6.1 引言
对态势的理解是人们组合、分析、解读和保留信息的过程。在态势提取的基础上,我们可以采取一系列方法和技术来对安全态势进行进一步的理解和处理,这其中包括安全检测和分析、态势指标构建和态势评估等。
6.2 入侵检测
入侵检测是最近十余年发展起来的一种动态监控、预防或抵御系统入侵行为的安全机制。所谓入侵检测是指对入侵行为的发觉,它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。
6.2.1入侵检测通用模型
入侵检测是通过检测计算机网络和系统,以发现违反安全策略的事件的过程。
对于需要进行分析的数据,我们统称为事件。入侵检测系统是针对事件进行分析处理的。
一个典型的入侵检测系统至少分为3个功能模块:
提供事件记录流的信息源
发现入侵迹象的分析引擎
基于分析引擎的响应部件
入侵检测系统主要由以下四个部件组成:
事件产生器
事件分析器
响应单元
事件数据库
6.2.2 入侵检测系统分类
根据检测数据的来源不同:
基于主机的入侵检测系统
基于网络的入侵检测系统
基于混合数据源的入侵检测系统
根据检测分析方法的不同:
误用检测系统:基于知识的检测
异常检测系统:基于行为的检测
误用和异常检测混合的入侵检测系统
根据入侵检测工作方式的不同:
实时检测系统
非实时检测系统
根据体系结构不同:
集中式入侵检测系统
分布式入侵检测系统
根据响应方式不同:
被动响应检测系统
主动响应检测系统
6.3 入侵防御系统
IPS是一种能防御防火墙不能防御的深层入侵威胁(含有入侵检测技术)的在线部署(采用防火墙串行部署方式)安全产品。
防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。传统的防火墙旨在拒绝哪些明显可疑的网络流量,但任然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。
6.4 入侵容忍
入侵容忍主要研究如何在遭受攻击的情况下继续保护系统的服务能力。