入侵检测系统IDS工作原理笔记

最新推荐文章于 2024-06-17 17:38:07 发布
最新推荐文章于 2024-06-17 17:38:07 发布
阅读量1.6w 收藏 46
点赞数 3
分类专栏: 网络及网络安全

入侵检测(Intrusion Detection):通过从计算机网络或计算机系统关键点收集信息并进行分析,从中发现网络或系统中是否违反安全策略的性能更为和被攻击的迹象。

    入侵检测系统(IDS):入侵检测是软件和硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。

    入侵检测的内容:试图闯入,成功闯入,冒充其他用户,违反安全策略,合法用户的泄漏,独占资源以及恶意使用。

 

入侵检测系统的作用

实用检测

    实时地监视,分析网络中所有的数据报文

    发现并实时处理所捕获的数据报文

安全审计

    对系统记录的网络事件进行统计分析

    发现异常现象

    得出系统的安全状态,找出所需证据

主动响应

    主动切断连接或与防火墙联动,调用其他程序处理

 

 

入侵检测的分类

根据所采用的技术分为:

1) 异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。

2) 特征检测:特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。

 

根据所检测的对象分为:

1)  基于主机的入侵检测系统 HIDS

2)  基于网络的入侵检测系统 NIDS

 

根据系统的工作方式分为:

1)  离线检测系统

2)  在线检测系统 ----> IPS

 

信息收集

第一步是信息收集,包括系统,网络,数据及用户活动的状态和行为。需要在系统中的不同关键点(网段和主机)收集信息,这样做的理由就是从一个来源的信息有可能看不出疑点,但从几个原来的信息的不一致性却是可疑行为或入侵的做好标识。

 

1. 系统和网络日志文件

2. 目录和文件中的不期望的改变

3. 程序执行中的不期望行为

4. 物理形式的入侵信息

 

信息分析

对收集到的上述信息,通过三种手段进行分析:

模式匹配:用于实时的入侵检测

统计分析:用于实时的入侵检测

完整性分析:用于时候分析

 

基于规则入侵检测

对新的入侵方法无能为力

难点在于如何设计模式技能够表达入侵现象又不会将正常的活动包含进来

准确率较高

 

基于异常情况检测

Anomaly Detection

假设入侵者活动异常于正常主体的活动

制定主体正常活动的“活动阀值”

检测到活动与“活动阈值”相比较

     — 是否违反统计规律

难题在于如何建立“活动阀值”以及如何设计统计算法

 

入侵检测中的统计模型

操作模型

方差

多元模型

马尔可夫过程模型

时间序列分析

 

IDS存在问题

NIDS具有网络局限性

NIDS检测方法都有一定的局限性

NIDS不能处理加密后的数据

NIDS存在着资源和处理恩那个的局限性

NIDS受内存和硬盘的限制

解决方案:HIDSNIDS 相结合;重要的的服务器上装HIDS,剩余的部分装NIDS

chenyulancn
关注
  • 3
    点赞
  • 46
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
IDS入侵检测系统
lin152235的博客
09-10 4117
IDS入侵检测系统):长时间的监测识别入侵者识别入侵行为检测和监视已成功的入侵为对抗入侵提供信息与依据,防止事态扩大作用:对系统的运行状态进行监视,发现各种企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统。异常:当某个时间与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。特征:IDS核心是特征库(签名)
入侵检测系统IDS
dyslhl的博客
09-12 1403
入侵检测:IDS和签名的简单描述
IDS原理、检测方法以及部署方式
m0_59082856的博客
04-21 3882
对系统的运行状态进行监视,发现各种攻击企图、过程、结果,来保证系统资源的安全(完整性、机密性、可用性)。是一个软件与硬件的组合系统IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
网络安全之入侵检测系统
VN520的博客
04-13 7373
入侵:指一系列试图破坏信息资源机密性完整性和可用性的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。入侵检测:是通过从计算机网络系统中的若干关键节点收集信息,并分析这些信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,是对指向计算和网络资源的恶意行为的识别和响应过程。入侵检测系统IDS):入侵检测系统通过监视受保护系统的状态和活动,采用异常检测或滥用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,是一个完备的网络安全体系的重要组成部分。
《跟我一起学“网络安全”》——安全设备
Cool_foolisher的博客
06-17 890
本篇文章是《跟我一起学“网络安全”》的第七章,主要为大家介绍了企业里常用的安全设备,包括:IPS、IDS、WAF、隔离装置、蜜罐等。
入侵检测系统IDS)简介
weixin_44211968的博客
05-26 6245
文章目录一、入侵检测系统IDS)简介参考链接 一、入侵检测系统IDS)简介 入侵检测系统(intrusion detection system,简称“IDS”)是一种对 网络传输 进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。 我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有 实时监视系统 才能发现情况并发出警告。 参考
IDS入侵检测系统)简介
a1706620451的博客
09-13 9661
IDS
什么是入侵检测系统IDS)?底层原理是什么?
长风破浪会有时的博客
04-29 915
告警和响应:如果 IDS 检测到攻击行为,它会触发告警并采取相应的响应措施,如发送邮件、短信或执行阻止操作等。其底层原理是采集和分析网络流量和系统信息,检测可能的攻击特征,并触发告警和响应措施来保护网络和系统安全。入侵检测系统(Intrusion Detection System,简称 IDS)是一种安全机制,用于监视计算机网络或系统中的活动,以便发现可能的攻击行为。检测可以使用多种技术,如基于规则的检测、基于统计学的检测、基于机器学习的检测等。特征提取:IDS 分析采集到的数据,提取可能的攻击特征。
计算机组成原理model-for-network-ids-m开发笔记
06-05
标题"计算机组成原理model-for-network-ids-m开发笔记"表明我们讨论的是如何应用计算机组成原理的知识来设计或优化一个用于网络入侵检测的模型,可能是基于深度学习的方法。网络入侵检测系统通过监控网络流量,识别...
端午节n-model-for-network-ids-笔记
06-01
1. 网络入侵检测系统(NIDS)的重要性及其工作原理。 2. 深度学习模型在网络安全领域的应用,特别是CNN和LSTM。 3. CNN用于一维数据处理,提取流量数据的特征。 4. LSTM和双向LSTM在网络流量序列分析中的优势。 5. ...
支持向量机tention-model-for-network-ids开发笔记
最新发布
06-20
支持向量机(Support Vector Machine, SVM)是一种广泛应用于分类和回归分析的机器学习模型,尤其在网络安全领域,如网络入侵检测系统(Network Intrusion Detection System, NIDS)中表现突出。本文将深入探讨如何...
信息安全工程师学习笔记.rar
03-06
3. **网络与通信安全**:这部分内容会讲解TCP/IP协议栈的安全问题,如DDoS攻击、ARP欺骗、中间人攻击等,以及相应的防护措施,如防火墙、入侵检测系统IDS)和入侵防御系统(IPS)。 4. **操作系统安全**:笔记会...
信号与系统n-model-for-netw开发笔记
06-15
这里我们将深入探讨这两个模型的基本原理、实现细节,并结合注意力机制(Attention Mechanism)讨论它们如何构建一个高效的网络入侵检测系统IDS)。 首先,让我们从卷积神经网络(CNN)开始。CNN是图像处理领域的...
IDS与IPS工作原理
HurryPotter
07-24 9676
1)IDS和IPS定义: IDS(Intrusion Detection System):入侵检测系统,是被动的;通过监视网络或系统资源,寻找违反安全策略的行为或攻击。 IPS(Intrusion PreventionSystem):入侵防御系统,是主动的;通过直接嵌入到网络流量中,利用一个网络端口接收外部流量,经过检查确认其中不包含异常活动或可疑内容,再通过另一个端口转发给内部系统(实际是对恶意流量进行清洗)。 2)IDS基本原理: 1、IDS分为实时入侵检测和事后入侵检测: #1 实时..
[网络工程师]-防火墙-入侵检测系统IDS
m0_58983558的博客
10-23 2421
讲述了防火墙的IDS功能原理和模块结构,并介绍了IDS的分类和主要检测方法。
网络安全----IDS
m0_67756456的博客
08-07 587
(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,IDS是一种积极主动的安全防护技术。
入侵检测系统原理和实现
热门推荐
网络安全研究
04-08 2万+
1. 入侵检测系统简介 1.1 入侵检测分类 按信息源分类 根据信息源的不同,入侵检测技术分为基于主机型和基于网络型两大类。 1)基于主机的入侵检测技术 基于主机的入侵检测技术可监测系统、事件和WindowsNT下的安全记录,以及Unix环境下的系统记录。当有文件被修改时,入侵检测系统将采用新的记录条目与已知的攻击特征进行比对的技术,如果匹配,就会向系统管理员报警或者作出适当的响应。 2)基于网络...
信息安全工程师笔记-入侵检测技术原理与应用
IT1995的博客
09-14 2398
入侵检测:通过收集操作系统、系统程序、应用程序、网络包信息,发现系统中违背安全策略或危及系统安全的行为。 具有入侵检测功能的系统称为入侵检测系统,简称为IDS。 通用入侵检测模型 通用入侵检测框架模型(CIDF)认为入侵检测系统由事件产生器、事件分析器、响应单元、事件数据库组成。 基于误用的入侵检测技术 检测与已知的不可接受行为之间的匹配程度。 这种检测模型误报率率、漏报率高。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。 .
安全防御——IDS入侵检测系统
金色%夕阳的博客
09-12 7555
IDS(intrusion detection system)入侵检测系统是一种对网络传输进行实时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。专业上讲IDS就是依照一定的安全策略,对网络、系统的运行状况进行实时监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵检测系统工作原理
06-07
入侵检测系统(Intrusion Detection System,IDS)是一种安全管理系统,其工作原理是通过监视网络流量和系统活动,来检测并报告任何潜在的攻击行为或安全事件。一般分为两种类型:基于网络流量的IDS和基于主机的IDS。 基于网络流量的IDS监视网络流量,对流量数据进行分析和处理,从中检测出潜在的攻击行为,如端口扫描、恶意软件传播等。基于主机的IDS则监视主机的系统活动,对系统日志、文件系统、进程等进行分析,从中检测出潜在的攻击行为,如未经授权的文件访问、恶意进程等。 IDS使用的技术包括特征识别、行为分析、异常检测等。其中特征识别是指通过匹配已知攻击行为的特征来检测攻击行为,行为分析是指通过分析攻击者的行为模式来检测攻击行为,异常检测是指通过检测系统或网络的异常活动来检测攻击行为。 当IDS检测到可疑的活动时,会生成警报并将其发送给安全管理员,以便进一步的调查和应对。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值