入侵检测系统的类型

中年猿人

已于 2024-01-16 12:03:44 修改

阅读量2.1k

点赞数 1

文章标签：网络智能路由器网络安全 web安全运维

于 2023-04-12 10:38:34 首次发布

本文链接：https://blog.csdn.net/2301_76161259/article/details/130101383

版权

IDS可以基于检测入侵的方法、检测入侵的反应/响应方法、体系结构或虚拟机来分类，如图3所示。

图1：IDS不同的分类方法

一、基于检测入侵的方法的分类结果

根据用于检测入侵的方法，入侵检测系统可以大致分为两类: 误用检测和异常检测。

1误用检测

误用检测使用已知攻击的即用模板，也称为签名。无状态误用检测系统仅使用现有签名，而有状态误用检测系统也使用以前的签名。该方法已被广泛使用，因为高精确度发现已知入侵低误报率，但批评无法检测新的攻击，解决这个问题的解决方案之一是定期更新数据库，但这是不可行的和昂贵的。

因此，异常检测技术应运而生。异常检测处理分析用户行为 (https://www.elprocus.com/ basic-intrusion-detection-system/)。在这种方法中，定义了单个用户的常规活动模型，并且该模型中的任何不一致性都称为异常。异常检测方法进一步分为两部分: 静态异常检测和动态异常检测。静态异常检测基于这样的原理，即像操作系统软件一样只对系统的固定部分进行检查，而动态异常检测则从网络使用历史中提取模式 (有时称为配置文件)。它设置边缘以将普通使用与资源的异常使用隔离开。此策略可以识别攻击，但可能会导致高误报率，并且需要高精度。另一个缺点是，如果攻击者知道被攻击者正在被配置文件，他可以逐渐更改配置文件以假装入侵者的恶意行为正常。

2异常检测

定期监视网络流量，并将其与已知行为进行比较 (图4)。在任何异常情况下，它会发出警报。基于异常的IDS可以检测新的和独特的攻击，必须将其视为该系统的优势。与误用检测相比，基于异常检测的IDS更好，因为不需要攻击的先验知识，并且该方法也可以检测看不见的攻击。

图2：异常检测运行机制

二、基于反应/响应方法的分类结果

反应模块的主要目标是追溯，即确定攻击者使用的路由器的顺序。检测模块以这种方式识别的入侵将触发随后的反应阶段事件。所有网络路由器都合作以尽可能接近攻击源，并在入侵检测模块中设置最适用的对策。这种分类规则下IDS可以分为被动或主动。被动IDS的详细流程在图5中描述。

图3：被动IDS的运行机制

被动IDS的一个限制是它仅向系统或网络管理员发出警报并识别恶意软件的操作。然后，要求管理员采取必要的行动。

三、基于不同体系结构的分类结果

计算机系统和网络处理各种易受攻击的用户数据，这些数据容易受到来自内部和外部入侵者的不同攻击。例如，雅虎的数据泄露造成了350万美元的损失，比特币的泄露造成了7000万美元的损失。由于复杂的算法以及设备，编程和系统配置的发展，包括物联网的最新改进，此类网络攻击正在不断发展。恶意攻击提出了真正的安全问题，导致需要创新，适应性强且更可靠的IDS。IDS应该能够主动检测到入侵。它还应该有效地检测和防止入侵、不同类型的攻击或网络级或主机级的入侵。入侵检测系统分为基于网络和基于主机的入侵检测系统。

IDS可以部署在主机上，网络上，或两者 (主机和网络)，即混合。但这可能是一个昂贵的选择，对于运行计算贪婪的应用程序的客户来说可能是不可接受的。基于网络的IDS提供了一种不同的方法。它们非常便携，独立于操作系统，仅监视特定网段上的流量。在目标操作系统类型的任何情况下，所有攻击都将由部署的基于网络的入侵检测传感器侦听。基于网络的解决方案无法跟上繁忙的流量; 但是，更容易实现。结合基于主机和基于网络的特征的系统看起来像是最合乎逻辑的方法，直观地称为混合方法。

1基于主机的IDS（HIDS）

基于主机的id可以跟踪与单个主机相关的属性和事件。已经为主机建立了HIDS，以确保对系统进行持续监控。这些系统通常使用与目标计算机的操作系统相关的信息。系统日志、文件访问和修改、传入和传出数据包、当前正在执行的进程以及HIDS监视任何其他配置更改。入侵可以通过基于主机的IDS中写入日志、发送电子邮件等来报告。数据库用于存储对象和属性。HIDS也被称为系统完整性验证器，因为它提供了有关攻击的详尽信息。HIDS的局限性之一是，如果主机由于攻击而关闭，则HIDS也会关闭。

此外，它需要安装在主机上; 甚至主机的资源也被利用。尽管如此，在检测唯一主机的恶意活动方面，HIDS超过了NIDS。HIDS的流行产品是eXpert-BSM(Basic Security Module)、Emerald、Dragon Squire、Intruder Alert、NFR (Network Flight Recorder)、Host Intrusion Detection、Snort.

2基于网络的IDS（NIDS）

通过连续分析流量并将其与库中已有的攻击进行比较，在NIDS中检查单个网络或子网的流量。如果检测到攻击，将发送警报。首先，为了监视网络流量，将其部署在网络的重要位置。它通常放置在网络和服务器之间或与网络边界一起。该系统的主要目的是可以以较低的成本快速部署，而无需为每个系统部署它，如图6所示，它从根本上专注于检测不同类型的入侵，如计算机篡改、恶意软件的存在和恶意活动。NIDS的主要限制问题是，如果攻击在防火墙范围内，攻击是无法检测到的。当每个网络实体与内置的NIDS接口交互时，它的工作原理就像主机的防病毒软件。它还可以解耦主机的操作系统，这被称为NIDS的主要好处。基于信号的检测和基于异常的NIDS是发现整个网络攻击者的两种现代方法。

图4：NIDS的运行机制

网络行为分析 (NBA) 系统研究系统流量，以识别具有突发流量流的攻击。它监视和检查网络流量，以预测导致异常流的威胁，例如DDOS攻击，病毒的存在以及违反策略的行为。NBA-IDS是协会内部系统上部署最频繁的IDS。有时，它们可以部署在可以筛选关联系统和外部系统之间的流的地方。

四、基于虚拟机的分类结果

Garfinkel和Rosenblum 提出了虚拟机内省的想法，因为虚拟机管理程序级别的入侵检测系统有助于将隔离纳入IDS，同时提供对主机状态的可见性。该过程有助于构建虚拟机自省IDS是虚拟机监视器 (VMM)。它是一个软件，虚拟化位于物理机器上的硬件。它还将物理机划分为逻辑虚拟机。图7显示了基于虚拟机自省的IDS (VMI-IDS) 体系结构。基于虚拟机内省的IDS (VMI-IDS) 关注虚拟机上运行的进程来检测任何异常行为。