防火墙技术:它通过加强网络间的访问控制,防止外部用户非法使用内部网络资源,从而保护内部网络的设备不被破坏,防止内部网络的核心数据被窃取。它规定了哪些内部服务可以被外界访问,以及哪些外部服务可以被内部人员访问等。
防火墙只是一种被动的防御技术,它不是万能的,它无法识别和防御自内部网络的滥用和攻击,也不能有效阻止绕过防火墙的攻击。
入侵检测作为主动防御技术弥补了这一不足,是为保证计算机系统的安全而设计的能够即使发现并报告系统中未授权或异常现象,用于检测计算机网络和系统中违反安全策略行为的技术。入侵检测技术的应用,可以在系统发生危害前检测到入侵攻击,并利用报警与防范系统响应攻击,从而减少入侵攻击所造成的损失。
入侵:企图破坏资源的完整性、保密性、可用性的任何行为,也指违背系统安全策略的任何事情。
入侵检测:是通过多计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统:是实现入侵检测功能的一系列的软件、硬件的组合。它是入侵检测的具体实现。作为一种安全管理工具,它从不同的系统资源收集信息,分析反映误用或异常行为模式的信息,对检测的行为做出自动的反应,并报告检测过程的结果。
入侵系统的主要功能:监视分析拥护和系统的活动;核查系统配置和漏洞评估系统关键资源和数据完整性;识别已知的攻击行为;异常行为模式的统计分析;操作系统日志的审记跟踪和拥护违反安全策略的识别;针对已发现的攻击行为作出适当反应,如警告,终止进程等。
入侵检测系统与系统扫描器的不同:系统扫描器是根据攻击特征数据库来扫描系统漏洞的,它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上,即使正在运行着扫描程序,也无法识别这种攻击。IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤,从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而IDS监视和记录网络流量。
IDS的工作流程分为三步:信息收集、信息分析、应急响应。
入侵检测系统采用的基本分析技术主要有两种,即误用检测和异常检测。误用检测是对系统汇总不正常的行为建摸,这些行为就是以前记录下来的确认了的误用或攻击,通过分析系统的活动,发现那些与被预先定义好了的攻击特征相匹配的事件或事件集。
误用检测往往也被称为基于特征的检测。大部分商业IDS产品采用误用检测技术,常用的误用检测方法有:
(1)模式匹配:模式匹配的基本思想是:提取各种攻击的特征(协议、IP地址、服务器端口等),建立用语检测的特征库,从而以特征库为依据来识别大量的攻击和试探。模式匹配的突出优点是算法简单,准确率高。但是该方法只能识别已知攻击,而且对于高速大规模网络,由于要处理分析大量的数据包,速度很成问题。
最低0.47元/天 解锁文章
1430
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
