|
知识路径: > 网络安全基础知识 > 网络安全基础知识 > 入侵检测、入侵防御的概念和应用 > 入侵检测 >
|
被考次数:1次
被考频率:低频率
总体答错率:34%  
知识难度系数:
|
由 软考在线 用户真实做题大数据统计生成
|
考试要求:熟悉
相关知识点:5个
|
|
|
|
|
入侵检测是一种主动保护自己免受攻击的网络安全技术,是通过对计算机网络或计算机系统中的若干个关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。
|
|
|
作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测。
|
|
|
|
|
|
|
|
|
|
(6)操作系统日志管理,并识别违反安全策略的用户活动。
|
|
|
|
|
主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息并进行分析。主机型入侵检测系统保护的一般是所在的系统。
|
|
|
网络型入侵检测系统的数据源则是网络上的数据包。通常将一台主机的网卡设为混杂模式,监听所有本网段内的数据包并进行判断。网络型入侵检测系统担负着保护整个网段的任务。
|
|
|
|
入侵检测系统由3个部分组成,分别是事件产生器、事件分析器和响应单元。
|
|
|
对于主机型IDS,其事件产生器位于其所检测的主机上。
|
|
|
对于网络型IDS,其事件产生器的位置可根据需求放置在交换机核心芯片的调试端口上,把入侵检测系统放在交换机内部或防火墙内部等数据流的关键出入口,采用分接器将其接在所要检测的线路上。
|
|
|
|
入侵检测技术分为两种:一种是基于标识;另一种是基于异常情况。
|
|
|
基于标识的检测技术首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要就是判别在所收集的数据中是否出现了这类特征。此方法非常类似杀毒软件。
|
|
|
基于异常的检测技术则是先定义一组系统"正常"情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统,并用统计的办法得出),然后将系统运行时的数值与所定义的"正常"情况相比较,得出是否有被攻击的迹象。其核心在于如何定义"正常"情况。
|
|
|
|
|
|
入侵检测系统首先要对信息进行收集,然后对收集到的信息进行分析,并判断是否有入侵行为。
|
|
|
|
入侵检测的基础是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。其利用的信息一般来自4个方面。
|
|
|
|
|
|
|
|
入侵检测的核心是信号分析。对所收集的信息,可采用3种手段进行分析,即模式匹配、统计分析、完整性分析。
|
|
|