网络安全基础篇之<七>
2013-05-29 22:39
323 查看
******入侵检测技术的原理与应用
***入侵检测的原理(IDS):
**入侵检测是用于检测任何损害或者企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。所谓入侵检测系统,就是执行入侵检测任务的硬件或软件产品。
**入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法,其应用前提是:入侵行为和合法行为是可区分的,也即可以通过提取行为的模式特征来判断该行为的性质。
**入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据,二是如何根据特征数据,高效并准确地判定行为的性质。
****IDS通常执行以下任务:1.监视分析用户及系统活动。2.系统构造和弱点的审计。3.识别反应已知进攻的活动模式并报警。4.异常行为模式的统计分析。5.评估重要系统和数据文件的完整性。6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
****入侵检测系统术语:1.警报。2.异常。3.网络入侵特征数据库。4.构造数据包。5.自动响应。6.漏报。7.误报。8.防火墙。9.蜜罐honeyd。10.安全策略。11.感应器。
****入侵检测的系统结构组成:根据任务属性的不同,入侵检测系统的功能结构可分为两个部分:中心检测平台和代理服务器。
****入侵检测系统的分类:1.基于数据源的分类:基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。2.基于检测理论的分类:异常检测和误用检测。3.基于检测时效的分类:在线检测和离线检测。
**基于主机的IDS:
**基于网络的IDS:
***两种入侵检测系统的比较:
***分布式入侵检测的优势和技术难点:分布式入侵检测的优势:
①检测大范围的攻击行为;②提高检测的准确度;③提高检测效率;④协调响应措施。分布式入侵检测的技术难点
①事件产生及存储;②状态空间管理及规则复杂度;③知识库管理;④推理技术。
***入侵检测系统的主要标准的名称
*①IETF/IDWG。IDWG提出了三项建议草案:入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP)及隧道轮廓*(Tunnel Profile);
*②CIDF。CIDF的工作集中体现在四个方面:IDS的体系结构、通信机制、描述语言和应用编程接口API。
***入侵检测系统的分析模型:分析是入侵检测的核心功能。入侵检测分析处理过程可分为三个阶段:
①第一阶段主要进行分析引擎的构造,分析引擎是执行预处理、分类和后处理的核心功能;
②第二阶段,入侵分析主要进行现场实际事件流的分析,在这个阶段分析器通过分析现场的实际数据,识别出入侵及其他重要的活动;
③第三阶段,与反馈和提炼过程相联系的功能是分析引擎的维护及其他如规划集提炼等功能。误用检测在这个阶段的活动主要体现在基于新攻击信息对特征数据库进行更新,与此同时,一些误用检测引擎还对系统进行优化工作,如定期删除无用记录等。对于异常检测,历史统计特征轮廓的定时更新是反馈和提炼阶段的主要工作。
***CIDF体系结构组成:CIDF指公共入侵检测框架。CIDF在IDES和NIDES的基础上提出了一个通用模型,将入侵检测系统分为四个基本组件,事件产生器、事件分析器、响应单元和事件数据库。在该模型中,事件产生器、事件分析器和响应单元通常以应用程序的形式出现,而事件数据库则是以文件或数据流的形式。CIDF将IDS需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志或其他途径得到的信息。以上四个组件只是逻辑实体,一个组件可能是某台计算机上的一个进程甚至线程,也可能是多个计算机上的多个进程,它们以GIDO(统一入侵检测对象)格式进行数据交换。
***误用检测和异常检测的基本原理
**
异常检测
**异常检测通常用于检测系统内容错误,当系统内容错误时将发出执行异常事件。具体使用方法时,在“检测执行内容”事件中,设置所要执行的命令。然后执行其方法‘检测执行’。如果发现命令错误时,就发出执行异常事件。
注意:这里的错误,不是指搭建错误,而是系统内部错误。
异常检测的经典应用以客户服务器方式执行提交时,如果服务端出现错误,造成没有提交成功,这时就要发出系统异常事件,使数据正常处理,数据表数据滚回。如向银行系统的服务器更改存钱信息,当服务器错误没有接收到新的数据,这时要发出异常事件使数据恢复为原来的数据,表示没存上。
在常规应用中,假设一段代码必须按正确的时候进行,错了的时候发出异常事件.
误用检测
**按照预定模式搜寻事件数据。最适用于对已知模式的可靠检验。执行误用检测,主要依赖于可靠的用户活动记录和分析事件的方法。
***信号分析:
**1.模式匹配2.统计分析3.完整性分析4.
***snort 轻量级 网络入侵检测软件。
**
**
**
***入侵检测的原理(IDS):
**入侵检测是用于检测任何损害或者企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测或异常检测的方式,发现非授权或恶意的系统及网络行为,为防范入侵行为提供有效的手段。所谓入侵检测系统,就是执行入侵检测任务的硬件或软件产品。
**入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法,其应用前提是:入侵行为和合法行为是可区分的,也即可以通过提取行为的模式特征来判断该行为的性质。
**入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据,二是如何根据特征数据,高效并准确地判定行为的性质。
****IDS通常执行以下任务:1.监视分析用户及系统活动。2.系统构造和弱点的审计。3.识别反应已知进攻的活动模式并报警。4.异常行为模式的统计分析。5.评估重要系统和数据文件的完整性。6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
****入侵检测系统术语:1.警报。2.异常。3.网络入侵特征数据库。4.构造数据包。5.自动响应。6.漏报。7.误报。8.防火墙。9.蜜罐honeyd。10.安全策略。11.感应器。
****入侵检测的系统结构组成:根据任务属性的不同,入侵检测系统的功能结构可分为两个部分:中心检测平台和代理服务器。
****入侵检测系统的分类:1.基于数据源的分类:基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。2.基于检测理论的分类:异常检测和误用检测。3.基于检测时效的分类:在线检测和离线检测。
**基于主机的IDS:
**基于网络的IDS:
***两种入侵检测系统的比较:
***分布式入侵检测的优势和技术难点:分布式入侵检测的优势:
①检测大范围的攻击行为;②提高检测的准确度;③提高检测效率;④协调响应措施。分布式入侵检测的技术难点
①事件产生及存储;②状态空间管理及规则复杂度;③知识库管理;④推理技术。
***入侵检测系统的主要标准的名称
*①IETF/IDWG。IDWG提出了三项建议草案:入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP)及隧道轮廓*(Tunnel Profile);
*②CIDF。CIDF的工作集中体现在四个方面:IDS的体系结构、通信机制、描述语言和应用编程接口API。
***入侵检测系统的分析模型:分析是入侵检测的核心功能。入侵检测分析处理过程可分为三个阶段:
①第一阶段主要进行分析引擎的构造,分析引擎是执行预处理、分类和后处理的核心功能;
②第二阶段,入侵分析主要进行现场实际事件流的分析,在这个阶段分析器通过分析现场的实际数据,识别出入侵及其他重要的活动;
③第三阶段,与反馈和提炼过程相联系的功能是分析引擎的维护及其他如规划集提炼等功能。误用检测在这个阶段的活动主要体现在基于新攻击信息对特征数据库进行更新,与此同时,一些误用检测引擎还对系统进行优化工作,如定期删除无用记录等。对于异常检测,历史统计特征轮廓的定时更新是反馈和提炼阶段的主要工作。
***CIDF体系结构组成:CIDF指公共入侵检测框架。CIDF在IDES和NIDES的基础上提出了一个通用模型,将入侵检测系统分为四个基本组件,事件产生器、事件分析器、响应单元和事件数据库。在该模型中,事件产生器、事件分析器和响应单元通常以应用程序的形式出现,而事件数据库则是以文件或数据流的形式。CIDF将IDS需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志或其他途径得到的信息。以上四个组件只是逻辑实体,一个组件可能是某台计算机上的一个进程甚至线程,也可能是多个计算机上的多个进程,它们以GIDO(统一入侵检测对象)格式进行数据交换。
***误用检测和异常检测的基本原理
**
异常检测
**异常检测通常用于检测系统内容错误,当系统内容错误时将发出执行异常事件。具体使用方法时,在“检测执行内容”事件中,设置所要执行的命令。然后执行其方法‘检测执行’。如果发现命令错误时,就发出执行异常事件。
注意:这里的错误,不是指搭建错误,而是系统内部错误。
异常检测的经典应用以客户服务器方式执行提交时,如果服务端出现错误,造成没有提交成功,这时就要发出系统异常事件,使数据正常处理,数据表数据滚回。如向银行系统的服务器更改存钱信息,当服务器错误没有接收到新的数据,这时要发出异常事件使数据恢复为原来的数据,表示没存上。
在常规应用中,假设一段代码必须按正确的时候进行,错了的时候发出异常事件.
误用检测
**按照预定模式搜寻事件数据。最适用于对已知模式的可靠检验。执行误用检测,主要依赖于可靠的用户活动记录和分析事件的方法。
***信号分析:
**1.模式匹配2.统计分析3.完整性分析4.
***snort 轻量级 网络入侵检测软件。
**
**
**
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 网络安全基础篇之<六>
- 网络安全基础篇之<九>
- 网络安全基础篇之<十六>
- 网络安全基础篇之<五>
- 网络安全基础篇之<十四>
- 网络安全基础篇之<八>
- 网络安全基础篇之<十七>
- 网络安全基础篇之<十>
- 网络安全基础篇之<十一>
- 网络安全基础篇之<十三>
- 网络安全基础篇之<十五>
- 【Qt编程】基于Qt的词典开发系列<七>--调用网络API
- 网络安全基础之<十八>
- 网络安全基础之<二>
- 网络安全基础之<十二>
- 计算机网络安全基础之<一>
- 黑马程序员 java基础<七>--网络编程(1)
- 计算机网络安全基础之<三>