10.6 入侵检测
本节内容是考试要点,用户要对入侵检测系统的分类、入侵防护系统、入侵检测系统的部署重点掌握,其他内容作一般性了解即可。
10.6.1 入侵检测技术的基本概念
1.入侵检测技术
入侵检测技术即是对入侵行为进行检测的技术。
入侵检测技术通过收集和分析计算机网络或计算机系统中一些关键的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
进行入侵检测的软件与硬件的组合即组成了入侵检测系统。
2.入侵检测技术的分类
入侵检测技术可以分为异常检测和误用检测两种。
1)异常检测
异常检测通常用于检测系统内容错误,当系统内容错误时将发出执行异常事件。
具体使用方法时,在"检测执行内容"事件中,设置所要执行的命令,然后执行其方法"检测执行"。
如果发现命令错误,就发出执行异常事件。
异常检测的关键是选一个区分异常事件与入侵活动的阈值,从而减少漏报和误报的问题。
异常检测的优点是:它的检测完整性高、能发现企图发掘和试探系统未知漏洞的行为;较少依赖于特定的操作系统;对合法的用户违反权限的行为具有很强的检测能力。
它的缺点是:如果是在用户数量多且运行状态复杂的环境中,它的误警率较高;由于系统活动的不断变化,用户要不断地在线学习。
2)误用检测
误用检测使用某种模式或特征描述方法对任何已知的攻击进行表达。
误用检测需要确定其所定义的攻击特征模式是否可以覆盖与实际攻击有关的所有要素。
当入侵者入侵时,即通过它的某些行为过程建立一种入侵模型,如果该行为与入侵方案的模型一致,即判定为入侵行为。
误用检测的优点是:检测的准确性高;由于可以精确描述入侵行为,因此虚警率低。
它的缺点是:检测的完整性要取决于数据库的及时更新程度;收集已经攻击行为和系统脆弱性信息困难;可移植性差并且难以检测。
之前几个月由于CHIA挖矿导致全球固态硬盘的价格疯涨,如今硬盘挖矿基本上已死,硬盘的价格基本上恢复到常规价位,所以,pacificrack决定对全系Cloud server进行价格调整,降幅较大,“如果您是老用户,请通过续费管理或升级套餐,获取同步到最新的定价”。官方网站:https://pacificrack.com支持PayPal、支付宝等方式付款VPS特征:基于KVM虚拟,纯SSD raid...
Mineserver(ASN142586|UK CompanyNumber 1351696),已经成立一年半。主营香港日本机房的VPS、物理服务器业务。Telegram群组: @mineserver1 | Discord群组: https://discord.gg/MTB8ww9GEA7折循环优惠:JP30(JPCN2宣布产品可以使用)8折循环优惠:CMI20(仅1024M以上套餐可以使用)9折循...
华纳云(HNCloud Limited)是一家专业的全球数据中心基础服务提供商,总部在香港,隶属于香港联合通讯国际有限公司,拥有香港政府颁发的商业登记证明,保证用户的安全性和合规性。 华纳云是APNIC 和 ARIN 会员单位。主要提供数据中心基础服务、互联网业务解决方案, 以及香港服务器租用、香港服务器托管、香港云服务器、美国云服务器,云计算、云安全技术研发等产品和服务。其中云服务器基于成熟的 ...