网络入侵概念
入侵检测:通过计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统(IDS):入侵检测是软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。
检测的内容:试图闯入,成功闯入,冒充其他用户,违反安全策略,合法用户的泄露,独占资源以及恶意使用。
IDS探测原理: 监测和报警,和防火墙产生联动,一般放在交换机上面也可直接放在服务器上面。
入侵检测的作用:
实时检测:实时地监视,分析网络中所有的数据报文,发现并实时处理所捕获的报文。
安全审计:对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态,找出所需的证据。
主动切断连接或与防火墙联动,调用其他程序处理。
分类:
根据所检测的对象来分:
1 基于主机的入侵检测系统HIDS(能对加密数据包分析,成本高)
2 基于网络的入侵检测系统NIDS (不能对加密的数据包分析,成本低)
实际过程两者结合,但非常需要安全的像银行需要HIDS
根据系统的工作方式分为:
1 离线检测系统 (不影响访问速度)
2 在线检测系统 IPS (影响速度,但可以让硬件强大)
分析手段:
模式匹配:用于实时入侵检测。
统计分析:用于实时入侵检测。
完整性分析:用于事后分析。
基于异常情况检测:
分析入侵概率,设置阈值。
制定统计方法,方差,多元模型,马尔柯夫过程模式,时间序列,评价指标。