入侵检测(IDS)技术
入侵检测:对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。
入侵检测系统:完成入侵检测功能的软件、硬件及其组合,是一种能够通过分析系统安全相关数据来检测入侵活动的系统。
组成:数据包捕获模块、预处理模块、检测模块、输出模块
作用:
- 监测并分析用户和系统的活动;
- 核查系统配置和漏洞;
- 评估系统关键资源和数据文件完整性;
- 识别已知的攻击行为;
- 统计分析异常行为;
- 针对已发现的攻击行为作出适当反应。
局限:
- 不能弥补网络协议的漏洞;
- 不能弥补系统提供信息的质量或完整性问题;
- 不能总是对数据包级的攻击进行处理;
- 存在误报率、漏报率问题
IDS实现过程:信息收集→信息分析→结果处理
信息收集来源:
主机(系统日志文件丶系统目录和文件的异常变化丶程序执行中的异常行为);
网络(网络流量、网络数据包)
信息分析:模式匹配丶统计分析丶完整性分析
结果处理:
主动响应(对入侵采取反击丶修正系统环境丶设置网络陷阱)
被动响应(告警和通知丶与网络管理联动丶存档和报告&#x