1. 首頁 > 生活百科 > >

入侵檢測技術,入侵檢測系統的功能有

入侵生活百科


入侵檢測技術,入侵檢測系統的功能有

文章插圖
什么是入侵檢測?:
入侵檢測技術,入侵檢測系統的功能有

文章插圖
入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性 。
它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象 。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護 。
檢測步驟
(1)信息收集 。入侵檢測的第一步是信息收集,內容包括系統、網絡、數據及用戶活動的狀態和行為 。
而且,需要在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,這除了盡可能擴大檢測范圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的昂好標識 。
當然,入侵檢測很大程度上依賴于收集信息的可靠性和正確性,因此,很有必要只昶用所知道的真正的和精確的軟件來報告這些信息 。因為黑客經常替換軟件以搞混和移走這些信息,例如替換被程序調用的子程序、庫和其他工具 。
黑客對系統的修改可能使系統功能失常并看起來跟正常的一樣,而實際上不是 。例如,UNIX系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同于指定文件的文件(票客隱藏了初始文件并用另一版本代替) 。
這需要保證用來檢測網絡系統的軟件的完整性,特別是入侵檢測系統軟件本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息 。
(2)信號分析 。對上述四類收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配、統計分析和完整性分析 。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析 。
什么叫做入侵檢測?入侵檢測系統的基本功能是什么?:
入侵檢測技術,入侵檢測系統的功能有

文章插圖
入侵檢測系統是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備 。它與其他網絡安全設備的不同之處便在于,IDS是一種積極主動的安全防護技術 。IDS最早出現在1980年4月 。該年,James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告,在其中他提出了IDS的概念 。1980年代中期,IDS逐漸發展成為入侵檢測專家系統 。1990年,IDS分化為基于網絡的IDS和基于主機的IDS 。后又出現分布式IDS 。目前,IDS發展迅速,已有人宣稱IDS可以完全取代防火墻 。我們做一個形象的比喻:假如防火墻是一幢大樓的門衛,那么IDS就是這幢大樓里的監視系統 。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況并發出警告 。IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類 。根據信息來源可分為基于主機IDS和基于網絡的IDS,根據檢測方法又可分為異常入侵檢測和濫用入侵檢測 。不同于防火墻,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可以工作 。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上 。在這里,"所關注流量"指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文 。在如今的網絡拓撲中,已經很難找到以前的HUB式的共享介質沖突域的網絡,絕大部分的網絡區域都已經全面升級到交換式的網絡結構 。因此,IDS在交換式網絡中的位置一般選擇在: 盡可能靠近攻擊源 盡可能靠近受保護資源 這些位置通常是: ·服務器區域的交換機上 ·Internet接入路由器之后的第一臺交換機上 ·重點保護網段的局域網交換機上 由于入侵檢測系統的市場在近幾年中飛速發展,許多公司投入到這一領域上來 。Venustech(啟明星辰)、Internet Security System、思科、賽門鐵克等公司都推出了自己的產品 。系統分類根據檢測對象的不同,入侵檢測系統可分為主機型和網絡型 。
簡述入侵檢測的過程:
入侵檢測技術,入侵檢測系統的功能有

推薦閱讀