网络安全学习笔记-入侵检测系统IDS

最新推荐文章于 2024-04-03 17:56:02 发布
最新推荐文章于 2024-04-03 17:56:02 发布
阅读量4.8k 收藏 11
点赞数 1
分类专栏: 网络安全 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chlet/article/details/124246390
版权

入侵检测系统

  • 防火墙可以根据IP和服务端口过滤数据报文,极少深入数据包检查内容(合法IP和端口从事破坏活动);
  • 防火墙只在网络边界提供安全保护,对内网用户的违规行为或者攻击者将内网终端作为跳板的恶意行为无能为力;

IDS的必要性

  • 在造成损害前切断连接或终止操作
  • 对攻击者震慑作用
  • 可以搜集入侵信息,与防火墙联动更新全工具的配置

IDS体系结构

CIDF通用入侵检测框架

四个组件:
  • 事件产生器:所需要分析的数据都称为事件。可以是网络中的数据包,或是系统日志或进程消息。其作用是从IDS之外的整个计算环境中搜集事件,将这些事件转换为CIDF的GIDO格式像其他组件提供此事件。
  • 事件分析器:分析从其他组件发送来的GIDO,经过分析得到数据,分析产生结构GIDO,并将结果向其他组件分发。(入侵检测的核心,可以用不同算法对其 进行精确分析)。
  • 响应单元:处理其他组件发来的GIDO,并作出反应的功能单元,可以作出切断连接、改变文件属性等强烈反应,也可以是简单的报警。
  • 事件数据库:存放各种中间和最终GIDO的介质的统称,可以是复杂的数据库也可以是简单的文本文件。

应用程序:事件产生器+事件分析器+响应单元(数据收集器、数据分析器、控制中心)

文本or数据库:事件数据库

请添加图片描述

决定主要性能:事件发生器和事件分析器

搜集的原始数据+分析算法的效率

根据事件分析器采用数据来源不同分类:基于主机的入侵检测系统、基于网络的入侵检测系统、分布式的入侵检测系统

根据事件分析器分析算法类型的不同分类:基于异常的入侵检测系统、基于误用的入侵检测系统

核心功能:
对各种事件进行分析,从这个发现违反安全策略的行为

IDS的两大类分析检测方法(基于异常检测、基于误用检测)分别对应经验主义和理性主义

基于误用检测

定义了一套规则来判断特定的行为是否是一个入侵行为。这些规则是基于特征对已知攻击行为的描述(公理)。

优点:误报率低
缺点:对新的入侵行为防范能力很弱

黑名单模式

建立入侵行为特征库

缺点是规则库对系统类型依赖度很高,不同的系统需要有不同的规则库

定义入侵行为数据库,以及匹配与入侵行为分析方法。

  • 专家系统:建立数据库
  • 模式匹配与协议分析
  • 状态建模:入侵行为建模一个行为序列
基于异常检测

通过大量的观察和统计,建立正常行为的轮廓,只要一个行为不严重偏离正常行为轮廓就是一个正常行为,反之则是入侵行为。

优点:检出率高
缺点:误报率高

白名单模式

在这里插入图片描述

存在假阳性和假阴性的情况;

难点在于合理的选择阈值,以最大限度地减少误报率和漏报率。阈值的选择是一种折中的艺术。

概率统计入侵检测

系统首先定义一个能够描述合法用户行为的特征数据集合,利用数理统计方法对特征数据进行分析,形成正常行为轮廓。

采用多个变量的统计值进行入侵检测也叫做多元变量的入侵检测

基础是审计记录或日志数据

作用:
  1. 对一段时间内的审计记录分析可以缺点平均用户活动曲线,形成合法用户的行为轮廓。
  2. 用户当前的审计记录可以作为入侵检测系统的输入,根据当前记录与行为轮廓的偏差判断入侵行为。
  • 原始审计记录:事实上现有的所有操作系统均有系统日志,缺点是原始日志不便于直接分析使用
  • 面向入侵检测的审计记录:专门的审计记录收集工具,优点是可以采用特别地工具满足ids特定的需求,缺点是增加了系统的开销

具体的审计记录至少应当包括以下内容:

主体,行为,客体,异常条件,资源使用情况,时间戳,计数器,计量器,计时器,积分器,定时器

优点:

不需要具备太多系统安全弱点的先验知识,统计本身具有一定的自学习能力(依赖阈值时一种比较粗糙的检测方法)

缺点:

对事件发生的次序不敏感,可能会漏检依赖彼此关联事件的入侵行为。

预测模型入侵检测
  • 马尔可夫过程
  • 时间序列模型

网络中行为是动态变化的,以前合法的行为可能会变成不合法的行为

基于监督学习的入侵检测

KNN(K近邻算法)、决策树(DT)、支持向量机(SVM)

基于无监督学习的入侵检测

K-means聚类、层次聚类

入侵检测系统的部署方式

基于主机的入侵检测系统(HIDS)

检测目标是运行于网络中的主机或主机上的用户;

运行在网络中的主要主机、服务器、工作站或关键路由器上。

在这里插入图片描述

数据来源:主机的系统审计日志或网络流量

基于网络的入侵检测系统(NIDS)

被动在网络中监听整个网段的数据流,通过补货数据报文进行分析。

在这里插入图片描述

分布式入侵检测系统(DIDS)

每台被监控主机上的检测代理、网络检测代理和中央控制器

在这里插入图片描述

中央控制器:

  • 通信管理控制整个分布式入侵检测系统中的信息流
  • 专家系统负载分析个各代理发来的过滤后的数据,进行高层次的入侵检测分析
  • 用户接口主要负责给安全管理员良好的的人机界面

中央控制器:

  • 通信管理控制整个分布式入侵检测系统中的信息流
  • 专家系统负载分析个各代理发来的过滤后的数据,进行高层次的入侵检测分析
  • 用户接口主要负责给安全管理员良好的的人机界面
Kapler9
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
入侵检测监控系统snorby源码
03-22
作为snort等开源网络入侵检测系统的监控和管理系统,snorby采用ROR开发,界面简单大方,网络安全的童鞋可以研究下。大家也可以去snorby的github上去下载。资源是snorby2.6.2版本。
基于决策树的智能网络安全入侵检测模型
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
11-25 2365
基于树的分类模型可以预测特定的网络活动是“正常”还是“攻击”。在树的每个节点上做出决策,直到到达叶节点。数据点的类别(即正常或攻击)在叶节点中确定。换句话说,树节点代表一个特征,每条边或分支代表根据每个特征获得的信息做出的决策,每个叶子代表一个类。 该模型旨在提高预测精度并降低计算复杂度。 考虑到安全特征的排序和选择的基于树的入侵检测模型是重点,可以提高预测精度并最小化计算的复杂性 高维的安全特征时,过拟合的高方差、高复杂性和低预测精度是基于树的模型的常见限制
网络安全入侵检测系统
2201_75362610的博客
04-03 1024
入侵:指一系列试图破坏信息资源机密性完整性和可用性的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。入侵检测:是通过从计算机网络系统中的若干关键节点收集信息,并分析这些信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,是对指向计算和网络资源的恶意行为的识别和响应过程。入侵检测系统IDS):入侵检测系统通过监视受保护系统的状态和活动,采用异常检测或滥用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,是一个完备的网络安全体系的重要组成部分。
迪普防火墙白皮书
热门推荐
weixin_57914999的博客
04-06 1万+
应用防火墙 DPtech FW1000 系列下一代防火墙技术白皮书 1 概述 在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展, 应用与网络之间是相辅相成、相互促进的。随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网 络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制 的防火墙,已远远无法满足各种新应用下安全防护的需求。为解决此类难题,迪普科技推出了基于全新多 核处理器架构的 FW1000 系列下一代防火墙。 F
IDS及防火墙知识点
MA463841740的博客
04-03 734
介绍了IDS以及防火墙的一些知识。
网络入侵检测系统IDS)的安装部署
qq_45768092的博客
10-27 4411
网络入侵检测系统IDS)的安装部署 入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。 实验简介 实验所属系列:入侵检测与入侵防御/防火墙技术 实验对象:本科/专科信息安全专业 相关课程及专业:信息网络安全概论、计算机网络技术 实验时数(学分):4学时 实验类别:实践实验类 实验目的 1)了解入侵检测系统的基本
基于网络的入侵检测系统的研究
12-03
主要实现对网络流量的检测,对于异常数据提醒管理员进行相应的操作!
网络入侵检测系统
weixin_42019835的博客
04-18 2079
近年来,网络信息系统所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其是基于应用的新型威胁,大多采用防火墙和入侵检测系统的结合来应对企业的网络安全问题。如隐藏在 HTTP 等基础协议之上的应用层攻击问题、web2.0 安全问题、木马后门、间谍软件、僵尸网络、DDoS 攻击、APT攻击、网络资源滥用(P2P 下载、IM 即时通讯、网游、视频)等,极大地困扰着用户,给单位的信息网络造...
网络安全】网络入侵检测——入侵检测系统
Spontaneous_0的博客
10-11 744
入侵检测系统IDS)是一种用于检测网络或系统中潜在威胁的设备或软件应用。它可以帮助我们发现未知的攻击,例如零日攻击,或者已知的攻击,例如DDoS攻击。
基于网络的入侵检测系统:基于网络入侵检测系统的最后一年项目
02-04
基于网络的入侵检测系统:基于网络入侵检测系统的最后一年项目
网络入侵检测系统(源代码)
05-18
毕设做的系统,包含所有的源码,可编译运行。
入侵检测系统源码[C#源码]
01-01
这是一套基于C#编写的入侵检测系统的源码,可以供对学习入侵检测的人员学习,曾经与一名有名的安全公司人员讨论时,发现这个源码竟然也是他们的参考源码.
入侵检测系统源码VC++
08-27
一个很基础的入侵检测系统,多进本的功能,包括捕包,过滤,报警。
入侵检测系统源代码IDS
05-14
一本书上的实例,主要针对网络的协议进行分析,然后判断其中的入侵事件
VC++ IDS入侵检测系统源码
10-30
VC++ IDS入侵检测系统源码, 毕业设计作品
2024届求职-C++后端-学习笔记-操作系统、计算机网络、C++语言+算法
03-12
2024届求职-C++后端-学习笔记-操作系统、计算机网络、C++语言+算法 2024届求职-C++后端-学习笔记-操作系统、计算机网络、C++语言+算法 2024届求职-C++后端-学习笔记-操作系统、计算机网络、C++语言+算法 2024届求职-...
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-基于ssm的云的学习笔记系统-ssm-java代码
最新发布
04-16
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-云的学习笔记管理系统java代码-云的学习笔记系统设计与实现-基于ssm的云的学习笔记系统-基于Web的云的学习笔记系统设计与实现-云的学习...
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-基于Web的云的学习笔记系统设计与实现-java代码
04-16
云的学习笔记-云的学习笔记系统-云的学习笔记系统源码-云的学习笔记管理系统-云的学习笔记管理系统java代码-云的学习笔记系统设计与实现-基于ssm的云的学习笔记系统-基于Web的云的学习笔记系统设计与实现-云的学习...
python网络攻防
08-14
Python在网络攻防领域有许多应用和工具。以下是一些常见的Python网络攻防相关的话题和工具: 1. 网络扫描与侦察:Python提供了许多库和工具,例如Scapy、Netifaces和Requests等,可以进行网络扫描、端口扫描、ARP欺骗等操作,用于侦察目标网络。 2. 漏洞扫描与渗透测试:Python可以用于编写自定义的漏洞扫描器和渗透测试工具。例如,可以使用Requests库进行Web应用程序的漏洞扫描,或使用Metasploit框架编写自定义的渗透测试模块。 3. 密码破解与暴力破解:Python提供了许多加密和哈希算法的库,可以用于编写密码破解工具。例如,可以使用hashlib库来进行常见的哈希算法破解,或使用Brute-Force算法进行密码暴力破解。 4. DDOS攻击与防御:Python可以用于编写自定义的DDOS攻击工具和防御机制。例如,可以使用socket库进行TCP/IP层的攻击,或使用防火墙规则来防御DDOS攻击。 5. 安全日志分析与入侵检测:Python可以用于编写安全日志分析工具,用于监控和检测网络上的异常行为和入侵行为。例如,可以使用正则表达式来提取日志信息,或使用机器学习算法进行异常检测。 请注意,网络攻防涉及到合法和道德问题,务必在合法授权的情况下进行任何形式的网络测试或攻击。同时,在进行网络攻防活动时,请遵守当地法律法规和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值