知识点讲解
 
       入侵检测系统概述
知识路径: > 网络安全 > IDS、IPS > 
被考次数:1次
被考频率: 低频率
总体答错率: 50%
知识难度系数:
考试要求: 掌握     
相关知识点:3个
               入侵检测系统的框架结构
               DARPA提出的公共入侵检测框架(CIDF)由4个模块组成:事件产生器、事件分析器、事件数据库和响应单元,如下图所示。
               
               CIDF体系结构
               (1)事件产生器(Event generators, E-boxes)。负责数据的采集,并将收集到的原始数据转换为事件,向系统的其他模块提供与事件有关的信息。入侵检测所利用的信息一般来自4个方面:系统和网络的日志文件、目录和文件中不期望的改变、程序执行中不期望的行为、物理形式的入侵信息。入侵检测要在网络中的若干关键点(不同网段和不同主机)收集信息,并通过多个采集点信息的比较来判断是否存在可疑迹象或发生入侵行为。
               (2)事件分析器(Event Analyzers, A-boxes)。接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,分析方法有下面3种。
               ①模式匹配。将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为。
               ②统计分析。首先给系统对象(例如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为。
               ③数据完整性分析。主要关注文件或系统对象的属性是否被修改,这种方法往往用于事后的审计分析。
               (3)事件数据库(Event Databases, D-boxes)。存放有关事件的各种中间结果和最终数据的地方,可以是面向对象的数据库,也可以是一个文本文件。
               (4)响应单元(Response units, R-boxes)。根据报警信息做出各种反应,强烈的反应就是断开连接、改变文件属性等,简单的反应就是发出系统提示,引起操作人员注意。
               入侵检测系统的部署位置
               入侵检测系统是一个监听设备,无须跨接在任何链路上,不产生任何网络流量便可以工作。因此,对IDS部署的唯一要求是应当挂接在所关注流量必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量以及需要统计、监视的网络报文。目前的网络都是交换式的拓扑结构,因此一般选择在尽可能靠近攻击源,或者尽可能接近受保护资源的地方,这些位置通常是:
               (1)服务器区域的交换机上。
               (2)Internet接入路由器之后的第一台交换机上。
               (3)重点保护网段的局域网交换机上。
               入侵检测系统的数据源
               根据不同的数据源,IDS所使用的入侵检测技术也有所不同,目前,对于入侵检测所分析的数据源有以下几种来源。
               (1)操作系统审计记录。
               (2)操作系统日志。
               (3)网络数据。
               入侵检测系统的分类
               根据入侵检测系统的信息来源,IDS可分为基于主机的IDS(HIDS)、基于网络的IDS以及分布式的IDS(NIDS)。
               按照入侵检测系统的相应方式的不同,可以将入侵检测系统分为实时检测和非实时检测两种。
               按照数据分析的技术和处理方式,可以将入侵检测系统分为异常检测、误用检测和混合检测3种。
               检测模型的性能评价指标
               评价一个入侵检测系统的性能,一般从两个方面进行考量:检测的有效性和检测的速率。其中,检测的有效性是指检测结果的精度和报警的可信度,一般使用混淆矩阵来表示。如下表所示。
               
               入侵检测系统性能评估矩阵
               在表8-2中,a表示一个实际为入侵行为的检测结果为入侵行为记录的数量,表明检测的结果准确的情况:b表示入侵行为被认为是正常连接记录的数量:c表示正常连接被检测为入侵行为记录的数量;d表示正常连接被检测为正常连接记录的数量。
               一般用以下几种指标来对入侵检测系统的性能进行考量和评价。
               (1)检出率,是指一个入侵行为被检出的数量在所有入侵行为中所占的百分比,使用以下公式计算:检出率=a/(a+b)。
               (2)虚警率,是指一个正常连接被检测为入侵行为的数量在所有正常连接中所占的百分比,使用以下公式计算:虚警率=c/(c+d)。
               (3)漏警率,是指一个入侵行为被检测为正常连接的数量在所有入侵行为中所占的百分比,使用以下公式计算:漏警率=b/(a+b)。
               (4)查准率,指在被检测为入侵攻击记录总数中实际为入侵攻击记录所占的百分比,使用以下公式计算:查准率=a/(a+c)。
               (5)查全率,指入侵攻击记录被正确检测为入侵攻击的数量占入侵攻击总记录数的百分比,意味着在所有的入侵攻击中,有多大的可能性能被检测识别出来,使用以下公式计算:查全率=a/(a+b)。
               (6)准确率,用对网络行为正确分类所占的百分比来衡量,为检测类别正确的记录数占参与检测的总记录数的百分比,使用以下公式计算:准确率=(a+d)/(a+b+c+d)。
 

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有