入侵检测系统详解(IDS)

最新推荐文章于 2024-06-17 17:38:07 发布
最新推荐文章于 2024-06-17 17:38:07 发布
阅读量3.4w 收藏 203
点赞数 31
分类专栏: 防火墙技术 文章标签: IDS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whoim_i/article/details/103266790
版权

目录

入侵检测系统(IDS)概念

入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
在本质上,入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
入侵检测系统组成,基本组件如图所示:
在这里插入图片描述

  1. 事件产生器(Event generators),它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
    2.事件分析器(Event analyzers),接收事件信息,经过分析得到数据,并产生分析结果,并将判断的结构转变为警告信息。
    3.响应单元(Response units ),它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
    4.事件数据库(Event databases )事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。

入侵检测系统的分类

根据数据源分类

1 基于主机的入侵检测系统(HIDS)

主要用于保护运行关键应用的服务器,通过监视与分析主机的审计记录和日志文件来检测入侵,日志中包含发生在系统上的不寻常活动的证据,这些证据可以指出有人正在入侵或者已经成功入侵了系统,通过查看日志文件,能够发现成功的入侵或入侵企图,并启动相应的应急措施。

2 基于网络的入侵检测系统(NIDS)

主要用于实时监控网络关键路径的信息,它能够监听网络上的所有分组,并采集数据以分析现象。基于网络的入侵检测系统使用原始的网络包作为数据源,通常利用一个运行在混杂模式下的网络适配器来进行实时监控,并分析通过网络的所有通信业务。

根据检测原理分类

1 异常入侵检测。

异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测入侵。基于异常检测的入侵检测首先要构建用户正常行为的统计模型,然后将当前行为与正常行为特征相比较来检测入侵。常用的异常检测技术有概率统计法和神经网络方法两种。

2 误用入侵检测。

误用入侵检测技术是通过将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果发现有攻击特征,则判断有攻击。完全依靠特征库来做出判断,所以不能判断未知攻击。常用的误用检测技术有专家系统、模型推理和状态转换分析。

根据体系结构分类

1.集中式

集中式入侵检测系统包含多个分布于不同主机上的审计程序,但只有一个中央入侵检
测服务器,审计程序把收集到的数据发送给中央服务器进行分析处理。这种结构的入侵检测系统在可伸缩性、可配置性方面存在致命缺陷。随着网络规模的增加,主机审计程序和服务器之间传送的数据量激增,会导致网络性能大大降低。并且一旦中央服务器出现故障,整个系统就会陷入瘫痪。此外,根据各个主机不同需求配置服务器也非常复杂。

2.等级式

在等级式(部分分布式)入侵检测系统中,定义了若干个分等级的监控区域,每个入侵
检测系统负责一个区域, 每一 级入侵检测系统只负责分析所监控区域,然后将当地的分析结果传送给上一级入侵检测系统。这种结构存在以下问题。首先,当网络拓扑结构改变时,区域分析结果的汇总机制也需要做相应的调整:其次,这种结构的入侵检测系统最终还是要把收集到的结果传送到最高级的检测服务器进行全局分析,所以系统的安全性并没有实质性改进。

3.协作式

协作式入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统,这些入侵检测系统不分等级,各司其职,负责监控当地主机的某些活动。所以,可伸缩性、安全性都得到了显著的提高,但维护成本也相应增大,并且增加了所监控主机的工作负荷,如通信机制,审计开销,踪迹分析等。

根据工作方式分类

1 离线检测。

离线检测系统是一种非实时工作的系统,在事件发生后分析审计事件,从中检查入侵事件。这类系统的成本低,可以分析大量事件,调查长期情况,但由于是事后进行的,不能对系统提供及时的保护,而且很多入侵在完成后会删除相应的日志,因而无法进行审计。

2 在线监测。

在线监测对网络数据包或主机的审计事件进行实时分析,可以快速响应,保护系统安全,但在系统规模较大时难以保证实时性。

入侵检测功能

入侵检测系统能在入侵攻击对系统发生危害前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,尽可能的减少入侵攻击所造成的损失,在攻击后,能收集入侵攻击的相关信息,作为防范系统的知识添加到知识库中,从而增强系统的防范能力。

1 监控、分析用户和系统的活动

这是完成入侵检测任务的前提条件。通过获取进出某台主机及整个网络的数据,来监控用户和系统的活动。那么最直接一般的方法就是“抓包”,将数据流中的所有包都抓下来进行分析。
如果入侵检测系统不能实时地截获数据包并进行分析,那么就会出现漏包或网络阻塞的现象。前者会出现很多漏报,后者会影响网络中数据流速从而影响性能。所以,入侵检测系统不仅要能够监控分析用户和系统的活动,同时它自己的这些骚操作要快(不然真是会头大哦0.0)

2 发现入侵企图或异常现象

这是入侵检测的核心功能。包括两个方面:一是对进出网络的数据流进行监控,查看是否存在入侵行为;二是评估系统关键资源和数据文件的完整性,查看是否已经遭受了入侵行为。前者是作为预防的,后者是用来吸取经验以免下次再遭攻击的。

3 记录、报警和响应

哈哈哈哈终于到了最后的阶段,对于前面的分析,找出攻击行为,那么到了这里就该是我们进行反击了。我要一刀解决你。针对不同的攻击,首先应该记录它们的基本情况,然后再做出相应的响应(包括报警啊,一刀砍死啊,拦截啊啥的)

相关文章:
入侵检测系统(IDS)与协同
IPS详解

whoim_i
关注
  • 31
    点赞
  • 203
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HIDS入侵检测能力评估list
vlogFeynman的博客
06-21 345
HIDS入侵检测能力评估list 个人笔记旨在对主机入侵检测项目评估做备忘,不提供具体方案、命令、样本! 中华人民共和国网络安全法 暴力破解 1. 阈值、封停设置 2. 白名单规则 3. 检测项:ssh、ftp... 异常登录 1. 告警开关 2. 登录IP、时间、区域、账号 3. 自定义范围 反弹shell 1. 大类:基础命令,工具,脚本,混淆 2. bash -i (sh、csh、zsh...) 3. nc -e | nc mkfifo 4. socat.. 5. awk、telnet 6.
网络安全的哨兵:入侵检测系统与入侵防御系统详解
最新发布
06-23
入侵检测系统(Intrusion Detection System, IDS)和入侵防御系统(Intrusion Prevention System, IPS)作为网络安全的关键技术,为防御网络威胁提供了有效手段。本文将详细解析入侵检测系统和入侵防御系统的概念、...
入侵检测技术
小旺的博客
05-23 1万+
入侵检测 入侵检测可以被定义为对计算机和网络系统资源的恶意使用行为进行识别和相应处理的技术。 恶意行为包括系统外部的入侵和内部用户的非授权行为。入侵检测是为保证计算机系统的安全而设计与配置的、一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 传统入侵检测系统的部署: 入侵检测系统通过执行以下任务来实现其功能: (1)监视、分析用户及系统活动。 (2)对系统的构造和弱点进行审计。 (3)识别和反映已知进攻的活动模,并向安全管理员报警。 (4)对系统异常
网络安全之入侵检测系统
2201_75362610的博客
04-03 1391
入侵:指一系列试图破坏信息资源机密性完整性和可用性的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。入侵检测:是通过从计算机网络系统中的若干关键节点收集信息,并分析这些信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,是对指向计算和网络资源的恶意行为的识别和响应过程。入侵检测系统IDS):入侵检测系统通过监视受保护系统的状态和活动,采用异常检测或滥用检测的方,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,是一个完备的网络安全体系的重要组成部分。
《跟我一起学“网络安全”》——安全设备
Cool_foolisher的博客
06-17 920
本篇文章是《跟我一起学“网络安全”》的第七章,主要为大家介绍了企业里常用的安全设备,包括:IPS、IDS、WAF、隔离装置、蜜罐等。
入侵检测系统,浅析几个著名的入侵检测系统
自学编程的小白
12-25 7130
原文:http://www.cuntuba520.net/xiaozhishi/2347367.html 一 > 浅析几个著名的入侵检测系统 入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,入侵检测系统是一种积极主动的安全防护技术入侵检测系统IDS)检查所有进入和发出的网络活动,并可确认某...
入侵检测技术框架总论
Sumarua的博客
08-06 7911
文章目录1. 引言,网络安全态势理解0x1:网络安全检测的描述0x2:安全分析2. 入侵检测0x1:入侵检测通用模型`1. CIDF体系结构 `1)事件产生器(event generators)2)事件分析器(event analyers)3)事件数据库(event databases)4)响应单元(response units)`2. CIDF规范语言 ``3. CIDF内部通讯 ``4. CIDF程序接口 `3. 入侵检测系统分类0x1:根据检测所用数据源进行分类`1. 基于主机的入侵检测系统(HIDS
入侵检测系统IDS)简介
weixin_44211968的博客
05-26 6248
文章目录一、入侵检测系统IDS)简介参考链接 一、入侵检测系统IDS)简介 入侵检测系统(intrusion detection system,简称“IDS”)是一种对 网络传输 进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。 我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有 实时监视系统 才能发现情况并发出警告。 参考
入侵检测系统原理深入解析.docx
06-17
4. 入侵检测系统技术详解 - 模匹配:将接收到的数据与预定义的攻击模进行比对,匹配成功则报警。 - 协议分析:解析网络协议,识别协议层面上的异常或恶意行为。 - 异常检测: - 基于机器学习:利用训练数据...
CSE-CIC-IDS2018 加拿大入侵检测数据集 Thursday数据
02-23
尽管CSE-CIC-IDS2018提供了丰富的数据,但构建有效的入侵检测系统仍然面临挑战,如不平衡数据问题(正常流量远大于攻击流量)、实时性要求以及对抗性攻击等。这些数据集对于网络安全研究者和从业者来说,是优化和...
CSE-CIC-IDS2018 加拿大入侵检测数据集 Friday数据
02-23
《CSE-CIC-IDS2018:加拿大入侵检测数据集详解》 在网络安全领域,入侵检测系统(Intrusion Detection System, IDS)扮演着至关重要的角色,它能够实时监控网络流量,识别并防御潜在的攻击行为。CSE-CIC-IDS2018...
Linux下入侵检测系统.pdf
07-14
【Linux下入侵检测系统】构建和配置详解 入侵检测系统(Intrusion Detection System, IDS)在网络安全中扮演着至关重要的角色,它能够实时监测网络流量,识别异常行为,及时发现潜在的攻击或入侵。在Linux环境下,...
入侵检测系统
weixin_45868644的博客
12-30 5467
文章目录IDS 入侵检测系统 (旁路部署)概述意义入侵检测系统的特点入侵检测原理入侵检测技术实现入侵检测系统评价指标IPS 入侵防御系统(串行部署)入侵防御技术入侵防御技术优势入侵防御系统入侵检测系统与入侵防御系统对比系统漏洞病毒 IDS 入侵检测系统 (旁路部署) 入侵检测(ID Intrusion Detection)通过监视各种操作,实时检测入侵行为的过程,是一种积极动态的安全防御技术入侵检测系统(IDS Intrusion Detection System)用于入侵检测的所有软硬件系统
IDS详解
weixin_71008408的博客
08-07 1822
通过例外签名配置,管理员可以定义一些例外规则,指定特定的条件或上下文,以排除特定流量或活动的签名匹配。IDS则通过监听网络流量,分析数据包的内容和行为,检测可能的入侵行为,如异常连接、恶意软件或攻击模等。IDS使用签名来进行检测,通过匹配流量或活动与已知的签名进行比较,以识别潜在的入侵行为。需要明确的是,IDS主要是被动的检测和监测系统,它可以提供实时的警报和日志,但无法主动阻止或阻断攻击。IDS则更多地用于被动检测和报警,识别潜在的入侵或异常后,会发出警报通知管理员,以便进一步的调查和应对。
入侵检测系统IDS工作原理笔记
chenyulancn的专栏
12-28 1万+
入侵检测(Intrusion Detection):通过从计算机网络或计算机系统关键点收集信息并进行分析,从中发现网络或系统中是否违反安全策略的性能更为和被攻击的迹象。     入侵检测系统IDS):入侵检测是软件和硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。     入侵检测的内容:试图闯入,成功闯入,冒充其他用户,违反安全策略,合法用户的泄漏,独占资源以及恶意使
关于入侵检测系统常用的几种检测方法
雨中怡然
09-17 1万+
入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。   特征检测   特征检测对已知的攻击或入侵的方作出确定性的描述,形成相应的事件模。当被审计的事件与已知的入侵事件模相匹配时,
IDS(Informix Dynamic Server)的培训文档[转贴]
minsj的专栏
11-02 1592
 IDS的培训文档!对IDS系统体系结果讲的简洁明了,挺好! -------------------------------------------------------------- 第一章 Informix动态可伸缩体系结构DSA (Dynamic Scalability Architecture) 一、关系型数据库(Relational Database)系统体系结构 目前比较流行的商
深入浅出讲解IDS入侵检测系统
热门推荐
m_ing
05-26 2万+
一、什么是IDSIDS是英文“intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。入侵检测系统,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。 专业上来讲,IDS入侵检测系统)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性 二、为什么需要IDS? 打一个形象的比喻:假如防火墙是一幢大楼的防盗门和安全锁,那么IDS(入侵检
IDS学习笔记
路漫漫其修远兮
05-28 1515
入侵检测系统IDS 入侵检测系统(intrusion detection system,简称“IDS”),是一种积极主动的安全防护技术,被认为是防火墙之后的第二道安全闸门,对网络进行检测,提供对内部攻击、外部攻击和误操作的实时监控。它也是当今非常重要的动态安全技术,与传统的静态安全技术共同使用,大大提高系统的安全防护水品。 1. 入侵检测产生原因 1.1 防火墙FW的局限性 防火墙不能检查出经过它的合法流量中是否包含恶意的入侵行为。 传统防火墙不能安全过滤应用层的非法攻击。 防火墙对不通过它的流量无能为力
基于soc的fpga心电信号检测系统详解
05-26
基于SoC的FPGA心电信号检测系统是一种将FPGA和SoC技术相结合的系统,用于对心电信号进行检测和分析。该系统主要由FPGA芯片、SoC芯片、模数转换器、放大器等部分组成。 在系统中,FPGA芯片主要用于实现心电信号的数字处理和分析,包括滤波、放大、采样等操作。SoC芯片则负责控制系统的运行,提供数据存储和传输功能。模数转换器和放大器则负责将心电信号转换成数字信号,并放大信号,以便FPGA芯片进行处理。 整个系统的工作流程如下: 1. 将心电信号输入到模数转换器和放大器中,进行信号转换和放大。 2. 转换后的信号经过SoC芯片进行采样和存储。 3. 存储的数据被传输到FPGA芯片中进行数字处理和分析。 4. 处理后的数据被发送回SoC芯片,进行显示和输出。 该系统具有响应速度快、精度高、可靠性强等优点,可广泛应用于医疗、健康监测等领域。同时,该系统也具有可扩展性强,可以根据需要进行功能扩展和升级。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值