1. 首頁 > 生活百科 > >

入侵檢測技術,入侵檢測系統的功能有( 二 )

入侵生活百科


文章插圖
入侵檢測技術可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統 。包括系統外部的入侵和內部用戶的非授權行為 。
是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?,F象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術 。
誤用入侵檢測的主要假設是具有能夠被精確地按某種方式編碼的攻擊 。通過捕獲攻擊及重新整理,可確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種 。誤用入侵檢測主要的局限性是僅僅可檢測已知的弱點.對檢測未知的入侵可能用處不大 。
入侵檢測的原理:
異常入侵檢測原理構筑異常檢測原理的入侵檢測系統,首先要建立系統或用戶的正常行為模式庫,不屬于該庫的行為被視為異常行為 。但是,入侵性活動并不總是與異?;顒酉喾希谴嬖谙铝?種可能性:入侵性非異常;非入侵性且異常;非入侵性非異常;入侵性且異常 。
設置異常的門檻值不當,往往會導致IDS許多誤報警或者漏檢的現象 。IDS給安全管理員造成了系統安全假象,漏檢對于重要的安全系統來說是相當危險的 。
以上內容參考:百度百科-入侵檢測
什么是入侵檢測?:

入侵檢測技術,入侵檢測系統的功能有

文章插圖
【入侵檢測技術,入侵檢測系統的功能有】所謂入侵檢測其實就是指試圖監視和盡可能阻止有害信息的入侵,或者其他能夠對用戶的系統和網絡資源產生危害的行為.入侵檢測分為三種:1.基于網絡的入侵檢測系統2.基于主機的入侵檢測系統3.基于漏洞的入侵檢測系統.
入侵檢測是能夠檢測到網絡上不正常、不合法活動的網絡技術 。入侵檢測系統運行在一臺主機上,監視該主機上的惡意活動被稱為基于主機的入侵檢測系統 。入侵檢測系統運行在網絡數據流上被稱為基于網絡的入侵檢測系統 。有時,"濫用"和"入侵"兩個詞是有區別的 。"入侵"通常是指來自外網的攻擊;而"濫用"通常用來描述來自內網的攻擊 。然而,大多數人并不劃分得這么詳細 。
最常用的兩種入侵檢測方法是統計異常發現和模式匹配 。
入侵檢測技術綜述
http://edu.sina.com.cn/l/2001-12-26/20156.html
簡述入侵檢測常用的四種方法:
入侵檢測技術,入侵檢測系統的功能有

文章插圖
入侵檢測系統所采用的技術可分為特征檢測與異常檢測兩種 。
1、特征檢測
特征檢測(Signature-based detection) 又稱Misuse detection,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式 。
它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力 。其難點在于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來 。
2、異常檢測
異常檢測(Anomaly detection) 的假設是入侵者活動異常于正常主體的活動 。根據這一理念建立主體正?;顒拥摹盎顒雍啓n”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為 。
異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為 。
擴展資料
入侵分類:
1、基于主機
一般主要使用操作系統的審計、跟蹤日志作為數據源,某些也會主動與主機系統進行交互以獲得不存在于系統日志中的信息以檢測入侵 。
這種類型的檢測系統不需要額外的硬件.對網絡流量不敏感,效率高,能準確定位入侵并及時進行反應,但是占用主機資源,依賴于主機的可靠性,所能檢測的攻擊類型受限 。不能檢測網絡攻擊 。
2、基于網絡
通過被動地監聽網絡上傳輸的原始流量,對獲取的網絡數據進行處理,從中提取有用的信息,再通過與已知攻擊特征相匹配或與正常網絡行為原型相比較來識別攻擊事件 。
此類檢測系統不依賴操作系統作為檢測資源,可應用于不同的操作系統平臺;配置簡單,不需要任何特殊的審計和登錄機制;可檢測協議攻擊、特定環境的攻擊等多種攻擊 。
但它只能監視經過本網段的活動,無法得到主機系統的實時狀態,精確度較差 。大部分入侵檢測工具都是基于網絡的入侵檢測系統 。
3、分布式

推薦閱讀