Autor:残风
入侵检测(Intrusion Detection):通过从计算机网络或计算机系统关键点收集信息并进行分析,从中发现网络或系统中是否违反安全策略的性能更为和被攻击的迹象。
入侵检测系统(IDS):入侵检测是软件和硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。
入侵检测的内容:试图闯入,成功闯入,冒充其他用户,违反安全策略,合法用户的泄漏,独占资源以及恶意使用。
入侵检测系统的作用
l 实用检测
实时地监视,分析网络中所有的数据报文
发现并实时处理所捕获的数据报文
l 安全审计
对系统记录的网络事件进行统计分析
发现异常现象
得出系统的安全状态,找出所需证据
l 主动响应
主动切断连接或与防火墙联动,调用其他程序处理
入侵检测的分类
根据所采用的技术分为:
1) 异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。
2) 特征检测:特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
根据所检测的对象分为:
1) 基于主机的入侵检测系统 HIDS
2) 基于网络的入侵检测系统 NIDS
根据系统的工作方式分为:
1) 离线检测系统
2) 在线检测系统 ----> IPS
信息收集
第一步是信息收集,包括系统,网络,数据及用户活动的状态和行为。需要在系统中的不同关键点(网段和主机)收集信息,这样做的理由就是从一个来源的信息有可能看不出疑点,但从几个原来的信息的不一致性却是可疑行为或入侵的做好标识。
1. 系统和网络日志文件
2. 目录和文件中的不期望的改变
3. 程序执行中的不期望行为
4. 物理形式的入侵信息
信息分析
对收集到的上述信息,通过三种手段进行分析:
模式匹配:用于实时的入侵检测
统计分析:用于实时的入侵检测
完整性分析:用于时候分析
基于规则入侵检测
l 对新的入侵方法无能为力
l 难点在于如何设计模式技能够表达入侵现象又不会将正常的活动包含进来
l 准确率较高
基于异常情况检测
l Anomaly Detection
l 假设入侵者活动异常于正常主体的活动
l 制定主体正常活动的“活动阀值”
l 检测到活动与“活动阀值”相比较
— 是否违反统计规律
l 难题在于如何建立“活动阀值”以及如何设计统计算法
入侵检测中的统计模型
l 操作模型
l 方差
l 多元模型
l 马尔可夫过程模型
l 时间序列分析
IDS存在问题
l NIDS具有网络局限性
l NIDS检测方法都有一定的局限性
l NIDS不能处理加密后的数据
l NIDS存在着资源和处理恩那个的局限性
l NIDS受内存和硬盘的限制
解决方案:HIDS与NIDSHIDS相结合;重要的的服务器上装HIDS,剩余的部分装NIDS。
