入侵检测流程

最新推荐文章于 2024-04-08 15:24:49 发布
最新推荐文章于 2024-04-08 15:24:49 发布
阅读量3.9k 收藏 8
点赞数
分类专栏: 入侵检测 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cookieXSS/article/details/106455589
版权

入侵检测流程

  • 入侵检测的过程
  • 入侵检测系统的数据源
  • 入侵分析的概念
  • 入侵分析的模型
  • 入侵检测的分析方法
  • 告警与响应

在这里插入图片描述

入侵检测系统的数据源

堪于主机的数据源:

  • 系统运行状态信息
  • 系统记帐信息
  • 系统日志(Syslog)
  • C2级安全性审计信息

基于网络的数据源

  • SNMP信息
  • 网络通信包

其他来源

  • 应用程序日志文件
  • 其他入侵检测系统的报警信息
  • 其他网络设备和安全产品的信息

入侵分析的概念

  • 入侵检测系统是一个复杂的数据处理系统,所涉及到的问题域中的各种关系也比较复杂。
  • 从入侵检测的角度来说,分析是指针对用户和系统活动数据进行有效的组织、整理并提取特征,以鉴别出感兴趣的行为。这种行为的鉴别可以实时进行,也可以事后分析,在很多情况下,事后的进步分析是为了寻找行为的责任人。

入侵分析的目的

  • 重要的威慑力:目标系统使用IDS进行入侵分析,对于入侵者来说具有很大的威慑力,因为这意味着攻击行为可能会被发现或被追踪。
  • 安全规划和管理:分析过程中可能会发现在系统安全规划和管理中存在的漏洞,安全管理员可以根据分析结果对系统进行重新配置,避免被攻击者用来窃取信息或破坏系统。
  • 获取入侵证据:入侵分析可以提供有关入侵行为详细的、可信的证据,这些证据可以用于事后追究入侵者的责任。

入侵分析应考虑的因素

  • 需求
  • 子目标
  • 目标划分
  • 平衡

入侵分析的模型

入侵分析处理过程可分为三个阶段:

  • 构建分析器
  • 分析数据
  • 反馈和更新

构建分析器

  • 收集并生成事件信息
  • 预处理信息
  • 建立行为分析引擎
  • 将事件数据输入引擎中
  • 保存已输入数据的模型

分析数据

  • 输入事件记录
  • 事件预处理
  • 比较事件记录和知识库
  • 产生响应

反馈和更新

  • 反馈和更新是一个非常重要的过程。
  • 在误用检测系统中,反映这个阶段的主要功能是攻击信息的特征数据库是否可以更新。每天都能够根据新攻击方式的出现来更新攻击信息特征数据库是非常重要的。许多优化的信号引擎能够在系统正在监控事件数据,没有中断分析过程的同时,由系统操作员来更新信号数据库。
  • 在异常检测系统中,依靠执行异常检
最低0.47元/天 解锁文章
listone_sec
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
入侵检测概述
LISTONE的个人博客
05-29 2143
入侵检测概述 网络安全基本概念 计算机网络的功能作用是: 提供计算机的连通性服务 资源共享 计算机网络系统的安全威胁主要来自于3个方面: 黑客(Hacker)的攻击 计算机病毒(Virus) 拒绝服务攻击(Denies Of Service, DOS) 网络安全的实质 保障系统中的人、设备、设施、软件、数据以及各种供给品等要素免遭各种偶然的或人为的破坏或攻击,使它们发挥正常,保障系统能安全可靠地工作 。 为了提高网络系统的安全性,需要从多个层次和环节入手,分别分析应用系统、宿主
网络安全入侵检测系统
VN520的博客
04-13 7284
入侵:指一系列试图破坏信息资源机密性完整性和可用性的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。入侵检测:是通过从计算机网络系统中的若干关键节点收集信息,并分析这些信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,是对指向计算和网络资源的恶意行为的识别和响应过程。入侵检测系统(IDS):入侵检测系统通过监视受保护系统的状态和活动,采用异常检测或滥用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,是一个完备的网络安全体系的重要组成部分。
小白入门”入侵检测
weixin_50813770的博客
02-20 1169
用最直白的语言、最快速的脚步,踏进入侵检测的大门。
HIDS是什么,如何保护主机系统
最新发布
HoewDec的博客
04-08 1143
作为传统攻防视角的重要一环有着不可替代的作用,可以有效的检测到从网络层面难以发现的安全问题,如:后门,反弹shell,恶意操作,主机组件安全漏洞,系统用户管理安全问题,主机基线安全风险等。针对主机安全这块,德迅卫士采用自适应安全架构,有效解决传统专注防御手段的被动处境,为系统添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。结合多个病毒检测引擎,能够实时准确发现主机上的病毒进程,并提供多角度分析结果,以及相应的病毒处理能力。
入侵检测技术
热门推荐
小旺的博客
05-23 1万+
入侵检测 入侵检测可以被定义为对计算机和网络系统资源的恶意使用行为进行识别和相应处理的技术。 恶意行为包括系统外部的入侵和内部用户的非授权行为。入侵检测是为保证计算机系统的安全而设计与配置的、一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 传统入侵检测系统的部署: 入侵检测系统通过执行以下任务来实现其功能: (1)监视、分析用户及系统活动。 (2)对系统的构造和弱点进行审计。 (3)识别和反映已知进攻的活动模式,并向安全管理员报警。 (4)对系统异常
入侵检测1 概述
c10udz的博客
09-05 1344
入侵:包括被发起攻击的人取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问等对计算机系统造成危害的行为。入侵检测:对入侵行为的发觉。实时入侵检测系统模型:IDES(入侵检测专家系统)入侵检测的两种形式:基于网络的IDS、基于主机的IDS1.通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生。2.检测未能阻止的攻击3.检测探测行为4.报告安全威胁5.提供有关攻击信息6.提高网络安全管理的质量。
入侵检测系统
weixin_69884785的博客
04-17 807
入侵检测系统以及入侵防御系统(IPS),包括IPS与IDS的比较,以及IPS的优点与不足
ids.rar_入侵检测系统
09-24
入侵检测系统的工作流程通常包括以下步骤: 1. 数据收集:从网络流量、系统日志或其他数据源收集信息。 2. 数据预处理:清洗数据,去除噪声,为后续分析做准备。 3. 异常检测:通过统计分析、模式匹配、行为建模等...
入侵检测课件
01-15
第二章,《入侵检测技术_第2章.pdf》,通常会进一步讲解入侵检测的工作原理和流程,包括数据收集、预处理、特征选择、模式匹配和报警生成等关键步骤。同时,这一章可能还会涉及网络嗅探技术,如TCP/IP协议分析,以及...
DeepLearning-IDS-master_入侵检测_ids_
10-03
【标题】"DeepLearning-IDS-...总的来说,这个项目是一个完整的深度学习入侵检测系统开发流程,涵盖了数据处理、模型构建、训练、评估和应用等多个环节,对于理解和实践网络安全领域中的深度学习技术具有很高的价值。
网络入侵检测步骤及思路
02-13
在网络安全过程中,对于渗透测试的过程,给人一个完整的过程
入侵检测源码
05-21
入侵检测系统(Intrusion ...深入研究这些源码,不仅可以了解入侵检测的基本流程和技术,还可以学习到如何优化性能、提高检测准确率和减少误报,这对于网络安全领域的研究人员和开发者来说是非常有价值的资源。
NIDS.rar_NIDS_ipcontrolview_入侵检测
09-20
《网络入侵检测系统(NIDS)详解:IPControlView与学习指南》 网络入侵检测系统(Network Intrusion Detection System,简称NIDS)是网络安全的重要组成部分,它能够在网络流量中实时监控异常行为,防止未授权的...
浅谈入侵检测系统2
李小涛的博客
02-24 1857
入侵检测系统 的主要功能包括:监视、分析用户及系统的活动;系统构造和弱点的审计;识别反应已知进攻的活动模式并向相关人士报警;对异常行为模式进行统计分析爱;对重要系统和数据文件的完整性进行评估;对操作系统进行审计跟踪管理;识别用户违反安全策略的行为。 一、基本模型 包括通用入侵检测模型(Denning模型)层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM) 通用入侵检测模型(De...
介绍入侵检测概念、过程分析
weixin_68789096的博客
04-12 503
入侵检测是指"通过对行为、安全日志或审计数据或其它网络上可以 获得的信息进行操作,检测到对系统的闯入或闯入的企图"(参见国标GB/T18336)。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、 响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测程序
河边杨柳
12-09 1228
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不
snort的入侵检测流程
04-23
Snort的入侵检测流程包括以下几个步骤: 1. 数据包捕获:Snort首先需要捕获网络数据包,通常可以通过网络适配器来完成这个任务。 2. 数据包预处理:Snort对捕获的数据包进行预处理,包括将数据包分解成各个协议层,并对数据包进行重新组装。 3. 规则匹配:Snort使用预先定义的规则来匹配数据包,发现匹配的规则之后就会触发警报。 4. 警报处理:Snort发现匹配规则之后会生成警报信息,可以将警报信息发送给管理员或者记录到日志文件中。 5. 流量记录:Snort通常会将捕获到的数据包进行记录,以便后续的分析。 总体来说,Snort是一款功能强大的入侵检测系统,可以有效地发现并拦截各种网络攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值