入侵检测技术什么是入侵检测技术,入侵检测系统模型包含哪三个功能部件

入侵检测技术  时间:2021-06-26  阅读:()

入侵检测技术的原理是?

CIDF阐述了一个入侵检测系统(IDS)的通用模型。

它将一个入侵检测系统分为以下组件:事件产生器(Eventgenerators),用E盒表示;事件分析器(Eventanalyzers),用A盒表示;响应单元(Responseunits),用R盒表示;事件数据库(Eventdatabases),用D盒表示。

CIDF模型的结构如下:E盒通过传感器收集事件数据,并将信息传送给A盒,A盒检测误用模式;D盒存储来自A、E盒的数据,并为额外的分析提供信息;R盒从A、E盒中提取数据,D盒启动适当的响应。

A、E、D及R盒之间的通信都基于GIDO(generalizedIntrusiondetectionobjects,通用入侵检测对象)和monintrusionspecificationlanguage,通用入侵规范语言)。

如果想在不同种类的A、E、D及R盒之间实现互操作,需要对GIDO实现标准化并使用CISL。

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。

入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

入侵检测技术的分类

(1)异常检测模型(AnomalyDetection):检测与可接受行为之间的偏差。

如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。

首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。

这种检测模型漏报率低,误报率高。

因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。

(2)误用检测模型(MisuseDetection):检测与已知的不可接受行为之间的匹配程度。

如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。

收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。

这种检测模型误报率低、漏报率高。

对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。

基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。

主机型入侵检测系统保护的一般是所在的主机系统。

是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。

基于网络:系统分析的数据是网络上的数据包。

网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。

混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。

入侵检测技术的方法

方法有很多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。

目前一些入侵检测系统在应用层入侵检测中已有实现。

入侵检测通过执行以下任务来实现: 1.监视、分析用户及系统活动; 2.系统构造和弱点的审计; 3.识别反映已知进攻的活动模式并向相关人士报警; 4.异常行为模式的统计分析; 5.评估重要系统和数据文件的完整性; 6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

入侵检测技术的发展方向是什么?

无论从规模与方法上入侵技术近年来都发生了变化。

入侵的手段与技术也有了“进步与发展”。

入侵技术的发展与演化主要反映在下列几个方面:入侵或攻击的综合化与复杂化。

入侵的手段有多种,入侵者往往采取一种攻击手段。

由于网络防范技术的多重化,攻击的难度增加,使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。

入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。

通过一定的技术,可掩盖攻击主体的源地址及主机位置。

即使用了隐蔽技术后,对于被攻击对象攻击的主体是无法直接确定的。

入侵或攻击的规模扩大。

对于网络的入侵与攻击,在其初期往往是针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,也不排除商业的盗窃与破坏行为。

由于战争对电子技术与网络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息战。

对于信息战,无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。

信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

入侵或攻击技术的分布化。

以往常用的入侵与攻击行为往往由单机执行。

由于防范技术的发展使得此类行为不能奏效。

所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。

且此类分布式攻击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。

分布式攻击是近期最常用的攻击手段。

攻击对象的转移。

入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。

现已有专门针对IDS作攻击的报道。

攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加以攻击。

今后的入侵检测技术大致可朝下述三个方向发展。


分布式入侵检测:
第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。


智能化入侵检测:
即使用智能化的方法与手段来进行入侵检测。

所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。

利用专家系统的思想来构建入侵检测系统也是常用的方法之一。

特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。

应用智能体的概念来进行入侵检测的尝试也已有报道。

较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。


全面的安全防御方案:
即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。

从管理、网络结构、加密通道、防火墙、
病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。

简述入侵检测系统的基本原理.

入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。

包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术

什么是入侵检测技术,入侵检测系统模型包含哪三个功能部件

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。

入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

三部分:信息收集、信息分析和结果处理。

(1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。

由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。

(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。

当检测到某种误用模式时,产生一个告警并发送给控制台。

(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。

GreenCloudVPS($30/年),500G大硬盘VPS,10Gbps带宽

GreenCloudVPS最近在新加坡DC2节点上了新机器,Dual Xeon Silver 4216 CPU,DDR4内存,10Gbps网络端口,推出了几款大硬盘VPS套餐,基于KVM架构,500GB磁盘起年付30美元。除了大硬盘套餐外,还加推了几款采用NVMe硬盘的常规套餐,最低年付20美元。不过需要提醒的是,机房非直连中国,尤其是电信用户ping值感人,包括新加坡DC1也是如此。大硬盘VPS...

totyun:香港cn2 vps,5折优惠,$6/月,10Mbps带宽,不限流量,2G内存/2核/20g+50g

totyun,新公司,主要运作香港vps、日本vps业务,接入cn2网络,不限制流量!VPS基于KVM虚拟,采用系统盘和数据盘分离,从4G内存开始支持Windows系统...大家注意下,网络分“Premium China”、“Global”,由于站长尚未测试,所以也还不清楚情况,有喜欢吃螃蟹的尝试过不妨告诉下站长。官方网站:https://totyun.com一次性5折优惠码:X4QTYVNB3P...

舍利云:海外云服务器,6核16G超大带宽vps;支持全球范围,原价516,折后价200元/月!

舍利云怎么样?舍利云推出了6核16G超大带宽316G高性能SSD和CPU,支持全球范围,原价516,折后价200元一月。原价80美元,现价30美元,支持地区:日本,新加坡,荷兰,法国,英国,澳大利亚,加拿大,韩国,美国纽约,美国硅谷,美国洛杉矶,美国亚特兰大,美国迈阿密州,美国西雅图,美国芝加哥,美国达拉斯。舍利云是vps云服务器的销售商家,其产品主要的特色是适合seo和建站,性价比方面非常不错,...

入侵检测技术为你推荐
阶乘符号数学中的阶乘符号与那个标点符号的写法相同?视频托管我想做一些游戏教学视频,放到网上收费该可以吗?avc是什么格式XVID/MPEG/AVC都是什么意思啊flash实例Flash元件和实例的概念及关系?手机软件开发工具如何自己开发一个app软件云输入法QQ云输入法怎样调整候选词的个数?qq管家官网腾讯手机管家官网防盗页面地址是什么?知识百科flash序列号Flash软件 的序列号是什么?particular教程有没有制作花瓣飘落的AE教程acceptchangeswinform 怎样把DataTable 中的值插入到数据库中
asp网站空间 已备案未注册域名 韩国服务器租用 最新代理服务器ip 域名备案中心 t牌 息壤备案 cdn服务器 万网优惠券 警告本网站 发包服务器 阿里校园 流量计费 免费phpmysql空间 vip域名 网站在线扫描 raid10 厦门电信 腾讯总部在哪 空间租赁 更多