您好,歡迎來電子發(fā)燒友網(wǎng)! ,新用戶?[免費注冊]

您的位置:電子發(fā)燒友網(wǎng)>電子百科>網(wǎng)絡>網(wǎng)絡優(yōu)化>

IDS入侵檢測

2009年12月28日 17:56 wenjunhu.com 作者:佚名 用戶評論(0
關鍵字:

IDS入侵檢測

?IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略,對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果,以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。
??? 我們做一個形象的比喻:假如防火墻是一幢大樓的門鎖,那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。?
??? 在本質上,入侵檢測系統(tǒng)是一個典型的"窺探設備"。它不跨接多個物理網(wǎng)段(通常只有一個監(jiān)聽端口),無須轉發(fā)任何流量,而只需要在網(wǎng)絡上被動的、無聲息的收集它所關心的報文即可。對收集來的報文,入侵檢測系統(tǒng)提取相應的流量統(tǒng)計特征值,并利用內置的入侵知識庫,與這些流量特征進行智能分析比較匹配。根據(jù)預設的閥值,匹配耦合度較高的報文流量將被認為是進攻,入侵檢測系統(tǒng)將根據(jù)相應的配置進行報警或進行有限度的反擊。入侵檢測系統(tǒng)的原理模型如圖所示。


????????????????? 入侵檢測系統(tǒng)通過監(jiān)聽獲得網(wǎng)絡連路上流量的拷貝


??? 入侵檢測系統(tǒng)的工作流程大致分為以下幾個步驟:
??? (1)信息收集 入侵檢測的第一步是信息收集,內容包括網(wǎng)絡流量的內容、用戶連接活動的狀態(tài)和行為。
??? (2)信號分析 對上述收集到的信息,一般通過三種技術手段進行分析:模式匹配,統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
??? 具體的技術形式如下所述:

??? 模式匹配
??? 模式匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化)。一般來講,一種進攻模式可以用一個過程(如執(zhí)行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優(yōu)點是只需收集相關的數(shù)據(jù)集合,顯著減少系統(tǒng)負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法,不能檢測到從未出現(xiàn)過的黑客攻擊手段。

??? 統(tǒng)計分析
??? 分析方法首先給信息對象(如用戶、連接、文件、目錄和設備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時等)。測量屬性的平均值將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較,任何觀察值在正常偏差之外時,就認為有入侵發(fā)生。例如,統(tǒng)計分析可能標識一個不正常行為,因為它發(fā)現(xiàn)一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優(yōu)點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡的分析方法,目前正處于研究熱點和迅速發(fā)展之中。

??? 完整性分析
??? 完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性,它在發(fā)現(xiàn)被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(shù)(例如MD5),能識別及其微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn),不用于實時響應。這種方式主要應用于基于主機的入侵檢測系統(tǒng)(HIDS)。

??? (3)實時記錄、報警或有限度反擊
??? IDS根本的任務是要對入侵行為做出適當?shù)姆磻?,這些反應包括詳細日志記錄、實時報警和有限度的反擊攻擊源。
???
??? 經(jīng)典的入侵檢測系統(tǒng)的部署方式如圖所示:

非常好我支持^.^

(1) 100%

不好我反對

(0) 0%

相關閱讀:

( 發(fā)表人:admin )

      發(fā)表評論

      用戶評論
      評價:好評中評差評

      發(fā)表評論,獲取積分! 請遵守相關規(guī)定!

      ?