
- 1235813找规律第100个数_每日一课:奥数知识点 —— 找简单数列的规律
- 在PHP中使用协程实现多任务调度
- 【转载】一些重要的java知识点:JVM内存模型和结构
- Linux中rm -rf 文件夹,删不掉
- 年薪60w的程序员与年薪6w的极品程序员,差距怎么这么大呢?
- php 错误503的原因,网站503错误原因和解决方法
- Eclipse中无法输入中文
- Python简单99例-训练每天
- 办理北京市工作居住证攻略
- python ljust 中文_python ljust 中文_Python为文档批量注音(生僻字歌词为例)
- 机器学习的五大分类,监督学习 无监督学习 半监督学习 迁移学习 增强学习
- 苹果手机怎么截图,小白点截图方法
- 个人所得税计算器 微信小程序开发 计算差值方法