入侵检测（IDS）技术

入侵检测（IDS）技术

入侵检测：对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。
入侵检测系统：完成入侵检测功能的软件、硬件及其组合，是一种能够通过分析系统安全相关数据来检测入侵活动的系统。

组成：数据包捕获模块、预处理模块、检测模块、输出模块
作用：

监测并分析用户和系统的活动；
核查系统配置和漏洞；
评估系统关键资源和数据文件完整性；
识别已知的攻击行为；
统计分析异常行为；
针对已发现的攻击行为作出适当反应。
局限：

不能弥补网络协议的漏洞；
不能弥补系统提供信息的质量或完整性问题；
不能总是对数据包级的攻击进行处理；
存在误报率、漏报率问题
IDS实现过程：信息收集→信息分析→结果处理
信息收集来源：
主机（系统日志文件丶系统目录和文件的异常变化丶程序执行中的异常行为）；
网络（网络流量、网络数据包）
信息分析：模式匹配丶统计分析丶完整性分析
结果处理：
主动响应（对入侵采取反击丶修正系统环境丶设置网络陷阱）
被动响应（告警和通知丶与网络管理联动丶存档和报告）

按信息收集分类
基于主机的入侵检测系统
检测内容：系统日志、应用日志、系统调用、端口调用
优点：

不需要额外的硬件；
可监视特定的系统行为；
能确定入侵攻击是否成功；
适合加密和交换环境。
缺点：

受操作系统限制；
隐蔽性差；
占用主机资源；
应用范围受到限制；
基于网络的入侵检测系统
检测内容：网络流量、网络数据包、协议
优点：

实施成本低；隐蔽性好；
不影响被保护主机的性能、易维护；
攻击者转移证据很困难；
与操作系统无关。
缺点：

不能探测不同网段数据包；
难以处理加密的会话。
混合型入侵检测系统：以上两种类型的结合。
优点：

综合了基于网络和基于主机两种结构特点的混合型入侵检测系统；
可发现网络中的攻击信息可以从系统日志中发现异常情况
缺点：代价较高

按信息分析分类
异常检测：假设入侵行为与正常行为之间存在差异，首先刻画正常行为的轮廓，将当前活动情况与刻画的正常行为轮廓比较，与正常行为轮廓不匹配的行为判定为异常行为。
过程：监控→量化→比较→判定
特点：

比较效率取决于用户轮廓的完备性和监控的频率；
有效检测未知的入侵；
漏报率低，误报率高。
误用检测：通过分析各种类型的攻击手段，找出所有的“攻击特征”集合，并利用这些特征集合（或者是对应的规则集合）对当前的数据来源进行各种处理后再进行特征匹配（或规则匹配）的工作方式。
过程：监控→特征提取→匹配→判定
特点：

适应性较差；
无法检测未知入侵；
误报低、漏报高
串匹配算法：在文本中搜索指定子串的所有出现位置的算法。在误用检测与异常检测中都会用到。

朴素模式匹配算法(Brute-Force算法)
通过二重循环来求解单模式串匹配问题，内层循环检验在当前的和模式串长度相同的窗口内的文本是否与模式串相等；外层循环移动窗口，每次向右移动一个字符，遍历数据串。

朴素模式匹配算法的时间复杂度:
主串长n； 子串长m
可能匹配成功的位置（1 ~ n-m+1)
①最好情况下算法的平均时间复杂度O(n)
②最坏情况下的平均时间复杂度为O(n*m)

蜜罐是一个包含漏洞的诱骗系统；不向外界提供真正有价值服务。
蜜罐技术优势：高保真－高质量的小数据集（很小的误报率；很小的漏报率）；捕获新的攻击及战术；并不是资源密集型；简单
蜜罐技术弱势：劳力/技术密集型；局限的视图；不能直接防护信息系统；带来的安全风险
 

网络安全学习资源分享:

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享🎁

同时每个成长路线对应的板块都有配套的视频提供：

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享🎁

因篇幅有限，仅展示部分资料，需要点击上方链接即可获取