介绍入侵检测概念、过程分析

已于 2023-08-14 14:26:34 修改
阅读量514 收藏 1
点赞数
文章标签: 网络 人工智能 网络安全 服务器 渗透
于 2023-04-12 10:21:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68789096/article/details/130100863
版权

1、 侵检测的基本概念
  
  入侵检测是指"通过对行为、安全日志或审计数据或其它网络上可以 获得的信息进行操作,检测到对系统的闯入或闯入的企图"(参见国标GB/T18336)。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、 响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
  
  2、 入侵检测系统的发展历史
  
   1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误 用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验 室的PeterNeumann研究出了一个实时入侵检测系统模型- IDES(Intrusion Detection Expert Systems入侵检测专家系统),是第一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。1989年,加州大 学戴维斯分校的Todd Heberlein写了一篇论文《A Network SecurityMonitor》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情 况下监控异种主机,网络入侵检测从此诞生。
  
  3、 系统模型
  
  为解决入侵检测系统之间的互操 作性,国际上的一些研究组织开展了标准化工作,目前对IDS进行标准化工作的有两个组织:IETF的Intrusion Detection Working Group(IDWG)和Common Intrusion Detection Framework(CIDF)。
  
   CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,是一个开放组织。 CIDF阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Event generators),用E盒表示;事件分析器(Event analyzers),用A盒表示;响应单元(Responseunits),用R盒表示;事件数据库(Event databases),用D盒表示。
  

 


  CIDF模型的结构如下:E盒通过传感器收集事件数据,并将信息传送给A盒,A盒检测误用模式;D盒存储来自A、E盒的数据,并为额外 的分析提供信息;R盒从A、E盒中提取数据,D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO(generalized Intrusion detection objects,通用入侵检测对象)和CISL(common intrusion specification language,通用入侵规范语言)。如果想在不同种类的A、E、D及R盒之间实现互操作,需要对GIDO实现标准化并使用CISL。

  4、 分类
  
  4.1 按照检测类型划分 从技术上划分,入侵检测有两种检测模型:
  
   (1) 异常检测模型(Anomaly Detection):检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特 征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测 未知的入侵。
  
  (2) 误用检测模型(Misuse Detection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常 操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知 的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
  
  4.2 按照检测对象划分
  
   基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的 主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。
  
  基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
  
  混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。

网络安全学习资源分享:

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

在这里插入图片描述

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享🎁

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

在这里插入图片描述

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享🎁

因篇幅有限,仅展示部分资料,需要点击上方链接即可获取


  

Python_魔力猿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【安全防护技术】入侵检测技术
msmxsd的博客
05-28 2097
入侵检测技术一、概念介绍二、IDS通用模型:CIDF三、IDS分类按检测分析技术按检测范围基于主机的入侵检测系统网络入侵检测系统四、IDS指标 一、概念介绍 入侵检测:对入侵行为的发觉。 通过计算机网络或计算机系统的关键点采集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统(Instrusion Detection System, IDS):实现入侵检测功能的软件和硬件的集合。 二、IDS通用模型:CIDF CIDF 由四部分组成:事件生成器、事件分析器、事件响
设备安全——入侵检测IDS
Miracle_ze的博客
09-12 3298
IDS(入侵检测系统):对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全(机密性、完整性、可用性)设备本身(IDS系统)是一个软件与硬件的组合系统。IDS的作用:实时监测经典检测模型通用的入侵检测系统抽象模型● 主体(subject)● 对象(object)● 审计记录(audit record)● 活动档案(profiles)● 异常记录(anomoly records)● 活动规则(activity rules)入侵检测经典理论。
5、信息安全知识
qq_44774198的博客
09-07 1331
Hash函数又称为杂凑函数、散列函数,它提供了这样的一种计算过程:输入一个长度不固定的字符串,返回一串定长的字符串(又称为Hash值),单向Hash函数用于产生信息摘要。信息摘要简要地描述了一份较长的信息或文件,它可以被看做是一份长文件的“数字指纹”,信息摘要可以用于创建数字签名。对于特定的文件而言,信息摘要是唯一的,而且不同的文件必将产生不同的信息摘要。
2021信息安全工程师学习笔记(十)
OOOOOK的博客
08-29 950
入侵检测技术原理与应用 1、入侵检测概述 入侵检测概念入侵应于受害目标相关联,该受害目标可以是一个大的系统或单个对象。入侵是指违背访问目标的安全策略的行为。 判断与目标相关的操作是否为入侵的依据是:对目标的操作是否超出了目标的安全策略范围。 具有入侵检测的系统称为入侵检测系统,简称为IDS。 入侵检测模型:早期的入侵检测模型主要根据主机系统的审计记录数据,生成有关系统的若干轮毂。 CIDF:通用的入侵检测框架模型。该模型认为入侵检测系统由事件产生器、事件分析器、响应单元和事件数据库组成。 CIDF
网络安全第4章课后题 黑客攻防与入侵检测
qq_64314976的博客
06-23 1703
与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,为了隐蔽起见,客户端的监听端口一般设在80,这样即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP 地址:80 ESTABLISHED”的情况,稍微疏忽一点就会以为是自己在浏览网页。入侵检测并不是根据网络和系统的缺陷,而是根据入侵事件的特征一般与系统缺陷有逻辑关系,对入侵事件的特征进行检测,所以入侵检测系统是黑客的克星。同时,服务端运行后会自动捆绑以下文件。
入侵检测概念过程分析和布署
09-26
根据国标GB/T18336,入侵检测通过分析行为、安全日志、审计数据等信息来识别对系统的侵犯或试图侵犯的行为。入侵检测不仅涉及实时的检测,还包括响应、损失评估、预测攻击以及为法律追责提供证据。这一领域涵盖了...
入侵检测系统升级记录.docx
08-10
本文将深入探讨入侵检测系统的概念、工作原理、升级的重要性以及升级过程中可能遇到的问题。 入侵检测系统通过分析网络流量、系统日志和其他安全相关数据,来识别违反安全策略的行为或已知攻击模式。它分为两种主要...
实验报告-入侵检测与防御
最新发布
08-19
这份"实验报告-入侵检测与防御"包含了从实验1到实验8的完整学习过程,通过实例展示了如何识别和应对各种网络威胁。下面将详细阐述相关知识点。 一、入侵检测系统(IDS)基础 入侵检测系统是一种监控网络或系统活动...
入侵检测实验报告
06-29
入侵检测是网络安全领域的重要组成部分,它主要负责监测网络活动,识别潜在的威胁和异常行为,以防止未授权的访问和攻击。本实验报告将详细阐述嗅探实验、数据包记录器实验以及入侵行为检测实验的相关知识点。 ### ...
IDS入侵检测系统与开源IDS-snort的安装与编写规则
weixin_64655821的博客
10-01 3784
IDS入侵检测系统与开源IDS-snort的安装与编写规则
入侵检测IDS学习--snort规则
程序狗的成长之路
07-24 5608
1.入侵检测检测引擎就是通过对规则选项的分析构成了Snort 检测引擎的核心。选项主要可以分为四类, 第一类是数据包相关各种特征的描述选项,比如:content、flags、dsize、ttl等; 第二类是规则本身相关一些说明选项,比如:reference、sid、classtype、priority等; 第三类是规则匹配后的动作选项,比如:msg、resp、react、session、l
入侵检测技术概述笔记
yokerrio的博客
11-26 1055
基于网络的入侵检测方法有:统计方法、神经网络、数据挖掘、免疫学方法等,以及一些新提出的基于网络的分析入侵检测方法。这也要求入侵检测技术不断改进更新,近年来,入侵检测技术有新的发展趋势:网络检测点由点向面发展,即一个主要的发展趋势是采用分布式系统,在网络上放置多个检测器,共享信息,并通过信息的分发交流,协同工作,提高系统响应的实时性。目前,黑客攻击技术层出不穷,检测技术难以跟上攻击技术的更新速度,且入侵方式多样,信息加密等都能给检测带来很大的困难,所以对入侵进行高效率的检测也是 IDS 的研究热点。
入侵检测技术
热门推荐
小旺的博客
05-23 1万+
入侵检测 入侵检测可以被定义为对计算机和网络系统资源的恶意使用行为进行识别和相应处理的技术。 恶意行为包括系统外部的入侵和内部用户的非授权行为。入侵检测是为保证计算机系统的安全而设计与配置的、一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 传统入侵检测系统的部署: 入侵检测系统通过执行以下任务来实现其功能: (1)监视、分析用户及系统活动。 (2)对系统的构造和弱点进行审计。 (3)识别和反映已知进攻的活动模式,并向安全管理员报警。 (4)对系统异常
入侵检测:User-Agent
LainWith的博客
02-09 6169
目录前言HydraWPScanWordpresscanWebRootSharinGanRsasSkipfishBruteXSSXSStestnmapW3afzgrabhttrackiFinDsqlmapwhatwebniktoDirBusterIndy Library 前言 在入侵检测中,有一类防御类型是针对黑客攻工具的,不少工具只有“User-Agent”是其唯一可识别项,因此整理了一些可以基于“User-Agent”作为识别特征的工具。 规则的开发很简单,这里暂且举两个例子,一个是纯content的,一
基于决策树的智能网络安全入侵检测模型
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
11-25 2467
基于树的分类模型可以预测特定的网络活动是“正常”还是“攻击”。在树的每个节点上做出决策,直到到达叶节点。数据点的类别(即正常或攻击)在叶节点中确定。换句话说,树节点代表一个特征,每条边或分支代表根据每个特征获得的信息做出的决策,每个叶子代表一个类。 该模型旨在提高预测精度并降低计算复杂度。 考虑到安全特征的排序和选择的基于树的入侵检测模型是重点,可以提高预测精度并最小化计算的复杂性 高维的安全特征时,过拟合的高方差、高复杂性和低预测精度是基于树的模型的常见限制
2021年中国入侵检测系统(IDS)市场趋势报告、技术动态创新及2027年市场预测
贝哲斯咨询的博客
10-18 964
入侵检测系统(IDS)市场的企业竞争态势 该报告涉及的主要国际市场参与者有CrowdStrike、ManageEngine、Snort、OSSEC、Suricata、Zeek、Sagan、Security Onion、AIDE、Kismet、Barracuda Networks、Check Point、Palo Alto Networks、Juniper Networks、AT&T Cybersecurity、Forcepoint、Fortinet等。这些参与者的市场份额、收入、公司...
入侵检测流程
LISTONE的个人博客
05-31 3986
入侵检测流程 入侵检测过程 入侵检测系统的数据源 入侵分析概念 入侵分析的模型 入侵检测分析方法 告警与响应 入侵检测系统的数据源 堪于主机的数据源: 系统运行状态信息 系统记帐信息 系统日志(Syslog) C2级安全性审计信息 基于网络的数据源 SNMP信息 网络通信包 其他来源 应用程序日志文件 其他入侵检测系统的报警信息 其他网络设备和安全产品的信息 入侵分析概念 入侵检测系统是一个复杂的数据处理系统,所涉及到的问题域中的各种关系也比较复杂。 从入侵检测的角度来说,分析
数据挖掘驱动的入侵检测:关联分析与应用实例
本课件深入探讨了数据挖掘技术在入侵检测领域的应用,以7-5章节为核心,主要涵盖了数据挖掘的基本概念、主要技术以及它们在实际场景中的具体应用。 首先,数据挖掘被定义为从大量数据中提取有价值的知识,特别是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值