网络安全之入侵检测系统

网络安全之入侵检测系统一 入侵检测定义入侵指一系列试图破坏信息资源机密性、完整性和可用性的行为。对信息系统的非授权访问及或未经许可在信息系统中进行操作。入侵检测是通过从计算机网络系统中的若干关键节点收集信息并分析这些信息监控网络中是否有违反安全策略的行为或者是否存在入侵行为是对指向计算和网络资源的恶意行为的识别和响应过程。入侵检测系统IDS入侵检测系统通过监视受保护系统的状态和活动采用异常检测或滥用检测的方式发现非授权的或恶意的系统及网络行为为防范入侵行为提供有效的手段是一个完备的网络安全体系的重要组成部分。入侵检测的软件与硬件的组合是防火墙的合理补充是防火墙之后的第二道安全闸门。入侵检测的内容二 典型的IDS技术IDS起源与发展审计技术产生、记录并检查按时间顺序排列的系统事件记录的过程通常用审计日志的形式记录。审计的目标确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用入侵检测流程信息收集、信息分析、结果处理信息收集信息分析模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较从而发现违背安全策略的行为。统计分析首先给系统对象如用户、文件、目录和设备等创建一个统计描述统计正常使用时的一些测量属性如访问次数、操作失败次数和延时等。测量属性的平均值将被用来与网络、系统的行为进行比较任何观察值在正常值范围之外时就认为有入侵发生。完整性分析往往用于事后分析完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性它在发现被更改的、被安装木马的应用程序方面特别有效。事件响应结果处理三 入侵检测系统分类基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统基于主机的入侵检测系统Host-based IDSHIDS基于主机的入侵检测系统通常被安装在被保护的主机上对该主机的网络实时连接以及系统审计日志进行分析和检查当发现可疑行为和安全违规事件时系统就会向管理员报警以便采取措施。这些受保护的主机可以是Web服务器、邮件服务器、DNS服务器等关键主机设备。主机的数据源操作系统事件日志、应用程序日志系统日志、关系数据库、Web服务器。检测内容系统调用、端口调用、系统日志、安全审记、应用日志。HIDS的优点检测精度高。HIDS针对用户和系统活动进行检测,更适用于检测内部用户攻击或越权行为。不受加密和交换设备影响。HIDS只关注主机本身发生的事件并不关心主机之外的网络事件所以检测性能不受数据加密、隧道和交换设备影响。不受网络流量影响。 HIDS并不采集网络数据包不会因为网络流量增加而丢失对系统行为的监视故其检测性能与网络流量无关。HIDS的缺点HIDS安装在需要保护的主机上必然会占用主机系统资源额外负载将降低应用系统的效率。HIDS完全依赖操作系统固有的审计机制所以必须与操作系统紧密集成导致平台的可移植性差。HIDS本身的健壮性也受到主机操作系统安全性的限制。HIDS只能检测针对本机的攻击而不能检测基于网络协议的攻击。基于网络的入侵检测系统NIDS安装在需要保护的网段中实时监视网段中传输的各种数据包并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件入侵检测系统就会发出警报甚至切断网络连接。网络监听在一个共享式网络可以听取所有的流量是一把双刃剑。管理员可以用来监听网络的流量情况。开发网络应用的程序员可以监视程序的网络情况。黑客可以用来刺探网络情报。NIDS的优点检测与响应速度快。NIDS能够在成功入侵之前发现攻击和可疑意图在攻击目标遭受破坏之前即可执行快速响应中止攻击过程。入侵监视范围大。由于每个网络传感器能够采集共享网段内的所有数据包一个网络传感器就可以保护一个网段。因此只在网络关键路径上安装网络传感器就可以监视整个网络通信。入侵取证可靠。NIDS通过捕获数据包收集入侵证据攻击者无法转移证据。能够检测协议漏洞攻击。许多攻击程序是基于网络协议漏洞编写的诸如同步洪流SYN flood、Smurf攻击和泪滴攻击teardrop等只有通过查看数据包头或有效负载才能识别。分布式入侵检测系统DIDS网络系统结构的复杂化和大型化使得系统的弱点或漏洞分散在网络中的各个主机上这些弱点有可能被入侵者用来攻击网络而仅依靠一个主机或网络的入侵检测系统很难发现入侵行为。入侵行为不再是单一的行为而是表现出相互协作入侵的特点例如分布式拒绝服务攻击。入侵检测所依靠的数据来源分散化使得收集原始的检测数据变得比较困难。分布式入侵检测系统DIDS的目标是既能检测网络入侵行为又能检测主机的入侵行为。检测器的位置基于网络的技术面临的问题在某些采用交换技术的网络环境中交换机制使得网络报文不能在子网内任意广播只能在设定的虚网VLAN内广播这就使得进行网络监听的主机只能提取到本虚网内的数据监视范围大为减少监视的能力也受到削弱。四 入侵检测方法滥用检测Misuse Detection滥用检测也被称为误用检测或者基于特征的检测。这种方法首先直接对入侵行为进行特征化描述建立某种或某类入侵特征行为的模式如果发现当前行为与某个入侵模式一致就表示发生了这种入侵。滥用检测特点异常检测Anomaly Detection基本思想任何人的正常行为都是有一定规律的并且可以通过分析这些行为产生的日志信息假定日志信息足够完全总结出一些规律而入侵和滥用行为则通常与正常行为会有比较大的差异通过检查出这些差异就可以检测出入侵。主要方法为正常行为建立一个规则集称为正常行为模式也称为正常轮廓normal profile也被称为“用户轮廓”当用户活动和正常轮廓有较大偏离的时候认为异常或入侵行为。这样能够检测出非法的入侵行为甚至是通过未知攻击方法进行的入侵行为此外不属于入侵的异常用户行为滥用自己的权限也能被检测到。异常检测特点异常检测使用的一些方法统计异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于模式预测异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于机器学习异常检测基于数据挖掘异常检测两种方式比较入侵检测的发展方向工业界主要的研究内容是如何通过优化检测系统的算法来提高入侵检测系统的综合性能与处理速度以适应千兆网络的需求。学术界主要通过引入各种智能计算方法使入侵检测技术向智能化方向发展。人工神经网络技术人工免疫技术数据挖掘技术入侵检测系统的局限性误报和漏报的矛盾隐私和安全的矛盾被动分析与主动发现的矛盾海量信息与分析代价的矛盾功能性和可管理性的矛盾单一产品与复杂网络应用的矛盾五 网络入侵检测系统产品Snort是最流行的免费NIDS。Snort是基于滥用/异常检测的IDS使用规则的定义来检查网络中的问题数据包。Snort由以下几个部分组成数据包嗅探器、预处理器、检测引擎、报警输出模块。RealSecure1996年 RealSecure首先被作为一种传统的基于传感器的网络入侵检测系统来开发1998年成为一种混合入侵检测系统。正在努力提供一种混合的OS日志及网络分组性能设计为放置在协议栈的IP层之下和IP层之上。多种响应方式报警输出模块。RealSecure1996年 RealSecure首先被作为一种传统的基于传感器的网络入侵检测系统来开发1998年成为一种混合入侵检测系统。正在努力提供一种混合的OS日志及网络分组性能设计为放置在协议栈的IP层之下和IP层之上。多种响应方式Network ICE《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取045b97ae8ac36b2a650.png)以上资料如何领取文章来自网上侵权请联系博主