网安笔记15 入侵检测IDS
1 入侵检测概述
入侵检测:
在网络/系统 若干关键点收集信息、分析,发现网络/系统是否违反安全策略/遭受攻击并做出相应
IDS 入侵检测系统
使用*~~~~技术*对网络和系统监视, 根据监视做出动作,降低入侵危害
过程
- 信息收集
- 数据处理
- 数据分析
- 安全策略做出响应
一般可以用防火墙/认证系统阻止未授权访问。
IDS是在适当位置对计算机未授权访问警告,或拒绝部分入侵者。没有访问控制能力
- 网络侦查员/侦擦和预警
- 攻击的时候警报/记录行为,预警功能
- 多用 旁路侦听 机制
- 对其它系统的补充,降低损失
保证
D t + R T < p T Dt+RT < pT Dt+RT<pT
检测 + 响应 < 防护时间
基本结构
CIDF:入侵检测需要的数据叫事件
- 事件产生器 —— 采集监视保存数据,保存于4
- 事件分析器 —— 发现危险一场数据并通知 3
- 响应单元 —— 拦截阻断反追踪保护
- 事件数据库
CISL:不同功能单元的数据交换
2 IDS分类
从数据来源
- 基于主机
- 基于网络
- 基于内核
- 基于应用
主机
数据源:
系统catalog, APP catalog等审计记录文件,产生攻击签名
- 保证审计数据不被改
- 实时性
- 系统在attacker修改审计数据签完成 分析、报警、响应
按检测对象继续分类
- 网络连接:进入主机的数据
- 主机文件:log,sys,process
优点
- 确定攻击是否成功
- 合适加密/交换环境
- 因为基于网络的IDS以数据交换包位数据源
- 加密数据到主机前要解密。对于网络,流量很难处理
- 近实时
- 无须其他硬件
- 特定行为监视 ~~ 系统文件/可执行文件
- 针对不同OS
不足
- 实时性差
- 占资源
- 效果依赖日志
- 无法检测全部包
- 隐蔽性插
网络
原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析
可执行
- 端口扫描
- 识别攻击
- 识别IP七篇
- 可干涉通信,配置防火墙
优势
- 攻击者难以转移踪迹:因为主机的IDS的审计日志会被修改
- 实时
- OS无关
- 低成本
- 检测未遂攻击
对应就是前面的
实时、同时多台、隐蔽、保护入侵证据、不影响host
不足
- 防入侵交叉
- 难配置
- 硬件限制
- 不能处理加密数据
内核
openwall linux
防止缓冲区溢出,增加文件系统的保护,封闭信号
分布式
主机+网络
3. 分析方式
- 异常检测
- 误用检测
异常检测技术——基于行为
前提:入侵行为都是异常的
正常的行为特征轮廓来判断是否发生了入侵行为。间接
- 选特征量
- 选阈值
- 漏警
- 虚警
- 选比较频率
优点
- 检测出新的入侵方法
- 少依赖OS
- 对内部检测能力强
缺
- 误报
- 模型难建立
- 难分类命名行为
方法
- 统计分析
- 平均值
- 平方加权求和
- 成熟,但阈值难确定,次序不敏感
- 贝叶斯
- 神经网络
- 不需要数据统计假设,处理随机性与干扰数据
- 权重难确定
- 模式预测,考虑顺序,联系。遵循可识别模式
- 处理各种行为
- 对不可识别模式误检
- 数据裁决
- 处理数据
- 效率低
- 机器学习
误用检测技术——基于知识
前提:入侵行为可被 识别,直接方法
- 准确
- 成熟
- 便于sys防护
缺点
- 新入侵行为无法检测
- 依赖数据特征有效
- 维护库工作量大
- 难以检测内部
方法
- 专家系统
- 速度,精度有待改良,维护库工作量大
- 特征分析
- 不进行转换,不处理大量数据,直接用入侵只是
- 推理模型
- 基于数学,减少数据量处理
- 增加模型开销
- 条件概率
- 键盘监控
异常 | 误用 | |
---|---|---|
配置 | 难度大。要总结正常行为 | |
结果 | 更多数据 | 列出type/name/处理建议 |
others
遗传算法,免疫技术
4 设置
- 确定需求
- 设计拓扑
- 配置系统
- 磨合调试
- 使用
3,4回溯多次,降低误报和漏报
5 部署
基于网络IDS
- DMZ
- 检测所有针对用户向外提供服务的服务器的攻击行为
- 检测外部攻击与防火墙问题
- 外网入口
- 可以检测所有进出防火墙外网口的数据
- 处理进出数据
- 但无法定位地址
- 内网主干
- 内网流出和经过防火墙过滤后流入内网的网络数据
- 知道源目的地址
- 检测内网,提高检测攻击效率
- 关键子网
- 检测到来自内部以及外部的所有不正常的网络行为
- 资源部署搞笑
基于host
主要安装在关键主机
要根据服务器本身的空闲负载能力配置
报警策略
如何报警和选取什么样的报警
保证这个互动的接口与目标网络物理隔绝,不影响别处
优点与局限
- 分析行为
- 测试安全状态
- 产生数据
- 帮助管理人员
局限
- 只能发现,不能弥补/修正漏洞也无法预防。
- 高负载主机难以检测
- 基于知识/无用很难检测为职工过激行为
- 过敏造成拒绝服务攻击
- 纯交换环境无法工作
密罐技术就是建立一个虚假的网络,诱惑黑客攻击这个虚假的网络,从而达到保护真正网络的目的
网安笔记15 入侵检测IDS相关推荐
- 【Microsoft Azure 的1024种玩法】二十九.基于Azure VM快速实现网络入侵检测 (IDS) 及网络安全监视 (NSM)
[简介] 数据包捕获是一个重要组件,可以实施网络入侵检测系统 (IDS) 并执行网络安全监视 (NSM). 我们可以借助开源 IDS 工具来处理数据包捕获,并检查潜在网络入侵和恶意活动的签名. 使用网 ...
- 安全防御 --- 入侵检测 --- IDS、IPS
入侵检测 1.入侵检测经典理论 系统访问控制要针对三类用户 (1)合法用户 (2)伪装 --- 攻破[流程控制](超出了合法用户的行为范围) 身份仿冒(可能是最早提出不能仅依赖于身份认证,还要加强行为 ...
- 设备安全——入侵检测IDS
目录 1. 什么是IDS? 2. IDS和防火墙有什么不同? 2.1 检测与监测 2.2 设备所处点不同 2.3 作用点不同 2.4 动作不同 3. IDS工作原理? 3.1.IDS分为实时入侵检测和 ...
- 入侵检测---IDS
1. 什么是IDS? 入侵检测:针对防火墙涉及不到的地方采取措施,捕捉有问题的流量特征,将特征做成特征数据库,对后面的流量进行匹配判断有无入侵. 经典理论---入侵检测访问控制的三种用户: 合法用户 ...
- 网络入侵检测IDS常用数据集KDD Cup99/NSL-KDD/UNSW-NB15/ADFA/CIC IDS2017/2018下载途径
目录 1.KDD Cup99 2.NSL-KDD 3.UNSW-NB15 4.ADFA 5.CIC IDS2017 6.CIC IDS2018 1.KDD Cup99 下载地址:KDD Cup 199 ...
- 网安笔记13 隔离技术
隔离技术概述 安全域 以信息涉密程度划分的网络空间 涉密域:涉及国家秘密的网络空间,反之就是不涉及 公共服务域是指既不涉及国家秘密也不涉及工作秘密,是一个向因特网络完全开放的公共信息交换空间 网络隔离 ...
- 千峰课程网安笔记(1)
1.IP地址 ping -t + ip地址 一直ping ping -n + 数字+ ip地址 固定ping 几次 ipconfig 查看信息 ipconfig /all 查看所有信息 nslook ...
- 网安笔记04 公钥密码体制
公钥密码体制 公钥密码体制的基本概念 保密性:确保信息只被授权的人访问 认证:确认某实体/数据源的真实性 保密性需要考虑到 不可否认性 数据完整性 保密系统要考虑 达到实际上不可破 接获密文.某些明文 ...
- 五大免费企业网络入侵检测工具(IDS)
Snort一直都是网络入侵检测(IDS)和入侵防御工具(IPS)的领导者,并且,随着开源社区的持续发展,为其母公司Sourcefire(多年来,Sourcefire提供有供应商支持和即时更新的功能齐全 ...
最新文章
- 一片哗然!ICLR 2020被曝47%的审稿人没发过相关论文
- 1.2.2 OSI参考模型 下
- 以下选项不是python打开方式的是-模拟试卷 A
- 茶叶的游离态咖啡因与结合态咖啡因
- 高亮屏幕一条条线_惠普Z24N G2显示器评测 设计师都想要的好屏幕
- 非泄露,NSA官方开源反汇编工具GHIDRA
- mysql操作数据库进行封装实现增删改查功能
- 1.5多媒体技术的应用领域
- 正点原子T100智能焊台体验,顺便咱们来说说它的软件菜单、界面切换如何来实现?
- c语言编程身高体重测量,身高体重测量系统设计.doc
- 杰理之ANC降噪基本原理【篇】
- 小白学编程必备的三大网站
- 红米手机TWRP读不了刷机包成功解决记录
- cacti流量监控--verygood
- redis哨兵模式-sentinel ,java客户端动态切换master
- 汽车加油问题--贪心算法(算法设计与分析)
- 支付宝推“未来医院”是表象 支付宝服务窗才是最终目的
- Revit 2015 发布!
- 制作全景图的软件都有哪些?全景图怎么制作做的?
- MySQL 数据库————连接查询