入侵檢測(cè)

入侵檢測(cè)

入侵檢測(cè)(入侵檢測(cè))

入侵檢測(cè)（Intrusion Detection），顧名思義，就是對(duì)入侵行為的發(fā)覺(jué)。他通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

目錄 基本簡(jiǎn)介 分類情況 入侵分類 工作步驟 收縮展開(kāi) 基本簡(jiǎn)介

入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。因此被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。入侵檢測(cè)通過(guò)執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。 入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)： ·監(jiān)視、分析用戶及系統(tǒng)活動(dòng) · 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì) · 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警 · 異常行為模式的統(tǒng)計(jì)分析 · 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性 ·操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。 對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來(lái)講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是，它應(yīng)該管理、配置簡(jiǎn)單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

分類情況

入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。

特征檢測(cè)

特征檢測(cè)(Signature-based detection) 又稱Misuse detection ，這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。

異常檢測(cè)

異常檢測(cè)(Anomaly detection) 的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正常活動(dòng)的'“活動(dòng)簡(jiǎn)檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

入侵分類

1)基于主機(jī)

一般主要使用操作系統(tǒng)的審計(jì)、跟蹤日志作為數(shù)據(jù)源，某些也會(huì)主動(dòng)與主機(jī)系統(tǒng)進(jìn)行交互以獲得不存在于系統(tǒng)日志中的信息以檢測(cè)入侵。這種類型的檢測(cè)系統(tǒng)不需要額外的硬件．對(duì)網(wǎng)絡(luò)流量不敏感，效率高，能準(zhǔn)確定位入侵并及時(shí)進(jìn)行反應(yīng)，但是占用主機(jī)資源，依賴于主機(jī)的可靠住，所能檢測(cè)的攻擊類型受限。不能檢測(cè)網(wǎng)絡(luò)攻擊。

2)基于網(wǎng)絡(luò)

通過(guò)被動(dòng)地監(jiān)聽(tīng)網(wǎng)絡(luò)上傳輸?shù)脑�始流量，�?duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，從中提取有用的信息，再通過(guò)與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來(lái)識(shí)別攻擊事件。此類檢測(cè)系統(tǒng)不依賴操作系統(tǒng)作為檢測(cè)資源，可應(yīng)用于不同的操作系統(tǒng)平臺(tái)；配置簡(jiǎn)．單，不需要任何特殊的審計(jì)和登錄機(jī)制；可檢測(cè)協(xié)議攻擊、特定環(huán)境的攻擊等多種攻擊。但它只能監(jiān)視經(jīng)過(guò)本網(wǎng)段的活動(dòng)，無(wú)法得到主機(jī)系統(tǒng)的實(shí)時(shí)狀態(tài)，精確度較差。大部分入侵檢測(cè)工具都是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng).

3)分布式

這種入侵檢測(cè)系統(tǒng)一般為分布式結(jié)構(gòu)，由多個(gè)部件組成，在關(guān)鍵主機(jī)上采用主機(jī)入侵檢測(cè)，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上采用網(wǎng)絡(luò)入侵檢測(cè)，同時(shí)分析來(lái)自主機(jī)系統(tǒng)的審計(jì)日志和來(lái)自網(wǎng)絡(luò)的數(shù)據(jù)流，判斷被保護(hù)系統(tǒng)是否受到攻擊。

工作步驟

對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來(lái)講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是，它應(yīng)該管理、配置簡(jiǎn)單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

【入侵檢測(cè)】相關(guān)文章：

安防及入侵檢測(cè)·什么是IDS入侵檢測(cè)06-22

入侵檢測(cè)產(chǎn)品選購(gòu)要點(diǎn)入侵檢測(cè) -電腦資料01-01

入侵檢測(cè) -電腦資料01-01

入侵檢測(cè)技術(shù)發(fā)展方向入侵檢測(cè) -電腦資料01-01

針對(duì)入侵檢測(cè)系統(tǒng)的漏洞學(xué)習(xí) 的入侵手法 -電腦資料01-01

針對(duì)入侵檢測(cè)系統(tǒng)的漏洞了解 的入侵手法 -電腦資料01-01

入侵檢測(cè)與入侵防御將長(zhǎng)期共存 -電腦資料01-01

入侵監(jiān)測(cè)系統(tǒng)的功能與作用入侵檢測(cè) -電腦資料01-01

高速網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)07-14