入侵检测技术

最新推荐文章于 2024-05-11 07:35:00 发布
最新推荐文章于 2024-05-11 07:35:00 发布
阅读量3.1k 收藏 5
点赞数 1
文章标签: 网络 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NaohDuan_chen/article/details/123012508
版权

入侵检测技术学习笔记

基本内容

​ 入侵检测系统(Intrusion Detection System,IDS)通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。IDS通过分析网络行为、安全日志、审计数据和其他信息对应执行监视系统活动、审计系统漏洞、识别攻击行为和报警攻击。

​ 一般来讲,攻击分为来自外部网络的攻击,来自内部网络的攻击以及内部人员误操作导致的虚假攻击,IDS会从这三个方面进行分析。可以将其理解为一位有丰富经验的网络侦查员,任务就是分析出可疑信息并做出相应处理。

​ 入侵检测技术主要体现在以下几个方面:

​ 1.监控、分析用户和系统的活动;

​ 2.评估关键系统和数据文件的完整性;

​ 3.识别攻击的活动模式;

​ 4.对异常活动进行统计分析;

​ 5.对操作系统进行审计跟踪管理,识别违法政策的用户动作。

IDS模型

​ IDS模型的发展随着三个阶段分别产生了三套模型,这三个阶段分别是集中式、层次式和集成式:在集中式阶段研究出了通用入侵检测模型,在层次式阶段研究出了层次入侵检测模型,在集成式阶段研究出了管理入侵检测模型。

1.通用入侵检测模型(Denning入侵检测模型)

denning入侵检测模型

​ 该模型由六个部分构成,即活动主体、对象、审计记录、异常记录、活动剖面和规则集处理引擎。目前的一些IDS也是以该模型为基础,是它的扩展和延申。Denning入侵检测模型是一个基于主机的入侵检测模型。他认为非法用户的操作与合法用户的操作有很多不同点,但异常行为并不一定是入侵的结果,为此需要建立活动规则集并让其进行学习以分辨异常行为。

​ 该模型包括例如没有包含已知系统漏洞或攻击方法的知识,实时性不好以及误报率高等问题。

2.层次式入侵检测模型

​ 层次化模型将IDS分为六个部分,由低到高分别是数据层、事件层、主体层、上下文层、威胁曾和安全状态层。该模型给出了推断网络主机受到攻击时数据的抽象过程,它对收集到的数据进行加工抽象和关联操作,简化了对跨域单机的入侵行为识别。

3.管理式入侵检测模型(SNMP-IDSM)

​ 它从网络管理的角度出发解决了多个IDS协同工作的问题。SNMP-IDSM以SNMP协议为公共语言来实现IDS之间的消息交换和协同检测。下图为其工作原理

SNMP-IDSM工作原理

入侵检测技术分类

​ 常见分类方法包括根据各个模块运行分布分类、根据数据的来源或检测对象分类、根据所采用的技术进行分类等。

根据各模块运行分布方式的分类

1.集中式IDS

​ 各模块包括信息的收集和数据的分析,以及响应单元都在一台主机上进行,这种方式适用于网络环境比较简单的情况。

2.分布式IDS

​ 各模块分布在网络中不同的计算机和设备上,分布性主要体现在数据收集模块上,如果网络环境比较复杂或者数据流量量比较大,那么数据分析模块也会按照层次性的原则组织分布出去。

根据检测对象分类

1.基于主机的IDS(Host-based IDS/HIDS)

​ 这种IDS获取数据来源是主机。主要从系统日志、应用程序日志等渠道来获取数据

2.基于网络的IDS(Network-based IDS/NIDS)

​ 系统获取数据的来源是网络数据包。主要用来监测整个网络中所传输的数据包并进行检测与分析,再加以识别,若发现有可疑的数据包会立即报警来保护网络中正在运行的其他主机。

3.分布式IDS(Distribution-based IDS/DIDS)

​ 由于网络传输速度加快,网络数据流量日益增大,集中处理原始数据的方式逐渐不再适应环境,其精确性、实时性和有效性大打折扣。DIDS的出现很好的解决这个问题,它包含HIDS和NIDS两种IDS的特性并结合了分布式的优点。

根据采用技术分类

1.异常入侵检测系统

​ 将系统正常行为的信息作为标准,将监控中的活动与正常行为相比较,并将所有与正常行为不相同的行为视为异常,而一次异常视为一次入侵。可以人为建立行为库,所以理论上可以把与正常事件不同的动作都视为可疑事件。它的局限性在于系统的事件难以描述和量化,不能完全找出异常行为,因此并非所有的入侵都表现为异常。

2.误用入侵检测系统

​ 与异常IDS相对,收集非正常操作的行为,建立相关的攻击特征库。所有入侵行为都能够用一种特征来表示,那么所有已知的入侵方法都可以用模式匹配的方法来发现,显然它不能捕捉到新的入侵技术。关键是如何制定检测规则,把入侵行为与正常行为区分开。优点是误报率较低,缺点是漏报率较高。

入侵检测系统工作流程

1.信息收集

​ 收集对象包括系统、网络、应用、数据以及用户活动的状态和行为。这一步很重要,IDS很大程度上依赖收集信息的正确性和可靠性。

2.信息分析

​ 指对收集到的信息进行分析,一般通过协议和规则分析模式匹配、逻辑分析和完整性分析几种手段来分析。

3.信息存储

​ 当IDS捕获到攻击行为时,为便于管理员对攻击信息进行查看和对攻击行为进行分析,会将信息存储在指定的安全日志或特定的数据库内。

4.攻击响应

​ 对攻击进行分析并确定其类型后,IDS会根据用户的设置,对攻击行为进行相应处理。或者利用自动装置直接进行处理,如切断连接、过滤攻击者的IP地址等。
定的数据库内。

4.攻击响应

​ 对攻击进行分析并确定其类型后,IDS会根据用户的设置,对攻击行为进行相应处理。或者利用自动装置直接进行处理,如切断连接、过滤攻击者的IP地址等。

段忱
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
入侵检测基础知识
yyj173637的博客
04-11 878
是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;
浅析入侵检测系统及最新研究
网络安全
04-05 864
浅析入侵检测系统及最新研究
2024年最全网络安全 入侵检测技术,2024年最新爱了爱了
最新发布
2401_84558619的博客
05-11 683
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
入侵检测简单介绍
m0_48944871的博客
05-05 1831
新手上路,多多關照~
入侵检测系统
weixin_68789096的博客
04-12 2497
入侵检测入侵检测(Intrusion Detection )是对入侵行为的检测。它通过收集和分析计算机网络计算机系统中若于关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵入侵检测技术虽然也能够对网络攻击进行识另拼作出反应,但其侧重点还是在于发现,而不能代替防火墙系统执行整个网络的访问控制策略。
入侵检测
qq_39249347的博客
02-09 3566
入侵入侵者分为三类: 假冒者:指未经授权就使用计算机和穿透系统的访问控制机制而冒用合法账户的人。 违法者:指访问未经授权的程序,数据或资源的合法用户。 秘密用户:获得了系统的超级控制权,并利用超级控制权逃脱系统的审计或访问控制。 入侵者的目的是获得系统的访问控制权或者扩大系统的特权范围;攻击是利用系统或软件的漏洞,允许用户执行打开系统后门的代码。 入侵检测 相关定义 安全入...
网络安全入侵检测技术
02-25
入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成...
入侵检测技术论文
06-24
入侵检测技术网络安全领域的重要组成部分,它通过监测网络或系统中的异常行为,识别并防止潜在的攻击和恶意活动。以下是对这些论文主题的详细解析: 1. **试析入侵检测技术网络安全中的应用** 这篇论文可能...
入侵检测技术PPT
04-23
入侵检测技术PPT:入侵的定义:任何试图危害资源的完整性、可信度和可获取性的动作。Salvatore[5]从访问方式上把入侵分为四种:DOS(denial of service)拒绝服务攻击,如ping of death,teardrop等;R2L(unauthorized ...
安全防御 --- 入侵检测 --- IDS、IPS
weixin_62443409的博客
04-03 4657
(相当于一个摄像头。用户可以将自己身份伪装成合法的,或者通过后门进入,绕过或者攻破防火墙,此时防火墙相当于虚设)
入侵检测概述
LISTONE的个人博客
05-29 2154
入侵检测概述 网络安全基本概念 计算机网络的功能作用是: 提供计算机的连通性服务 资源共享 计算机网络系统的安全威胁主要来自于3个方面: 黑客(Hacker)的攻击 计算机病毒(Virus) 拒绝服务攻击(Denies Of Service, DOS) 网络安全的实质 保障系统中的人、设备、设施、软件、数据以及各种供给品等要素免遭各种偶然的或人为的破坏或攻击,使它们发挥正常,保障系统能安全可靠地工作 。 为了提高网络系统的安全性,需要从多个层次和环节入手,分别分析应用系统、宿主
信息安全-入侵检测技术原理与应用
我的个人博客
09-01 8034
入侵检测技术原理与应用、入侵检测概述、入侵检测技术入侵检测系统组成与分类、入侵检测系统主要产品与技术指标、入侵检测系统应用
浅谈入侵检测系统2
李小涛的博客
02-24 1862
入侵检测系统 的主要功能包括:监视、分析用户及系统的活动;系统构造和弱点的审计;识别反应已知进攻的活动模式并向相关人士报警;对异常行为模式进行统计分析爱;对重要系统和数据文件的完整性进行评估;对操作系统进行审计跟踪管理;识别用户违反安全策略的行为。 一、基本模型 包括通用入侵检测模型(Denning模型)层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM) 通用入侵检测模型(De...
入侵检测技术综述(比较全)
yyj173637的博客
04-12 1164
在对入侵检测系统进行了一段时间的研究之后,将笔者对于入侵检测系统的认识整理归纳如下。入侵检测系统的概念是指未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。入侵检测系统分为异常入侵检测系统和误用入侵检测系统。异常入侵检测系统是指记录某种状态下的系统运行行为,将其定义为正常行为。对系统运行进行实时监测,一旦发现与正常行为在超过某个阈值的不匹配的特征,便进行报警。误用入侵检测系统是指定义恶意行为。对系统进行实时监测,一旦发现与定义的恶意行为匹配的行为,便进行报警。
IDS入门
iamempty的专栏
04-07 1380
       IETF将一个入侵检测系统分为四个组件:事件产生器(Event generators);事件分析器(Event analyzers);响应单元(Response units );事件数据库(Event databases )。        事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果作

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值