一、介绍
IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。在很多中大型企业,政府机构,都会布有IDS。我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
专业上讲IDS就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求就是:IDS应当挂接在所有所关注流量都必须流经的链路上。
- IDS的接入方式:并行接入(并联)
- IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源
- 这些位置通常是:
- 服务器区域的交换机上
- 边界路由器的相邻交换机上
- 重点保护网段的局域网交换机上
- 这些位置通常是:
二、入侵检测系统的作用
- 防火墙的重要补充
- 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。
- 构建网络安全防御体系重要环节
- 克服传统防御机制的限制
三、入侵检测系统功能
- 监测并分析用户和系统的活动
- 核查系统配置和漏洞
- 对操作系统进行日志管理,并识别违反安全策略的用户活动
- 针对已发现的攻击行为作出适当的反应,如告警、中止进程等
四、入侵检测系统的分类
- 按入侵检测形态
- 硬件入侵检测
- 软件入侵检测
- 按目标系统的类型
- 网络入侵检测
- 主机入侵检测
- 按系统结构
- 集中式
- 分布式
五、入侵检测系统的架构
- 事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
- 事件分析器:分析数据,发现危险、异常事件,通知响应单元
- 响应单元:对分析结果作出反应
- 事件数据库:存放各种中间和最终数据
六、入侵检测工作过程
七、数据检测技术
误用检测技术
- 建立入侵行为模型(攻击特征)
- 假设可以识别和表示所有可能的特征
- 基于系统和基于用户的误用
-
优点
- 准确率高
- 算法简单
-
关键问题
- 要识别所有的攻击特征,就要建立完备的特征库
- 特征库要不断更新
- 无法检测新的入侵
-
异常检测技术
-
设定“正常”的行为模式
-
假设所有的入侵行为是异常的
-
基于系统和基于用户的异常
- 优点
- 可检测未知攻击
- 自适应、自学习能力
- 关键问题
- “正常”行为特征的选择
- 统计算法、统计点的选择
- 优点
八、IDS的部署
基于网络的IDS
基于主机的IDS
九、入侵检测系统的局限性
- 对用户知识要求较高,配置、操作和管理使用较为复杂
- 网络发展迅速,对入侵检测系统的处理性能要求越来越高,现有技术难以满足实际需要
- 高虚警率,用户处理的负担重
- 由于警告信息记录的不完整,许多警告信息可能无法与入侵行为相关联,难以得到有用的结果
- 在应对对自身的攻击时,对其他数据的检测也可能会被抑制或受到影响
原文:https://blog.csdn.net/qq_36119192/article/details/84343269
版权声明:本文为博主原创文章,转载请附上博文链接!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
