***检测系统IDS工作原理笔记

Autor：残风

 

    ***检测（Intrusion Detection）：通过从计算机网络或计算机系统关键点收集信息并进行分析，从中发现网络或系统中是否违反安全策略的性能更为和被***的迹象。

    ***检测系统（IDS）：***检测是软件和硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。

    ***检测的内容：试图闯入，成功闯入，冒充其他用户，违反安全策略，合法用户的泄漏，独占资源以及恶意使用。

 

***检测系统的作用

l 实用检测

    实时地监视，分析网络中所有的数据报文

    发现并实时处理所捕获的数据报文

l 安全审计

    对系统记录的网络事件进行统计分析

    发现异常现象

    得出系统的安全状态，找出所需证据

l 主动响应

    主动切断连接或与防火墙联动，调用其他程序处理

 

 

***检测的分类

根据所采用的技术分为：

1) 异常检测：异常检测的假设是***者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“***”行为。

2) 特征检测：特征检测假设***者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

 

根据所检测的对象分为：

1)  基于主机的***检测系统 HIDS

2)  基于网络的***检测系统 NIDS

 

根据系统的工作方式分为：

1)  离线检测系统

2)  在线检测系统 ----> IPS

 

信息收集

第一步是信息收集，包括系统，网络，数据及用户活动的状态和行为。需要在系统中的不同关键点（网段和主机）收集信息，这样做的理由就是从一个来源的信息有可能看不出疑点，但从几个原来的信息的不一致性却是可疑行为或***的做好标识。

 

1. 系统和网络日志文件

2. 目录和文件中的不期望的改变

3. 程序执行中的不期望行为

4. 物理形式的***信息

 

信息分析

对收集到的上述信息，通过三种手段进行分析：

模式匹配：用于实时的***检测

统计分析：用于实时的***检测

完整性分析：用于时候分析

 

基于规则***检测

l 对新的***方法无能为力

l 难点在于如何设计模式技能够表达***现象又不会将正常的活动包含进来

l 准确率较高

 

基于异常情况检测

l Anomaly Detection

l 假设***者活动异常于正常主体的活动

l 制定主体正常活动的“活动阀值”

l 检测到活动与“活动阀值”相比较

     — 是否违反统计规律

l 难题在于如何建立“活动阀值”以及如何设计统计算法

 

***检测中的统计模型

l 操作模型

l 方差

l 多元模型

l 马尔可夫过程模型

l 时间序列分析

 

IDS存在问题

l NIDS具有网络局限性

l NIDS检测方法都有一定的局限性

l NIDS不能处理加密后的数据

l NIDS存在着资源和处理恩那个的局限性

l NIDS受内存和硬盘的限制

解决方案：HIDS与NIDSHIDS相结合；重要的的服务器上装HIDS，剩余的部分装NIDS。

转载于:https://blog.51cto.com/cruelwind/488644