入侵检测系统,浅析几个著名的入侵检测系统
原文:http://www.cuntuba520.net/xiaozhishi/2347367.html
一 > 淺析幾個著名的入侵檢測系統
入侵檢測系統是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于,入侵檢測系統是一種積極主動的安全防護技術。
入侵檢測系統(IDS)檢查所有進入和發出的網絡活動,并可確認某種可疑模式,IDS利用這種模式能夠指明來自試圖進入(或破壞系統)的某人的網絡攻擊(或系統攻擊)。入侵檢測系統與防火墻不同,主要在于防火墻關注入侵是為了阻止其發生。防火墻限制網絡之間的訪問,目的在于防止入侵,但并不對來自網絡內部的攻擊發出警報信號。而IDS卻可以在入侵發生時,評估可疑的入侵并發出警告。而且IDS還可以觀察源自系統內部的攻擊。從這個意義上來講,IDS可能安全工作做得更全面。今天我們就看看下面這五個最著名的入侵檢測系統。
1.Snort:這是一個幾乎人人都喜愛的開源IDS,它采用靈活的基于規則的語言來描述通信,將簽名、協議和不正常行為的檢測方法結合起來。其更新速度極快,成為全球部署最為廣泛的入侵檢測技術,并成為防御技術的標準。通過協議分析、內容查找和各種各樣的預處理程序,Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、端口掃描和各種可疑行為。在這里要注意,用戶需要檢查免費的BASE來分析Snort的警告。
2.OSSEC HIDS:這一個基于主機的開源入侵檢測系統,它可以執行日志分析、完整性檢查、Windows注冊表監視、rootkit檢測、實時警告以及動態的適時響應。除了其IDS的功能之外,它通常還可以被用作一個SEM/SIM解決方案。因為其強大的日志分析引擎,互聯網供應商、大學和數據中心都樂意運行 OSSEC HIDS,以監視和分析其防火墻、IDS、Web服務器和身份驗證日志3.Fragroute/Fragrouter:是一個能夠逃避網絡入侵檢測的工具箱,這是一個自分段的路由程序,它能夠截獲、修改并重寫發往一臺特定主機的通信,可以實施多種攻擊,如插入、逃避、拒絕服務攻擊等。它擁有一套簡單的規則集,可以對發往某一臺特定主機的數據包延遲發送,或復制、丟棄、分段、重疊、打印、記錄、源路由跟蹤等。嚴格來講,這個工具是用于協助測試網絡入侵檢測系統的,也可以協助測試防火墻,基本的TCP/IP堆棧行為。可不要濫用這個軟件呵。
4.BASE:又稱基本的分析和安全引擎,BASE是一個基于PHP的分析引擎,它可以搜索、處理由各種各樣的IDS、防火墻、網絡監視工具所生成的安全事件數據。其特性包括一個查詢生成器并查找接口,這種接口能夠發現不同匹配模式的警告,還包括一個數據包查看器/解碼器,基于時間、簽名、協議、IP地址的統計圖表等。
5.Sguil:這是一款被稱為網絡安全專家監視網絡活動的控制臺工具,它可以用于網絡安全分析。其主要部件是一個直觀的GUI界面,可以從 Snort/barnyard提供實時的事件活動。還可借助于其它的部件,實現網絡安全監視活動和IDS警告的事件驅動分析。
通過以上內容的介紹,相信大家對入侵檢測系統已經有了一個大概的認識,科學技術還在不斷地進步,入侵檢測系統也會隨之不斷變革的。
二 > IDS入侵檢測系統搭建(linux)
Snort 它是一個多平臺的、實時流量分析的入侵檢測系統(www.cuntuba520.net)。Snort是一個基于libpcap的數據包嗅探器并可以作為一個輕量級的網絡入侵檢測系統。
snort有三種工作模式:
1、嗅探器
嗅探器模式:是從網絡上讀取數據包并作為連續不斷的流顯示在終端上。
2、數據包記錄器
數據包記錄器:是把數據包記錄到硬盤上。
3、網絡入侵檢測系統。
網路入侵檢測:它是可配置的(所以會相對是比較復雜的)。
工作原理:
是因為能夠對網絡上的數據包進行抓包,但區別于嗅探器的它能夠根據自定義規則來進行相應和處理。根據以下的規則有五種響應的機制。
Activation (報警并啟動另外一個動態規則鏈)
Dynamic (由其它的規則包調用)
Alert (報警)
Pass (忽略)
Log (不報警但記錄網絡流量)
Snort通過在網絡TCP/IP的5層結構的數據鏈路層進行抓取網絡數據包,抓包時需將網卡設置為混雜模式,根據操作系統的不同采用libpcap或winpcap函數從網絡中捕獲數據包;然后將捕獲的數據包送到包解碼器進行解碼。
Snort的運行:
主要是通過各插件協同工作才使其功能強大,所以在部署時選擇合適的數據庫,Web服務器,圖形處理程序軟件及版本也非常重要。
不足:
Snort之所以說他是輕量型就是說他的功能還不夠完善,比如與其它產品產生聯動等方面還有待改進;Snort由各功能插件協同工作,安裝復雜,各軟件插件有時會因版本等問題影響程序運行;Snort對所有流量的數據根據規則進行匹配,有時會產生很多合法程序的誤報。
入侵檢測系統:IDS
入侵防護系統:IPS
IDS是防護檢測、IPS是防護功能;
SessionWall :CA公司出品、圖形界面、可以流量和程序全面監控通過報警和阻塞規則進行相應。
RealSecure :ISS RealSecure是一種實時監控軟件,它包含控制臺、網絡引擎和系統代理三個部分組成。RealSecure的模板包括安全事件模板、連接事件模板和用戶定義事件模板。
IDS從本質上可以分成兩類:網絡型IDS(NIDS)和主機型IDS(HIDS)這兩種IDS。
基于主機的叫HIDS (軟件)snort(用于沒有被防火墻檢測出來的入侵)。需要安裝到被保護的主機、(可以查看流量、日志、用戶行為和一些文件)
基于網絡的叫NIDS (硬件)神州數碼 H3C 都有(硬件產品),安裝需要和交換機來結合的;
工作原理:
IDS監聽端口:(收集它所關心的報文
特征比較:IDS 提取的流量統計特征值、與特征庫比對;
報警:匹配度較高的報文劉來那個將被認為是進攻,IDS將報警。
【信息的收集 --- 分析– 檢測是否報警】
基于主機的應用檢測;也只裝在重要的主機上面。
基于網絡的入侵檢測:就要部署在網絡設備上。
IDS的部署位置(snort):
( 如果沒有裝IDS 的只能依靠路由的基本設置來保護內網 )
在linux下的應用:(示例)
平臺:
Linux5.4
軟件包:
adodb514.zip
(一種 PHP 存取數據庫的中間函式組件、對php優化的一個數據庫支持;)
base-1.4.5.tar.gz
(是一個用來查看Snort IDS告警的Web應用程序)
snort-2.8.0.1-1.RH5.i386.rpm
(入侵檢測系統)
snort-mysql-2.8.0.1-1.RH5.i386.rpm
(snort與數據庫結合器件)
snortrules-snapshot-2.8.tar.gz
(入侵檢測規則庫)
安裝:
rpm -ivh snort-2.8.0.1-1.RH5.i386.rpm
安裝完成就可以直接來用行了;
在終端可直接執行指令:snort –v
如果在外網 ping 的時候、在這里就會有記錄顯示;(暫停 ctrl+Z )
把這個進程殺掉:pkill -9 snort
然后還可以再使用jobs 查看一下是否被殺掉;
還可以使用 snort -vde (但是并沒有MAC地址)
信息記錄:snort -vde l ./ &/dev/null & 就可以記錄了、
入侵規則庫的應用:
cd /etc/snort/rules/ (在這文件夾下)
然后進行規則導入、因為是一個壓縮包、直接解壓到/etc/snort/目錄下就可以了:
tar -zxvf snortrules-snapshot-2.8.tar.gz –C /etc/snort/
導入之后在來到 cd /setc/snort/rules/ 目錄下查看;就會有很多規則了。
(軟件的版本過舊相對的入侵規則庫就很略不同 資源也會顯的老舊 盡量隨時更新)
規則的下一部分是協議:
Snort當前分析可疑包的ip協議有四種:TCP 、UDP 、ICMP 、IP ;
(也許不久發展還會有 ARP、IGRP、GRE、OSPF、RIP、IPX )
如果檢測的文件希望記錄到數據里面;所以這個入侵檢測系統搭建需要安裝的軟件還是比較多的:
mysql、apache、php、libpcap(linux下網絡數據包捕獲函數包)、adodb(可以對數據庫優化)、snort(主程序)、base(是基本的分析和安全引擎)、-acid以項目的代碼為基礎、提供web的前端。
因為安裝這些東西也盡可能是使用yum來裝:
編輯本地yum:
vim /etc/yum.repos.d/rhel-debuginfo.repo
[rhel-server]
name=Red Haterprise Linux server
baseurl=file:///mnt/cdrom/
enabled=1
gpgcheck=1
gpgkey=file:///mnt/cdrom/RPM-GPG-KEY-redhat-relase
掛載光盤進行yum安裝:
mkdir /mnt/cdrom
mount /dev/cdrom /mnt/cdrom/
yum 安裝:
擴展:ids入侵檢測系統 / ids入侵檢測系統 品牌 / linux入侵檢測系統
?
安裝完成開啟各種服務,然后chkconfig設置:
chkconfig httpd on
對于mysql需要設置口令(默認安裝時是root用戶是沒有口令的)
mysqladmin–u root -p password ‘123’
再進一步在數據添加snort的數據庫以及表格:
(因為我們期望檢測的信息放到mysql數據庫里面去、放到什么數據庫、還要在進一步的設置)
連接到數據庫: mysql -u root -p
create database snort;
(新建snort數據庫)
use snort;
( 使用snort數據庫 )
show tables;
(在此進行添加表格、每見一個表格、都要添加一個表格的框架;但是呢這里可以直接導入、都是一些創建表格的字段之類的 )
導入表格:
chkconfig mysql on
(依然使用chkconfig設置)
然后還希望snort檢測的協議數據是需放置在數據庫里面的、因此還要安裝一個東東:
就是 snort-mysql-2.8.0.1-1.RH5.i386.rpm 包
( 一個snort與數據庫的連接器件 )
vim /etc/snort/snort.conf
更改一些量
更改完成之后可以再啟動snort、(可以做一些細致的命令、做一些詳細的截獲、掛載規則庫、信息輸出);然后可以看一下進程、是否已經啟動了;
或者也可以用jobs 進行查看是否正在運行著;
升級安裝 pear
( 即:PHP擴展與應用庫 )
pear install --force PEAR-1.8.1 (系統連接到了互聯網、直接就可以升級)
pear upgrade pear (然后再更新一次)
然后再安裝一些模塊;(圖形化界面的一些模塊)
安裝adodb
adodb514.zip ( 它是用來對php優化的一個數據庫支持 )
解壓先:unzip adodb514.zip
然后把它也移動到/var/www/html/adodb 這個目錄下。
mv adodb5 /var/www/html/adodb ( 便于還可以做名稱的更改 )
base安裝
tar -zxvf base-1.4.5.tar.gz -C/var/www/html/
為方便操作可以更改一下名稱:以后可以直接訪問物理目錄http://0.0.0.0/base
mv base-1.4.5/ base
然后再重新進入這個目錄、還需要拷貝一些文件。
然后在/var/www/html/ 更改里面有個 base_conf.php 的配置文件;
更改之前仍需要作下base目錄的權限設置:chmod o+w base/
就是這樣:
(其實這個可以在網頁之中直接進行設置、設置之后就形成了這個文件;通過物理訪問http://192.168.1.101/base/setup/index.php 在里直接設置 ;但是呢有的可能默認設置的日志幾倍太高、所以還需要編輯etc目錄下的php.ini更改一下 )
例如這樣提示:
然后就需要 vim /etc/php.ini
既然這樣更改了、就還需要把apache重啟而后重新進入:
一共有5部安裝;語言設置、adodb路徑:
然后設置一些數據庫的相關:
界面的管理設置用戶與口令:
接著也就進入了基本的分析與安全引擎:(創建base AG)
進入第5部:看到檢測的一些協議。
(當然這個沒數據 是因為沒運行 )
重新啟動、在做個Ping動作,新刷新一下網頁:
或者利用工具做個端口掃描測試:
以上就是linux環境下 搭建IDS入侵檢測系統簡要流程
擴展:ids入侵檢測系統 / ids入侵檢測系統 品牌 / linux入侵檢測系統
?
擴展:ids入侵檢測系統 / ids入侵檢測系統 品牌 / linux入侵檢測系統
三 > 入侵檢測系統
入侵檢測系統
1. 引言
1.1 背景
近年來,隨著信息和網絡技術的高速發展以及其它的一些利益的驅動,計算機和網絡基礎設施,特別是各種官方機構網站成為黑客攻擊的目標,近年來由于對電子商務的熱切需求,更加激化了各種入侵事件增長的趨勢。作為網絡安全防護工具“防火墻”的一種重要的補充措施,入侵檢測系統(Intrusion Detection System,簡稱 IDS)得到了迅猛的發展。 依賴防火墻建立網絡的組織往往是“外緊內松”,無法阻止內部人員所做的攻擊,對信息流的控制缺乏靈活性從外面看似非常安全,但內部缺乏必要的安全措施。據統計,全球80%以上的入侵來自于內部。由于性能的限制,防火墻通常不能提供實時的入侵檢測能力,對于企業內部人員所做的攻擊,防火墻形同虛設。 入侵檢測是對防火墻及其有益的補充,入侵檢測系統能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊。在入侵攻擊過程中,能減少入侵攻擊所造成的損失。在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統的知識,添加入知識庫內,增強系統的防范能力,避免系統再次受到入侵。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,大大提高了網絡的安全性。
1.2 背國內外研究現狀
入侵檢測技術國外的起步較早,有比較完善的技術和相關產品。如開放源代碼的snort,雖然它已經跟不上發展的腳步,但它也是各種商業IDS的參照系;NFR公司的NID等,都已相當的完善。雖然國內起步晚,但是也有相當的商業產品:天闐IDS、綠盟冰之眼等不錯的產品,不過國外有相當完善的技術基礎,國內在這方面相對較弱。
信息與計算科學系課程設計報告
2. 入侵檢測的概念和系統結構
2.1 入侵檢測的概念
入侵檢測是對發生在計算機系統或網絡中的事件進行監控及對入侵信號的分析過程。使監控和分析過程自動化的軟件或硬件產品稱為入侵檢測系統(Intrusion Detection System),簡稱IDS。一個完整的入侵檢測系統必須具有:經濟性、時效性、安全性、可擴展性的特點。
2.2 入侵檢測的系統結構
入侵檢測系統的基本結構構成CIDF(Common Intrusion Detection Frame,公共入侵檢測框架)提出了通用模型,將入侵檢測系統分為四個基本組件:事件產生器、事件分析器、響應單元和事件數據庫,見圖。
圖2-1公共入侵檢測框架(CIDF)的體系結構
(1) 事件產生器(Event generators) 事件產生器是入侵檢測系統中負責原始數據采集的部分,它對數據流、日志文件等進行追蹤,然后將收集到的原始數據轉換為事件,并向系統的其他部分提供此事件。
2
信息與計算科學系課程設計報告
(2) 事件分析器(Event analyzers) 事件分析器接收事件信息,然后對它們進行分析,判斷是否是入侵行為或異常現象,最后把判斷的結果轉換為警告信息。
(3) 事件數據庫(Response units ) 事件數據庫是存放各種中間和最終數據的地方。
(4) 響應單元(Response units ) 響應單元根據警告信息做出反應,如切斷連接、改變文本屬性等強烈的反應,也可能是簡單地報警。它是入侵檢測系統中的主動武器。
3. 入侵檢測系統的分類
通過對現有的入侵檢測系統和入侵檢測技術的研究,可以從以下幾個方面對入侵檢測系統進行分類
3.1 根據目標系統的類型分類
根據目標系統類型的不同可以將入侵檢測系統分為如下兩類。
(1) 基于主機(host-based)的入侵檢測系統
通常,基于主機的入侵檢測系統可以檢測系統、事件和操作系統下的安全記錄以及系統記錄。當文件發生變化時,入侵檢測系統將新的記錄條目與攻擊標記相比較,看他們是否匹配。如果匹配,系統就會向管理員報警,以采取措施。基于主機的入侵檢測系統如圖3-1。
圖3-1 基于主機的入侵檢測系統的基本結構
(2) 基于網絡(network-based)的入侵檢測系統
基于網絡的入侵檢測系統使用原始網絡數據包作為數據源。它通常利用一個運行
3
信息與計算科學系課程設計報告
在混雜模式下的網絡適配器來實時監視并分析網絡的所有通信業務。基于網絡的入侵檢測系統的基本結構如圖3-2。
圖3-2 基于主機的入侵檢測系統的基本結構
3.2 根據入侵檢測分析方法分類
根據入侵檢測分析方法的不同可以將入侵檢測系統分為如下兩類。
(1)誤用入侵檢測(特征檢測 signature-based)
誤用檢測是基于已知的系統缺陷和入侵模式,所以又稱為特征檢測。誤用檢測是對不正常的行為建模,這些不正常的行為是被記錄下來的確認的誤用和攻擊。通過對系統活動的分析,發現與被定義好的攻擊特征相匹配的事件或事件集合。該檢測方法可以有效地檢測到已知攻擊,檢測精度高,誤報少。但需要不斷更新攻擊的特征庫,系統靈活性和自適應性較差,漏報較多。商用IDS多采用該種檢測方法。
(2)異常入侵檢測(anomaly-based)
異常檢測是指能根據異常行為和使用計算機資源的情況檢測出入侵的方法。它試圖用定量的方式描述可以接受的行為特征,以區分非正常的、潛在的入侵行為。也就是,異常檢測是對用戶的正常行為建模,通過正常行為與用戶的行為進行比較,如果二者的偏差超過了規定閾值則認為該用戶的行為是異常的。異常檢測的誤報較多。目前,大多數的異常檢測技術還處于研究階段,基本沒有用于商業IDS中。
3.3 根據檢測系統各個模塊運行的分布方式分類
根據檢測系統各個模塊運行的分布方式的不同可以將入侵檢測系統分為如下兩類。
(1) 集中式入侵檢測系統
4
信息與計算科學系課程設計報告
集中式IDS有多個分布在不同主機上的審計程序,僅有一個中央入侵檢測服務器。審計程序將當地收集到的數據蹤跡發送給中央服務器進行分析處理。隨著服務器所承載的主機數量的增多,中央服務器進行分析處理的數量就會猛增,而且一旦服務器遭受攻擊,整個系統就會崩潰。
(2)分布式(協作式)入侵檢測系統
分布式IDS是將中央檢測服務器的任務分配給多個基于主機的IDS,這些IDS不分等級,各司其職,負責監控當地主機的某些活動。所以,其可伸縮性、安全性都等到了顯著的提高,并且與集中式IDS相比,分布式IDS對基于網絡的共享數據量的要求較低。但維護成本卻提高了很多,并且增加了所監控主機的工作負荷,如通信機制、審計開銷、蹤跡分析等。
3.4 其他的分類方法
(1) 根據入侵檢測系統分析的數據來源分類
入侵檢測系統分析的數據可以是:主機系統日志、原始的網絡數據包、應用程序的日志、防火墻報警日志以及其他入侵檢測系統的報警信息等。據此可將入侵檢測系統分為基于不同分析數據源的入侵檢測系統。
(2) 根據系統對入侵攻擊的響應方式分類
①主動的入侵檢測系統系統。 在檢測出入侵后,可自動地對目標系統中的漏洞采取修補、強制可疑用戶(可能的入侵者)退出以及關閉相關服務等對策和響應措施。
②被動的入侵檢測系統。檢測出對系統的入侵攻擊后只是產生報警信息通知系統安全管理員,至于之后的處理工作則由系統管理員來完成。
4. 入侵檢測系統的功能
4.1 入侵檢測系統的主要功能:
(1) 監視并分析用戶和系統的行為;
(2) 審計系統配置和漏洞;
(3) 評估敏感系統和數據的完整性;
(4) 識別攻擊行為、對異常行為進行統計;
5
信息與計算科學系課程設計報告
(5) 自動收集與系統相關的補丁;
(6) 審計、識別、跟蹤違反安全法規的行為;
(7) 使用誘騙服務器記錄黑客行為;
4.2 入侵檢測系統的功能結構
4.2.1 入侵檢測系統的工作模式
入侵檢測是防火墻的合理補充,幫助系統對付來自外部或內部的攻擊,擴展了系統管理員的安全管理能力(如安全審計、監視、攻擊識別及其響應),提高了信息安全基礎結構的完整性。
入侵檢測系統的主要工作就是從信息系統的若干關鍵點上收集信息,然后分析這些信息,用來得到網絡中有無違反安全策略的行為和遭到襲擊的跡象。
無論對于什么類型的入侵檢測系統,其工作模式都可以體現為以下步驟。下圖所示:
4.2.2 入侵檢測系統的功能結構
一個典型的入侵檢測系統從功能上可以分為3個組成部分:感應器(Sensor)、分析器(Analyzer)和管理器(Menager),如圖4-2所示:
圖 4-2入侵檢測系統的功能結構
4.2.2.1 信息收集模塊
感應器負責收集信息
6 圖4-1 工作模式
信息與計算科學系課程設計報告
(1) 收集的數據內容
主機和網絡日志文件;目錄和文件中不期望的改變;程序執行中的不期望行為;物理形式的入侵信息
(2) 入侵檢測系統的數據收集機制
基于主機的數據收集和基于網絡的數據收集;分布式與集中式數據收集機制;直接監控和間接監控;外部探測器和內部探測器
4.2.2.2 數據分析模塊
分析器從許多感應器接受信息,并對這些信息進行分析以決定是否有入侵行為發生,就是對從數據源提供的系統運行狀態和活動記錄進行同步、整理、組織、分類以及各種類型的細致分析,提取其中包含的系統活動特征或模式,用于對正常和異常行為的判斷
4.2.2.3 入侵響應模塊
管理器通常也被稱為用戶控制臺,它以一種可視的方式向用戶提供收集到的各種數據及相應的分析結果,用戶可以通過管理器對入侵檢測系統進行配置,設定各種系統的參數,從而對入侵行為進行檢測以及相應措施進行管理。
一個好的IDS應該讓用戶能夠裁剪定制其響應機制,以符合特定的需求環境。
(1) 主動響應
系統自動或以用戶設置的方式阻斷攻擊過程或以其他方式影響攻擊過程,通常可以選擇的措施有:針對入侵者采取的措施;修正系統;收集更詳細的信息。
(2) 被動響應
在被動響應系統中,系統只報告和記錄發生的事件。
5. 入侵檢測器的部署
對于入侵檢測系統來說,其類型不同,應用環境不同,部署方案也就會有所差別。
5.1在基于網絡的IDS中部署入侵檢測器
基于網絡的IDS主要檢測網絡數據報文,因此一般將檢測器部署在靠近防火墻的地方。具體可安排在下圖中的幾個位置:
7
信息與計算科學系課程設計報告
檢測器(3)(4) 檢測器
(1) 檢測器(2)(4)
圖5-1基于網絡的IDS中部署入侵檢測器
其中,檢測器可安放的位置: DMZ(DeMilitarized Zone,隔離區)也稱“非軍事化區”;內網主干(防火墻內側);外網入口(防火墻外側);在防火墻的內外都放置;關鍵子網
5.2在基于主機的IDS中部署入侵檢測器
基于主機的IDS通常是一個程序,部署在最重要、最需要保護的主機上用于保護關鍵主機或服務器。
6. 入侵檢測系統的發展方向及評估
6.1 入侵檢測系統
(1)入侵檢測系統的優點:
提高了信息系統安全體系其他部分的完整性;提高了系統的監察能力;可以跟 蹤用戶從進入到退出的所有活動或影響;能夠識別并報告數據文件的改動;可以發現系統配置的錯誤,并能在必要時予以改正;可以識別特定類型的攻擊,并進行報警,作出防御響應;可以使管理人員最新的版本升級添加到程序中;允許非專業人員從事系統安全工作;可以為信息系統安全提供指導。
(2) 入侵檢測系統的局限:
8
信息與計算科學系課程設計報告
在無人干預的情形下,無法執行對攻擊的檢測;無法感知組織(公司)安策略 的內容;不能彌補網絡協議的漏洞;不能彌補系統提供信息的質量或完整性問題;不能分析網絡繁忙時的所有事物;不能總是對數據包級的攻擊進行處理;
6.2 近年對入侵檢測系統有幾個主要發展方向
(1) 分布式入侵檢測與通用入侵檢測架構
傳統的IDS一般局限于單一的主機或網絡架構,對異構系統及大規模的網絡的監測明顯不足。同時不同的IDS系統之間不能協同工作能力,為解決這一問題,需要分布式入侵檢測技術與通用入侵檢測架構。
(2) 應用層入侵檢測
許多入侵的語義只有在應用層才能理解,而目前的IDS僅能檢測如WEB之類的通用協議,而不能處理如Lotus Notes、數據庫系統等其他的應用系統。許多基于客戶、服務器結構與中間件技術及對象技術的大型應用,需要應用層的入侵檢測保護。
(3) 智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究,但是這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究以解決其自學習與自適應能力。
入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。
參考文獻:
[1] 曹元大.入侵檢測技術[M].第1版.北京:人民郵電出版社,2007.
[2] 何新權.計算機等級教程[M].第2012年版.北京:高等教育出版社,1957.
[3] 劉遠生.網絡安全實用教程[M].第2011年版.北京:人民郵電出版社,2011.
[4] 唐正軍.入侵檢測系統技術導論[M] .北京:機械工業出版社,2004.
[5] 宋勁松.網絡入侵檢測[M] .北京:國防工業出版社,2004.9。
[6] 劉文濤.網絡安全開發包詳解[M] .北京:電子工業出版社,2005.
[7] 張世斌.網絡安全技術[M] .北京:清華大學出版社,2004.
[8] 謝希仁.計算機網絡[M] .北京:電子工業出版社,2003.
入侵檢測系統是探測計算機網絡攻擊行為的軟件或硬件。它作為防火墻的合理補充,可以幫助網絡管理員探查進入網絡的入侵行為,從而擴展了系統管理員的安全管理能力。它與其他網絡安全設備的不同之處在于,IDS一種積極主動的安全防護技術。
入侵檢測系統通常包括三個功能模塊:信息收集模塊、入侵分析模塊和響應模塊。
(1)信息收集模塊
入侵檢測的第一步是信息收集。收集的內容包括系統、網絡、數據及用戶活動的狀態和行為。通常需要在計算機網絡系統中的若干不同關鍵點,不同網段和不同主機收集信息, 這除了盡可能擴大檢測范圍的因素外。還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
(2)入侵分析模塊
一般通過模式匹配、統計分析和完整性分析三種技術手段對收集到的系統、網絡、數據及用戶活動的狀態和行為等信息進行分析,其中前兩種方法用于實時入侵檢測,而完整性分析則用于事后分析。
(3)響應模塊
響應方式分為主動響應和被動響應。
被動響應型系統只會發出告警通知,將發生的不正常情況報告給管理員,本身并不試圖降低所造成的破壞,更不會主動地對攻擊者采取反擊行動。
主動響應系統可以分為對被攻擊系統實施控制和對攻擊系統實施控制的系統。
?
?
?
?
?
?
總結
以上是生活随笔為你收集整理的入侵检测系统,浅析几个著名的入侵检测系统的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: PIL库改变图片大小
- 下一篇: 使用npm运行react程序报错The