本文介绍了入侵检测系统(IDS)的工作原理,包括基于误用和异常的两种检测技术,以及IDS的组件和部署策略。通用入侵检测框架模型(CIDF)由事件产生器、分析器、响应单元和事件数据库组成。IDS通过检测操作系统、应用日志和网络包来识别潜在威胁。此外,还提到了统一威胁管理(UTM)设备,如H3CSecPathU200-CA,用于集成多种安全功能。高级持续威胁(APT)是一种复杂的长期威胁,需要高度警惕。IDS通常部署在关键网络节点,以提高监测效率。
入侵检测:通过收集操作系统、系统程序、应用程序、网络包信息,发现系统中违背安全策略或危及系统安全的行为。
具有入侵检测功能的系统称为入侵检测系统,简称为IDS。
通用入侵检测模型
通用入侵检测框架模型(CIDF)认为入侵检测系统由事件产生器、事件分析器、响应单元、事件数据库组成。
基于误用的入侵检测技术
检测与已知的不可接受行为之间的匹配程度。
这种检测模型误报率率、漏报率高。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
基于异常的入侵检测技术
检测与可接受行为之间的偏差。
漏报率低,误报率高。因为不需要对每钟入侵行为进行定义,所以能有效检测未知的入侵。
入侵检测系统组成
以下功能快组成:
①数据采集模块(数据采集):为入侵分析引擎模块提供分析用的数据。如操作系统的审计日志、应用程序的运行日志、网络数据包;
②入侵分析引擎模块(入侵检测器):依据辅助模块提供的信息(如攻击模式),根据算法对收集到的数据进行分析,判断是否有入侵行为出现,产生入侵报警,是入侵检测系统的核心模块;
③应急处理模块(应急措施):发生入侵后,提供紧急响应服务,如关闭网络服务、中断网络连接、启动备份系统等;
④管理配置模块(配置系统库):为其他模块提供配置服务,是IDS系统中的模块与用户的接口;
⑤相关的辅助模块(攻击模式库):协助乳清分析引擎模块工作,为它提供相应的信息,攻击特征库、漏洞信息等。
统一威胁管理(UTM)
统一威胁管理是指一个功能全面的安全产品,它将多种安全特性集成与一个硬件设备里,形成标准的统一威胁管理平台,防范多种威胁。UTM产品通常包括防火墙,防病毒软件,内容过滤和垃圾邮件过滤器。如H3C SecPath U200-CA。
UTM通常部署在内部网络与外部网络的边界,对流出和进入内部网络的数据进行保护和控制。UTM在实际网络中的部署方式包括透明网桥、路由转发和NAT网关。
高级持续威胁(APT)
高级持续威胁包括三要素:高级、长期、威胁。
①高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞;
②长期指某个外部力量会持续监控特定的目标,并从其获取数据;
③威胁则指人为参与与策划攻击。
入侵检测系统部署
IDS应当旁路部署在所有关注流量都必须流经的链路上。
IDS部署在尽可能靠近攻击源或尽可能靠近受保护资源的位置,如:
①服务器区域的交换机上;
②Internet接入路由器之后的第一台交换机上;
③重点保护网段的局域网交换机上。
或
扫一扫
4495
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
