首先來說說這個入侵檢測系統(IDS)的概念,IDS通過實時地收集和分析計算機網絡或系統中的信息來檢查是否出現違背安全策略的行爲和是否存在入侵的跡象,進而達到提示入侵和預防攻擊的目的。入侵檢測系統是一種主動防護的網絡安全技術,可以有效防止或減輕來自網絡的威脅。入侵檢測系統一般被用於防火牆的一個補充,可以提供外部攻擊,內部攻擊和誤操作的實時監控。
入侵檢測系統由控制檯和探測器兩部分組成,其中探測器是在前端採集數據的網絡設備,連接交換機的網絡端口,實行對交換機中傳輸數據的分析,探測器一般要部署在關鍵子網中,實現對關鍵網絡中傳輸數據的安全監測,控制檯可以通過網絡接受探測器上傳的監測數據,從而對計算機網絡中的異常現象來做全面的管理和控制。
下面來說說入侵檢測系統的基本功能:
1. 檢測並記錄計算機系統或網絡中存在的活動和數據
2. 檢測黑客攻擊前的探測行爲,預先發出警報,這是通過採集並監控攻擊者用於掃描探測的數據包來提供警告和響應的
3. 檢測網絡中的入侵行爲和網絡中的異常行爲
4. 提供有關的攻擊信息,以便管理員可以診斷網絡中存在的弱點
入侵檢測系統的分類,對於這個入侵檢測系統的分類可以從多個不同的層面角度出發來進行分類
1. 根據數據的採集方式進行分類可以分爲基於網絡的入侵檢測系統(NIDS)和基於主機的入侵檢測系統(HIDS)。基於網絡的入侵檢測系統使用監聽的方式,在網絡通信中尋找符合網絡入侵規則的數據包,這種方式的情況下,入侵檢測設備往往以硬件的方式部署於網絡中,獨立於被保護的機器之外。可以通過入侵數據包的特徵進行檢測,可以提供針對於網絡層,傳輸層和應用層的入侵行爲的全面檢測。基於主機的入侵檢測系統則在主機系統中通過審計日誌文件和文件完整性等操作中尋找攻擊特徵,通常以軟件的形式部署於被保護的計算機中。
2. 根據檢測原理分類可以分爲誤用檢測型入侵檢測系統和異常檢測型入侵檢測系統。誤用檢測型入侵檢測系統用於收集攻擊行爲和非正常操作的行爲特徵,建立相關的特徵庫,當檢測到用戶的行爲與特徵庫中的行爲匹配的時候,系統就會認爲這是入侵,這樣對於已知攻擊類型的檢測非常有效,但是不能檢測新型變種的攻擊方式。異常檢測型入侵檢測系統會總結正常的操作系統應當具有的特徵,當用戶的活動與正常的行爲有較大的偏差的時候,系統就會認爲這是入侵,通過利用統計的方法來檢測系統中的異常行爲
首發於我的個人網站: 點擊打開鏈接