入侵检测概述
入侵的判定:对目标的操作超出目标的安全策略范围。
入侵检测系统(IDS)
通用入侵检测框架模型(CIDF)
组成:事件产生器、事件分析器、响应单元和事件数据库。
入侵检测技术
💮基于误用的入侵检测技术(基于特征):
根据已知的入侵模式检测入侵行为,这类漏洞的攻击方法具有某种特征,依赖于攻击模式库,检测能力取决于攻击模式库的大小以及攻击方法的覆盖面。
前提条件:入侵行为能够按某种方式进行特征编码,入侵检测相当于模式匹配过程。
分类:
| 名称 | 描述 |
|---|---|
| 基于条件概率的误用检测 | 入侵方式对应事件序列,观测序列,应用贝叶斯定理进行推理 |
| 基于状态迁移的误用检测 | 特征攻击使用状态图表示,攻击者的操作导致状态迁移 |
| 基于键盘监控的误用检测 | 入侵行为对应特定的击键序列模式 |
| 基于规则的误用检测 | 攻击行为或入侵模式表示成一种规则,符合即为入侵。优点:检测简单。缺点:受到规则库的限制,无法发现新的攻击。Snort是典型应用实例 |
💮基于异常的入侵检测技术:
通过计算机或网络资源统计分析,建立系统正常行为“轨迹”,定义一组系统正常情况的数值,将运行时的数值与定义的数值进行比较得出是否被攻击的。
系统组成与分类
入侵检测系统组成: 数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块和相关的辅助模块。
依据IDS的监测数据来源及安全作用范围分类:
⚪️基于主机的入侵检测系统(HIDS,分析主机信息)
⚪️基于网络的入侵检测系统(NIDS,扫描网络通信数据包)
同步风暴(SYN Flood)、分布式拒绝服务攻击(DDoS)、网络扫描、缓冲区溢出、协议攻击、流量异常、非法网络访问;
⚪️分布式入侵检测系统(DIDS,多台主机、多个网段采集数据综合分析)
主要产品技术指标
💮入侵检测相关产品:
(1)主机入侵检测系统。
(2)网络入侵检测系统。
(3)统一威胁管理(UTM):由硬件、软件和网络技术组成的具有专门用途的设备。常部署在内部网络和外部网络的边界,对进出内部网络的数据进行保护和控制。部署方式:透明网桥、路由转发和NAT网关。
(4)高级持续威胁检测(APT):将恶意代码嵌入word、excel、ppt、pdf文档和电子邮件中以实现更隐蔽的网络攻击。
💮入侵检测相关指标: 可靠性、可用性、可扩展性、时效性、准确性、安全性。
395
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
