一、介紹
IDS(intrusion detection system)入侵檢測系統是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在於,IDS是一種積極主動的安全防護技術。在很多中大型企業,政府機構,都會布有IDS。我們做一個比喻——假如防火牆是一幢大廈的門鎖,那麼IDS就是這幢大廈裏的監視系統。一旦小偷進入了大廈,或內部人員有越界行爲,只有實時監視系統才能發現情況併發出警告。
專業上講IDS就是依照一定的安全策略,對網絡、系統的運行狀況進行監視,儘可能發現各種攻擊企圖、攻擊行爲或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。與防火牆不同的是,IDS入侵檢測系統是一個旁路監聽設備,沒有也不需要跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署的唯一要求就是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。
- IDS的接入方式:並行接入(並聯)
- IDS在交換式網絡中的位置一般選擇爲:儘可能靠近攻擊源,儘可能靠近受保護資源
- 這些位置通常是:
- 服務器區域的交換機上
- 邊界路由器的相鄰交換機上
- 重點保護網段的局域網交換機上
- 這些位置通常是:
二、入侵檢測系統的作用
- 防火牆的重要補充
- 防火牆(Firewall),也稱防護牆,是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網(US5606668(A)1993-12-15)。防火牆是位於內部網和外部網之間的屏障,它按照系統管理員預先定義好的規則來控制數據包的進出。防火牆是系統的第一道防線,其作用是防止非法用戶的進入。
- 構建網絡安全防禦體系重要環節
- 克服傳統防禦機制的限制
三、入侵檢測系統功能
- 監測並分析用戶和系統的活動
- 覈查系統配置和漏洞
- 對操作系統進行日誌管理,並識別違反安全策略的用戶活動
- 針對已發現的攻擊行爲作出適當的反應,如告警、中止進程等
四、入侵檢測系統的分類
- 按入侵檢測形態
- 硬件入侵檢測
- 軟件入侵檢測
- 按目標系統的類型
- 網絡入侵檢測
- 主機入侵檢測
- 按系統結構
- 集中式
- 分佈式
五、入侵檢測系統的架構
- 事件產生器:它的目的是從整個計算環境中獲得事件,並向系統的其他部分提供此事件。
- 事件分析器:分析數據,發現危險、異常事件,通知響應單元
- 響應單元:對分析結果作出反應
- 事件數據庫:存放各種中間和最終數據
六、入侵檢測工作過程
七、數據檢測技術
誤用檢測技術
- 建立入侵行爲模型(攻擊特徵)
- 假設可以識別和表示所有可能的特徵
- 基於系統和基於用戶的誤用
-
優點
- 準確率高
- 算法簡單
-
關鍵問題
- 要識別所有的攻擊特徵,就要建立完備的特徵庫
- 特徵庫要不斷更新
- 無法檢測新的入侵
-
異常檢測技術
-
設定“正常”的行爲模式
-
假設所有的入侵行爲是異常的
-
基於系統和基於用戶的異常
- 優點
- 可檢測未知攻擊
- 自適應、自學習能力
- 關鍵問題
- “正常”行爲特徵的選擇
- 統計算法、統計點的選擇
- 優點
八、IDS的部署
基於網絡的IDS
基於主機的IDS
九、入侵檢測系統的侷限性
- 對用戶知識要求較高,配置、操作和管理使用較爲複雜
- 網絡發展迅速,對入侵檢測系統的處理性能要求越來越高,現有技術難以滿足實際需要
- 高虛警率,用戶處理的負擔重
- 由於警告信息記錄的不完整,許多警告信息可能無法與入侵行爲相關聯,難以得到有用的結果
- 在應對對自身的攻擊時,對其他數據的檢測也可能會被抑制或受到影響
原文:https://blog.csdn.net/qq_36119192/article/details/84343269
版權聲明:本文爲博主原創文章,轉載請附上博文鏈接!