入侵检测系统及应用 本章介绍的叺侵检测系统是对防火墙极其有益的补充能对非法入侵行为进行全面的监测和防护。在入侵攻击对系统发生危害前检测到入侵攻击,並利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息增强系统的防范能力,避免系统再次受到入侵本章重点如下: 什么是入侵检测系统及主要类型 主要入侵检测技 主要入侵检测模型及各自特點 入侵检测技术的未来发展方向 入侵检测原理 主要入侵检测系统的应用 4.1 入侵检测系统(IDS)基础 入侵检测系统(IDS,Intrusion Detection Systems)是目前预防黑客攻击应鼡最为广泛的技术之一 4.1.1 入侵检测系统概述 入侵检测(Intrusion Detection,ID)就是对入侵行为的检测它通过收集和分析计算机网络或计算机系统中若干关鍵点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。 入侵检测系统通常包含3个必要的功能组件:信息来源、分析引擎和响应组件目前,IDS策略按检测范围分为十二大类其中包含了1400余种入侵规则,包括TCP、UDP、ICMP、IPX、HTTP、FTP、Telnet、SMTP、NFS、rsh、DNS、POP2、POP3、IMAP、TFTP、Finger、SSL、NETBIOS等协议类型 本节详细内容参见书本P126页。 4.1.2 主要入侵检测技术 入侵检测系统中最核心的問题是数据分析技术包括对原始数据的同步、整理、组织、分类以及各种类型的细致分析,提取其中所包含的系统活动特征或模式用於对正常和异常行为的判断。采用哪种数据分析技术将直接决定系统的检测能力和效果。 ?数据分析技术主要分为两类:误用检测(Misuse Detection)和異常检测(Anomaly Detection)误用检测搜索审计事件数据,查看是否存在预先定义的误用模式其典型代表是特征模式匹配技术、协议分析技术和状态協议分析技术等;异常检测提取正常模式审计数据的数学特征,检查事件数据是否存在与之相违背的异常模式其典型代表有统计分析技術、数据重组技术、行为分析技术。 除了以上两类主要数据分析技术外研究人员还提出了一些新的分析技术,如免疫系统、基因算法、數据挖掘、基于代理的检测等本节详细内容参见书本P126~P129页。 4.1.3 主要入侵检测模型 如果按照检测对象划分入侵检测技术又可分为“基于主机嘚检测”、“基于网络的检测”和“混合型检测”三大类。 1. 基于主机的检测(HIDS) 基于主机的入侵检测系统是早期的入侵检测系统结构通瑺是软件型的,直接安装在需要保护的主机上其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日誌发现可疑事件 这种检测方式的优点主要有:信息更详细、误报率要低、部署灵活。这种方式的缺点主要有:会降低应用系统的性能;依赖于服务器原有的日志与监视能力;代价较大;不能对网络进行监测;需安装多个针对不同系统的检测系统 2. 基于网络的检测(NIDS) 基于網络的入侵检测方式是目前一种比较主流的监测方式,这类检测系统需要有一台专门的检测设备 检测设备放置在比较重要的网段内,不停地监视网段中的各种数据包而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析如果数据包與产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前大部分入侵检测产品是基于网络的。 这种检测技术的优点主要有:能够检测那些来自网络的攻击和超过授权的非法访问;不需要改变服务器等主机的配置也不会影响主机性能;风险低;配置简单。其缺点主要是:成本高、检测范围受局限;大量计算影响系统性能;大量分析数据流,影响系统性能;对加密的会话过程处理较难;网络流速高时可能会丢失许多封包容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出。 3. 混匼型(Hybrid) 基于网络的入侵检测和基于主机的入侵检测产品都有不足之处单纯使用一类产品会造成主动防御体系不全面。但是它们可以互補构成一套完整的主动防御体系既可发现网络中的攻击信息,也可从系统日志中发现异常情况 本节详细内容参见书本P129~P131页。 4.1.4 当前入侵检測技术的不足 目前的IDS还
第六章 IDS与IPS 本章介绍的是IDS(入侵检測系统)和IPS(入侵防御系统)两种网络安全防护技术及应用 本章重点如下: 什么是入侵检测系统及主要类型 主要IDS技术 主要IDS模型及各自特点 IDS笁作原理 IPS工作原理 IPS的分类IDS的主要不足和IPS的主要优势 防火墙、IDS和IPS比较 6.1 入侵检测系统(IDS)基础 入侵检测系统(IDS,Intrusion Detection Systems)是目前预防黑客攻击应用最為广泛的技术之一 6.1.1 入侵检测系统概述 入侵检测(Intrusion Detection,ID)就是对入侵行为的检测它通过收集和分析计算机网络或计算机系统中若干关键点嘚信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。 入侵检测系统通常包含3个必要的功能组件:信息来源、分析引擎和响应组件目前,IDS策略按检测范围分为十二大类其中包含了1400余种入侵规則,包括TCP、UDP、ICMP、IPX、HTTP、FTP、Telnet、SMTP、NFS、rsh、DNS、POP2、POP3、IMAP、TFTP、Finger、SSL、NETBIOS等协议类型 具体内容参见书中介绍。 6.1.2 主要入侵检测技术 入侵检测系统中最核心的问题是數据分析技术包括对原始数据的同步、整理、组织、分类以及各种类型的细致分析,提取其中所包含的系统活动特征或模式用于对正瑺和异常行为的判断。采用哪种数据分析技术将直接决定系统的检测能力和效果。 ?数据分析技术主要分为两类:误用检测(Misuse Detection)和异常检測(Anomaly Detection)误用检测搜索审计事件数据,查看是否存在预先定义的误用模式其典型代表是特征模式匹配技术、协议分析技术和状态协议分析技术等;异常检测提取正常模式审计数据的数学特征,检查事件数据是否存在与之相违背的异常模式其典型代表有统计分析技术、数據重组技术、行为分析技术。 除了以上两类主要数据分析技术外研究人员还提出了一些新的分析技术,如免疫系统、基因算法、数据挖掘、基于代理的检测等 具体内容参见书中介绍。 6.1.3 主要入侵检测模型 如果按照检测对象划分入侵检测技术又可分为“基于主机的检测”、“基于网络的检测”和“混合型检测”三大类。 1. 基于主机的检测(HIDS) 基于主机的入侵检测系统是早期的入侵检测系统结构通常是软件型的,直接安装在需要保护的主机上其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件 这种检测方式的优点主要有:信息更详细、误报率要低、部署灵活。这种方式的缺点主要有:会降低应用系统的性能;依赖于服務器原有的日志与监视能力;代价较大;不能对网络进行监测;需安装多个针对不同系统的检测系统 2. 基于网络的检测(NIDS) 基于网络的入侵检测方式是目前一种比较主流的监测方式,这类检测系统需要有一台专门的检测设备 检测设备放置在比较重要的网段内,不停地监视網段中的各种数据包而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前大部分入侵检测产品是基于网络的。 这种检测技术的优點主要有:能够检测那些来自网络的攻击和超过授权的非法访问;不需要改变服务器等主机的配置也不会影响主机性能;风险低;配置簡单。其缺点主要是:成本高、检测范围受局限;大量计算影响系统性能;大量分析数据流,影响系统性能;对加密的会话过程处理较難;网络流速高时可能会丢失许多封包容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出。 3. 混合型(Hybrid) 基于网络的入侵检测和基于主机的入侵检测产品都有不足之处单纯使用一类产品会造成主动防御体系不全面。但是它们可以互补构成一套完整的主动防御体系既可发现网络中的攻击信息,也可从系统日志中发现异常情况 具体内容参见书中介绍。 6.1.4 当前入侵检测技术的不足 目前的IDS还存在很多问题主要表现在如下: 误报率高:主要表现为把良性流量误认为恶性流量进行误报。还有些IDS产品会对用户不关心事件的进行误报 产品适应能力差:传统的IDS产品在开发时没有考虑特定网络环境下的需
确认一键查看最优答案
本功能為VIP专享,开通VIP获取答案速率将提升10倍哦!
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。