入侵检测技术什么是入侵检测技术,入侵检测系统模型包含哪三个功能部件

入侵检测技术  时间:2021-06-26  阅读:()

入侵检测技术的原理是?

CIDF阐述了一个入侵检测系统(IDS)的通用模型。

它将一个入侵检测系统分为以下组件:事件产生器(Eventgenerators),用E盒表示;事件分析器(Eventanalyzers),用A盒表示;响应单元(Responseunits),用R盒表示;事件数据库(Eventdatabases),用D盒表示。

CIDF模型的结构如下:E盒通过传感器收集事件数据,并将信息传送给A盒,A盒检测误用模式;D盒存储来自A、E盒的数据,并为额外的分析提供信息;R盒从A、E盒中提取数据,D盒启动适当的响应。

A、E、D及R盒之间的通信都基于GIDO(generalizedIntrusiondetectionobjects,通用入侵检测对象)和monintrusionspecificationlanguage,通用入侵规范语言)。

如果想在不同种类的A、E、D及R盒之间实现互操作,需要对GIDO实现标准化并使用CISL。

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。

入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

入侵检测技术的分类

(1)异常检测模型(AnomalyDetection):检测与可接受行为之间的偏差。

如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。

首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。

这种检测模型漏报率低,误报率高。

因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。

(2)误用检测模型(MisuseDetection):检测与已知的不可接受行为之间的匹配程度。

如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。

收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。

这种检测模型误报率低、漏报率高。

对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。

基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。

主机型入侵检测系统保护的一般是所在的主机系统。

是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。

基于网络:系统分析的数据是网络上的数据包。

网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。

混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。

入侵检测技术的方法

方法有很多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。

目前一些入侵检测系统在应用层入侵检测中已有实现。

入侵检测通过执行以下任务来实现: 1.监视、分析用户及系统活动; 2.系统构造和弱点的审计; 3.识别反映已知进攻的活动模式并向相关人士报警; 4.异常行为模式的统计分析; 5.评估重要系统和数据文件的完整性; 6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

入侵检测技术的发展方向是什么?

无论从规模与方法上入侵技术近年来都发生了变化。

入侵的手段与技术也有了“进步与发展”。

入侵技术的发展与演化主要反映在下列几个方面:入侵或攻击的综合化与复杂化。

入侵的手段有多种,入侵者往往采取一种攻击手段。

由于网络防范技术的多重化,攻击的难度增加,使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。

入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。

通过一定的技术,可掩盖攻击主体的源地址及主机位置。

即使用了隐蔽技术后,对于被攻击对象攻击的主体是无法直接确定的。

入侵或攻击的规模扩大。

对于网络的入侵与攻击,在其初期往往是针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,也不排除商业的盗窃与破坏行为。

由于战争对电子技术与网络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息战。

对于信息战,无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。

信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

入侵或攻击技术的分布化。

以往常用的入侵与攻击行为往往由单机执行。

由于防范技术的发展使得此类行为不能奏效。

所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。

且此类分布式攻击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。

分布式攻击是近期最常用的攻击手段。

攻击对象的转移。

入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。

现已有专门针对IDS作攻击的报道。

攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加以攻击。

今后的入侵检测技术大致可朝下述三个方向发展。


分布式入侵检测:
第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。


智能化入侵检测:
即使用智能化的方法与手段来进行入侵检测。

所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。

利用专家系统的思想来构建入侵检测系统也是常用的方法之一。

特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。

应用智能体的概念来进行入侵检测的尝试也已有报道。

较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。


全面的安全防御方案:
即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。

从管理、网络结构、加密通道、防火墙、
病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。

简述入侵检测系统的基本原理.

入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。

包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术

什么是入侵检测技术,入侵检测系统模型包含哪三个功能部件

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。

入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

三部分:信息收集、信息分析和结果处理。

(1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。

由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。

(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。

当检测到某种误用模式时,产生一个告警并发送给控制台。

(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。

georgedatacenter:美国VPS可选洛杉矶/芝加哥/纽约/达拉斯机房,$20/年;洛杉矶独立服务器39美元/月

georgedatacenter怎么样?georgedatacenter这次其实是两个促销,一是促销一款特价洛杉矶E3-1220 V5独服,性价比其实最高;另外还促销三款特价vps,大家可以根据自己的需要入手。georgedatacenter是一家成立于2019年的美国vps商家,主营美国洛杉矶、芝加哥、达拉斯、新泽西、西雅图机房的VPS、邮件服务器和托管独立服务器业务。georgedatacen...

老薛主机入门建站月付34/月,年付345元,半价香港VPS主机

老薛主机怎么样?老薛主机这个商家有存在有一些年头。如果没有记错的话,早年老薛主机是做虚拟主机业务的,还算不错在异常激烈的市场中生存到现在,应该算是在众多商家中早期积累到一定的用户群的,主打小众个人网站业务所以能持续到现在。这不,站长看到商家有在进行夏季促销,比如我们很多网友可能有需要的香港vps主机季度及以上可以半价优惠,如果有在选择不同主机商的香港机房的可以看看老薛主机商家的香港vps。点击进入...

JustHost俄罗斯VPS有HDD、SSD、NVMe SSD,不限流量低至约9.6元/月

justhost怎么样?justhost服务器好不好?JustHost是一家成立于2006年的俄罗斯服务器提供商,支持支付宝付款,服务器价格便宜,200Mbps大带宽不限流量,支持免费更换5次IP,支持控制面板自由切换机房,目前JustHost有俄罗斯6个机房可以自由切换选择,最重要的还是价格真的特别便宜,最低只需要87卢布/月,约8.5元/月起!总体来说,性价比很高,性价比不错,有需要的朋友可以...

入侵检测技术为你推荐
机房360柴油发电机组启动电瓶充电小常识4k超高清视频下载4k电视有什么视频软件可以看4k片源比如乐视…网络视频下载器万能网络视频下载器 1.34怎么用网络视频下载器谁能给我找个网络视频下载器和转换器?ico监管为何央行叫停代币发行?漏洞查询如何查找漏洞 从那做起代发邮件邮件代发会不会有短信代发那么好的市场效益呢?代发邮件什么是商务邮件代发?sdfsdfsdfsdf小米手机投诉热线在线直播系统网络视频直播系统的简介
ftp空间 westhost 樊云 特价空间 xen 服务器托管什么意思 太原网通测速平台 中国网通测速 最漂亮的qq空间 空间购买 web服务器是什么 ebay注册 免费asp空间申请 supercache 如何登陆阿里云邮箱 免备案cdn加速 netvigator 广州主机托管 汤博乐 phpinfo 更多