亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

IDS入侵檢測系統(tǒng)

一、IDS是什么

IDS(intrusion detection system)入侵檢測系統(tǒng)是一種對網(wǎng)絡傳輸進行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。它與其他網(wǎng)絡安全設備的不同之處便在于,IDS是一種積極主動的安全防護技術。在很多中大型企業(yè),政府機構,都會布有IDS。我們做一個比喻——假如防火墻是一幢大廈的門鎖,那么IDS就是這幢大廈里的監(jiān)視系統(tǒng)。一旦小偷進入了大廈,或內(nèi)部人員有越界行為,只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

專業(yè)上講IDS就是依照一定的安全策略,對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果,以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。與防火墻不同的是,IDS入侵檢測系統(tǒng)是一個旁路監(jiān)聽設備,沒有也不需要跨接在任何鏈路上,無須網(wǎng)絡流量流經(jīng)它便可以工作。因此,對IDS的部署的唯一要求就是:IDS應當掛接在所有所關注流量都必須流經(jīng)的鏈路上。

IDS的接入方式:并行接入(并聯(lián))
IDS在交換式網(wǎng)絡中的位置一般選擇為:盡可能靠近攻擊源,盡可能靠近受保護資源。
這些位置通常是:

  • 服務器區(qū)域的交換機上
  • 邊界路由器的相鄰交換機上
  • 重點保護網(wǎng)段的局域網(wǎng)交換機上

二、入侵檢測系統(tǒng)的作用和必然性

必然性:

  • 網(wǎng)絡安全本身的復雜性,被動式的防御方式顯得力不從心
  • 有關防火墻:網(wǎng)絡邊界的設備;自身可以被攻破;對某些攻擊保護很弱;并非所有威脅均來自防火墻外部
  • 入侵很容易:入侵教程隨處可見;各種工具唾手可得

作用:

  • 防火墻的重要補充
  • 構建網(wǎng)絡安全防御體系重要環(huán)節(jié)
  • 克服傳統(tǒng)防御機制的限制

三、入侵檢測系統(tǒng)功能

  • 監(jiān)測并分析用戶和系統(tǒng)的活動
  • 核查系統(tǒng)配置和漏洞
  • 對操作系統(tǒng)進行日志管理,并識別違反安全策略的用戶活動
  • 針對已發(fā)現(xiàn)的攻擊行為作出適當?shù)姆磻?,如告警、中止進程等

四、入侵檢測系統(tǒng)的分類

按入侵檢測形態(tài)

  • 硬件入侵檢測
  • 軟件入侵檢測

按目標系統(tǒng)的類型

  • 網(wǎng)絡入侵檢測
  • 主機入侵檢測
  • 混合型

按系統(tǒng)結構

  • 集中式
  • 分布式

五、入侵檢測系統(tǒng)的架構

  • 事件產(chǎn)生器:它的目的是從整個計算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件。
  • 事件分析器:分析數(shù)據(jù),發(fā)現(xiàn)危險、異常事件,通知響應單元
  • 響應單元:對分析結果作出反應
  • 事件數(shù)據(jù)庫:存放各種中間和最終數(shù)據(jù)

六、入侵檢測工作過程

七、入侵檢測性能關鍵參數(shù)

  • 誤報(false positive):實際無害的事件卻被IDS檢測為攻擊事件。
  • 漏報(false negative):一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。

八、入侵檢測技術

1、誤用檢測技術
基于模式匹配原理。收集非正常操作的行為特征,建立相關的特征庫,當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認為這種行為是入侵。
前提:所有的入侵行為都有可被檢測到的特征。
指標:誤報低、漏報高。
攻擊特征庫:當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認為這種行為是入侵。
特點:采用模式匹配,誤用模式能明顯降低誤報率,但漏報率隨之增加。攻擊特征的細微變化,會使得誤用檢測無能為力。

  • 建立入侵行為模型(攻擊特征)
  • 假設可以識別和表示所有可能的特征
  • 基于系統(tǒng)和基于用戶的誤用

優(yōu)點

  • 準確率高
  • 算法簡單

關鍵問題

  • 要識別所有的攻擊特征,就要建立完備的特征庫
  • 特征庫要不斷更新
  • 無法檢測新的入侵

2、異常檢測技術
基于統(tǒng)計分析原理。首先總結正常操作應該具有的特征(用戶輪廓),試圖用定量的方式加以描述,當用戶活動與正常行為有重大偏離時即被認為是入侵。
前提:入侵是異?;顒拥淖蛹V笜耍郝﹫舐实?,誤報率高。
用戶輪廓(Profile):通常定義為各種行為參數(shù)及其閥值的集合,用于描述正常行為范圍。
特點:異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率;不需要對每種入侵行為進行定義,因此能有效檢測未知的入侵;系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化,但隨著檢測模型的逐步精確,異常檢測會消耗更多的系統(tǒng)資源

  • 設定“正?!钡男袨槟J?
  • 假設所有的入侵行為是異常的
  • 基于系統(tǒng)和基于用戶的異常

優(yōu)點

  • 可檢測未知攻擊
  • 自適應、自學習能力

關鍵問題

  • “正?!毙袨樘卣鞯倪x擇
  • 統(tǒng)計算法、統(tǒng)計點的選擇

九、入侵響應技術

主動響應: 入侵檢測系統(tǒng)在檢測到入侵后能夠阻斷攻擊、影響進而改變攻擊的進程。

形式:

  • 由用戶驅動
  • 系統(tǒng)本身自動執(zhí)行

基本手段:

  • 對入侵者采取反擊行動(嚴厲方式;溫和方式;介于嚴厲和溫和之間的方式)
  • 修正系統(tǒng)環(huán)境
  • 收集額外信息

被動響應: 入侵檢測系統(tǒng)僅僅簡單地報告和記錄所檢測出的問題。

形式:只向用戶提供信息而依靠用戶去采取下一步行動的響應。

基本手段:

  • 告警和通知
  • SNMP(簡單網(wǎng)絡管理協(xié)議),結合網(wǎng)絡管理工具使用。

十、IDS的部署

  • 基于網(wǎng)絡的IDS
    在這里插入圖片描述
  • 基于主機的IDS
    在這里插入圖片描述

十一、入侵檢測體系結構(主機入侵檢測、網(wǎng)絡入侵檢測和分布式入侵檢測的特點、優(yōu)缺點)

[ HIDS和NIDS的區(qū)別]

  • 主機入侵檢測(HIDS)

    特點:對針對主機或服務器系統(tǒng)的入侵行為進行檢測和響應。
    主要優(yōu)點:

    • 性價比高
    • 更加細膩
    • 誤報率較低
    • 適用于加密和交換的環(huán)境
    • 對網(wǎng)絡流量不敏感
    • 確定攻擊是否成功

    局限性:

    • 它依賴于主機固有的日志與監(jiān)視能力,而主機審計信息存在弱點:易受攻擊,入侵者可設法逃避審計
    • IDS的運行或多或少影響主機的性能
    • HIDS只能對主機的特定用戶、應用程序執(zhí)行動作和日志進行檢測,所能檢測到的攻擊類型受到限制
    • 全面部署HIDS代價較大
  • 網(wǎng)絡入侵檢測(NIDS)

    特點:利用工作在混雜模式下的網(wǎng)卡來實時監(jiān)聽整個網(wǎng)段上的通信業(yè)務。
    主要優(yōu)點:

    • 隱蔽性好
    • 實時檢測和響應
    • 攻擊者不易轉移證據(jù)
    • 不影響業(yè)務系統(tǒng)
    • 能夠檢測未成功的攻擊企圖

    局限性:

    • 只檢測直接連接網(wǎng)段的通信,不能檢測在不同網(wǎng)段的網(wǎng)絡包
    • 交換以太網(wǎng)環(huán)境中會出現(xiàn)檢測范圍局限
    • 很難實現(xiàn)一些復雜的、需要大量計算與分析時間的攻擊檢測
    • 處理加密的會話過程比較困難
  • 分布式入侵檢測(DIDS)

    一般由多個協(xié)同工作的部件組成,分布在網(wǎng)絡的各個部分,完成相應的功能,分別進行數(shù)據(jù)采集、數(shù)據(jù)分析等。通過中心的控制部件進行數(shù)據(jù)匯總、分析、對入侵行為進行響應。

  • 網(wǎng)絡入侵和主機入侵對比圖:

    項目 HIDS NIDS
    誤報 一定量
    漏報 與技術水平相關 與數(shù)據(jù)處理能力有關(不可避免)
    系統(tǒng)部署與維護 與網(wǎng)絡拓撲無關 與網(wǎng)絡拓撲相關
    檢測規(guī)則 少量 大量
    檢測特征 事件與信號分析 特征代碼分析
    安全策略 基本安全策略(點策略) 運行安全策略(線策略)
    安全局限 到達主機的所有事件 傳輸中的非加密、非保密信息
    安全隱患 違規(guī)事件 攻擊方法或手段

九、入侵檢測系統(tǒng)的局限性

  • 對用戶知識要求較高,配置、操作和管理使用較為復雜
  • 網(wǎng)絡發(fā)展迅速,對入侵檢測系統(tǒng)的處理性能要求越來越高,現(xiàn)有技術難以滿足實際需要
  • 高虛警率,用戶處理的負擔重
  • 由于警告信息記錄的不完整,許多警告信息可能無法與入侵行為相關聯(lián),難以得到有用的結果
  • 在應對對自身的攻擊時,對其他數(shù)據(jù)的檢測也可能會被抑制或受到影響

十、開源入侵檢測系統(tǒng)


IDS HIDS/NIDS Unix Linux Windows MacOS 備注
1 Snort NIDS Yes Yes Yes No 思科創(chuàng)建
2 OSSEC HIDS Yes Yes Yes Yes
3 Suricata NIDS Yes Yes Yes Yes Snort的替代品
4 Bro NIDS Yes Yes No Yes
5 Sagan Both Yes Yes No Yes OSSEC的替代品
6 Security Onion Both No Yes No No
7 AIDE HIDS Yes Yes No Yes
8 Open WIPS-NG NIDS No Yes No No
9 Samhain HIDS Yes Yes No Yes
10 Fail2Ban HIDS Yes Yes No Yes

服務熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡公眾號

微信公眾號