【网络安全】入侵检测系统IDS

【网络安全】入侵检测系统IDS一、入侵检测的概念1、入侵检测的概念检测对计算机系统的非授权访问对系统的运行状态进行监视发现各种攻击企图、攻击行为或攻击结果以保证系统资源的保密性、完整性和可用性识别针对计算机系统和网络系统或广义上的信息系统的非法攻击包括检测外部非法入侵者的恶意攻击或探测以及内部合法用户越权使用系统资源的非法行为。所有能够执行入侵检测任务和实现入侵检测功能的系统都可称为入侵检测系统IDS Intrusion Detection System入侵检测系统 IDS,它从计算机网络系统中的若干关键点收集信息并分析这些信息检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。能在不影响网络性能的情况下对网络进行监测从而提供对内部攻击、外部攻击和误操作的实时保护这些都通过它执行以下任务来实现监视、分析用户及系统的活动系统构造和弱点的审计识别反映已知攻击的活动模式并向相关人员报警异常行为模式的统计分析评估重要系统和数据文件的完整性操作系统的审计跟踪管理并识别用户违反安全策略的行为2、IDS系统模型的四个部分数据收集器检测器知识库控制器3、IDS的任务信息收集信息分析模式匹配与已知网络入侵数据库比较误报率低但只能发现已知攻击统计分析观察值与正常值比较、完整性分析检查某个文件是否被修改安全响应主动响应系统本身自动执行采取终止连接修正系统环境被动响应发出告警信息和通知4、IDS的评价标准性能检测功能测试用户可用性测试二、入侵检测原理及主要方法IDS通常使用两种基本的分析方法来分析事件、检测入侵行为即异常检测Anomaly Detection和误用检测Misuse Detection1、异常检测假定所有入侵行为都是与正常行为不同的如果建立系统正常行为轨迹那么理论上可以通过统计那些不同于我们已建立的特征文件的所有系统状态的数量来识别入侵企图把所有与正常轨迹不同的系统状态视为可疑企图。2、误用检测基于知识的检测技术假定所有入侵行为和手段及其变种都能够表达为一种模式或特征那么所有已知的入侵方法都可以用匹配方法发现。因为很大一部分的入侵是利用了系统的脆弱性通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。误用检测系统的关键问题是如何从已知入侵中提取金和编写特征使得其能够覆盖该入侵的所有可能的变种而同时不会匹配到非法入侵活动把真正入侵与正常行为区分开来三、IDS的结构与分类1、IDS的功能IDS至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。2、IDS的分类按照数据来源分类①、基于网络的入侵检测系统NIDS数据来自于网络的数据流。优缺点侦测速度快不容易受到攻击对主机资源消耗少//来自服务器本身的攻击不经过网络误报率高关键技术蜜罐技术工作原理将入侵检测系统的产品放在比较重要的网段如果数据包与产品内置的规则吻合就发出警报甚至直接切断连接②、基于主机的入侵检测系统HIDS数据来自于审计记录和系统日志。优缺点不同操作系统捕获应用层入侵误报少//依赖与主机及其子系统实时性差工作原理扫描操作系统和应用程序日志文件查看敏感文件是否被篡改检验进出主机的网络传输流发现攻击。监视用户和访问文件的活动监视主要系统文件和可执行文件的改变监视只有管理员才能实施的异常行为③、分布式入侵检测系统DIDS数据来自于系统审计记录和网络的数据流。克服了单一HIDS、NIDS的不足。HIDS常安装于被保护的主机上而NIDS常安装于网络入口处按照入侵检测策略分类①、滥用检测优缺点只收集相关数据集合减少系统负担//需要不断升级原理将收集到的信息与已知网络入侵和数据库比对②、异常检测优缺点可检测到未知的入侵和更复杂的入侵//误报漏报率高且不适用于用户正常行为的突然改变原理统计正常使用的测量属性若观察值超过正常范围则认为有入侵发生③、完整性分析优缺点只要攻击导致某个文件的改变就可以被发现//一般以批处理方式不容易实时响应。原理关注某个文件是否被修改3、DIDS构件数据采集构件、通信传输构件、入侵检测分析构件、应急处理构件、用户管理构件4、IDS控制台控制台的设计重点是日志检索探测器管理规则管理日志报表用户管理5、蜜罐技术现代的IDS采用了蜜罐Honeypot技术的新思想。蜜罐是一个吸引潜在攻击者的陷阱它的作用是把潜在入侵者的注意力从关键系统移开收集入侵者的动作信息设法让攻击者停留一段时间使管理员能检测到它并采取相应的措施。潜在入侵者的信息可以通过检查蜜罐日志来获得四、IDS的发展方向宽带高速实时检测技术大规模分布式的检测技术数据挖掘技术更先进的检测算法入侵响应技术最后从时代发展的角度看网络安全的知识是学不完的而且以后要学的会更多同学们要摆正心态既然选择入门网络安全就不能仅仅只是入门程度而已能力越强机会才越多。因为入门学习阶段知识点比较杂所以我讲得比较笼统大家如果有不懂的地方可以找我咨询我保证知无不言言无不尽需要相关资料也可以找我要我的网盘里一大堆资料都在吃灰呢。干货主要有①1000CTF历届题库主流和经典的应该都有了②CTF技术文档最全中文版③项目源码四五十个有趣且经典的练手项目及源码④ CTF大赛、web安全、渗透测试方面的视频适合小白学习⑤ 网络安全学习路线图告别不入流的学习⑥ CTF/渗透测试工具镜像文件大全⑦ 2023密码学/隐身术/PWN技术手册大全《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取/92a6ab8e26034045b97ae8ac36b2a650.png)以上资料如何领取文章来自网上侵权请联系博主