10.6 入侵检测
本节内容是考试要点,用户要对入侵检测系统的分类、入侵防护系统、入侵检测系统的部署重点掌握,其他内容作一般性了解即可。
10.6.1 入侵检测技术的基本概念
1.入侵检测技术
入侵检测技术即是对入侵行为进行检测的技术。
入侵检测技术通过收集和分析计算机网络或计算机系统中一些关键的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
进行入侵检测的软件与硬件的组合即组成了入侵检测系统。
2.入侵检测技术的分类
入侵检测技术可以分为异常检测和误用检测两种。
1)异常检测
异常检测通常用于检测系统内容错误,当系统内容错误时将发出执行异常事件。
具体使用方法时,在"检测执行内容"事件中,设置所要执行的命令,然后执行其方法"检测执行"。
如果发现命令错误,就发出执行异常事件。
异常检测的关键是选一个区分异常事件与入侵活动的阈值,从而减少漏报和误报的问题。
异常检测的优点是:它的检测完整性高、能发现企图发掘和试探系统未知漏洞的行为;较少依赖于特定的操作系统;对合法的用户违反权限的行为具有很强的检测能力。
它的缺点是:如果是在用户数量多且运行状态复杂的环境中,它的误警率较高;由于系统活动的不断变化,用户要不断地在线学习。
2)误用检测
误用检测使用某种模式或特征描述方法对任何已知的攻击进行表达。
误用检测需要确定其所定义的攻击特征模式是否可以覆盖与实际攻击有关的所有要素。
当入侵者入侵时,即通过它的某些行为过程建立一种入侵模型,如果该行为与入侵方案的模型一致,即判定为入侵行为。
误用检测的优点是:检测的准确性高;由于可以精确描述入侵行为,因此虚警率低。
它的缺点是:检测的完整性要取决于数据库的及时更新程度;收集已经攻击行为和系统脆弱性信息困难;可移植性差并且难以检测。
Sharktech又称SK或者鲨鱼机房,是一家主打高防产品的国外商家,成立于2003年,提供的产品包括独立服务器租用、VPS云服务器等,自营机房在美国洛杉矶、丹佛、芝加哥和荷兰阿姆斯特丹等。之前我们经常分享商家提供的独立服务器产品,近期主机商针对云虚拟服务器(CVS)提供优惠码,优惠后XS套餐年付最低仅33.39美元起,支持使用支付宝、PayPal、信用卡等付款方式。下面以XS套餐为例,分享产品配...
阿里云国际版注册认证教程-免绑卡-免实名买服务器安全、便宜、可靠、良心,支持人民币充值,提供代理折扣简介SunthyCloud成立于2015年,是阿里云国际版正规战略级渠道商,也是阿里云国际版最大的分销商,专业为全球企业客户提供阿里云国际版开户注册、认证、充值等服务,通过SunthyCloud开通阿里云国际版只需要一个邮箱,不需要PayPal信用卡就可以帮你开通、充值、新购、续费阿里云国际版,服务...
RAKsmart 商家这几年还是在做事情的,虽然他们家顺带做的VPS主机并不是主营业务,毕竟当下的基础云服务器竞争过于激烈,他们家主营业务的独立服务器。包括在去年开始有新增多个数据中心独立服务器,包括有10G带宽的不限流量的独立服务器。当然,如果有需要便宜VPS主机的他们家也是有的,比如有最低月付1.99美元的美国VPS主机,而且可选安装Windows系统。这里商家有提供下面六款六月份的活动便宜V...