|
|
|
|
|
入侵检测技术是一种利用入侵者留下的痕迹,发现来自外部或内部非法入侵的技术。它通过从计算机网络或计算机系统中的关键点收集信息,并进行分析,发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
|
|
|
|
入侵检测技术是对入侵行为的发觉,起着主动防御的作用,是网络安全中极其重要的部分。它以探测与控制为技术本质,通过分析、审计记录,识别系统中任何不应该发生的活动,采取相应的措施报告并制止入侵活动。
|
|
|
|
入侵检测扮演的是网络安全系统中侦察与预警的角色,能够协助网络管理员发现并处理已知的入侵,通过对入侵检测系统所发出的警报的处理,网络管理员可以有效地配置其他的安全产品,以使整个网络安全系统达到最佳工作状态,尽可能降低因攻击而带来的损失。
|
|
|
|
|
|
入侵检测系统(Intrusion Detection System,IDS)是进行入侵检测的软件与硬件的组合。入侵检测系统通常由事件产生器、事件分析器、事件数据库、响应单元等基本组件构成。
|
|
|
|
(1)事件产生器。事件产生器负责原始数据的采集,它对数据流、日志文件等进行追踪,然后将收集到的原始数据转换为事件,并向系统的其他部分提供此事件。
|
|
|
|
(2)事件分析器。事件分析器负责接收事件信息,然后对其进行分析,并判断是否是入侵行为或异常现象,最后将判断结果转为警告信息。
|
|
|
|
(3)事件数据库。事件数据库负责存放各种中间和最终数据。它从事件产生器或事件分析器接收数据,一般会将数据进行较长时间的保存。它可以是复杂的数据库,也可以是简单的文本文件。
|
|
|
|
(4)响应单元。响应单元根据警告信息做出反应,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
|
|
|
|
|
|
|
|
(1)根据原始数据来源,可以分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统。
|
|
|
|
基于主机的入侵检测系统通过监视与分析主机的审计记录和日志文件来检测入侵,主要用于保护运行关键应用的服务器。
|
|
|
|
基于网络的入侵检测系统侦听网络上的所有分组,采集数据,分析可疑现象,主要用于实时监控网络关键路径的信息。
|
|
|
|
基于应用的入侵检测系统可以说是基于主机的入侵检测系统的一个特殊子集,也可以说是基于主机入侵检测系统实现的进一步细化,所以其特性、优缺点与基于主机的入侵检测系统基本相同,其主要特征是使用监控传感器在应用层收集信息。
|
|
|
|
(2)根据检测原理,可以分为异常入侵检测系统和误用入侵检测系统。
|
|
|
|
异常入侵是指能够根据异常行为和使用计算机资源的情况检测出来的入侵。异常入侵检测试图用定量的方式描述可以接受的行为特征,以区分非正常的、潜在的入侵行为。
|
|
|
|
误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵,与异常入侵检测不同,误用入侵检测能直接检测不利或不可接受的行为。
|
|
|
|
(3)根据体系结构,可以分为集中式入侵检测系统、等级式入侵检测系统和协作式入侵检测系统。
|
|
|
|
集中式的入侵检测系统可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。在等级式入侵检测系统中,定义了若干个分等级的监控区域,每个入侵检测系统负责一个区域,每一级入侵检测系统只负责所监控区的分析,然后将当地的分析结果传送给上一级入侵检测系统。协作式入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统,这些入侵检测系统不分等级,各司其职,负责监控当地主机的某些活动。
|
|
|
|
(4)根据工作方式,可以分为离线检测系统和在线检测系统。
|
|
|
|
离线检测系统是一种非实时工作的系统,在事件发生后分析审计事件,从中检查入侵事件。在线检测对网络数据包或主机的审计事件进行实时分析,可以快速反应,保护系统的安全,但在系统规模较大时,难以保证实时性。
|
|
|
|
|
