① 1.什麼是誤用入侵檢測
入侵檢測(Intrusion Detection),顧名思義,就是對入侵行為的發覺。他通過對計算機網路或計算機系統中若干關鍵點收集信息並對其進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。
入侵檢測系統(intrusion detection system,簡稱「IDS」)是一種對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於,IDS是一種積極主動的安全防護技術。 IDS最早出現在1980年4月。 1980年代中期,IDS逐漸發展成為入侵檢測專家系統(IDES)。 1990年,IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前,IDS發展迅速,已有人宣稱IDS可以完全取代防火牆。
入侵檢測系統檢測方法
異常檢測方法
在異常入侵檢測系統中常常採用以下幾種檢測方法:
基於貝葉斯推理檢測法:是通過在任何給定的時刻,測量變數值,推理判斷系統是否發生入侵事件。基於特徵選擇檢測法:指從一組度量中挑選出能檢測入侵的度量,用它來對入侵行為進行預測或分類。基於貝葉斯網路檢測法:用圖形方式表示隨機變數之間的關系。通過指定的與鄰接節點相關一個小的概率集來計算隨機變數的聯接概率分布。按給定全部節點組合,所有根節點的先驗概率和非根節點概率構成這個集。貝葉斯網路是一個有向圖,弧表示父、子結點之間的依賴關系。當隨機變數的值變為已知時,就允許將它吸收為證據,為其他的剩餘隨機變數條件值判斷提供計算框架。
基於模式預測的檢測法:事件序列不是隨機發生的而是遵循某種可辨別的模式是基於模式預測的異常檢測法的假設條件,其特點是事件序列及相互聯系被考慮到了,只關心少數相關安全事件是該檢測法的最大優點。
基於統計的異常檢測法:是根據用戶對象的活動為每個用戶都建立一個特徵輪廓表,通過對當前特徵與以前已經建立的特徵進行比較,來判斷當前行為的異常性。用戶特徵輪廓表要根據審計記錄情況不斷更新,其保護去多衡量指標,這些指標值要根據經驗值或一段時間內的統計而得到。
基於機器學習檢測法:是根據離散數據臨時序列學習獲得網路、系統和個體的行為特徵,並提出了一個實例學習法IBL,IBL是基於相似度,該方法通過新的序列相似度計算將原始數據(如離散事件流和無序的記錄)轉化成可度量的空間。然後,應用IBL學習技術和一種新的基於序列的分類方法,發現異常類型事件,從而檢測入侵行為。其中,成員分類的概率由閾值的選取來決定。
數據挖掘檢測法:數據挖掘的目的是要從海量的數據中提取出有用的數據信息。網路中會有大量的審計記錄存在,審計記錄大多都是以文件形式存放的。如果靠手工方法來發現記錄中的異常現象是遠遠不夠的,所以將數據挖掘技術應用於入侵檢測中,可以從審計數據中提取有用的知識,然後用這些知識區檢測異常入侵和已知的入侵。採用的方法有KDD演算法,其優點是善於處理大量數據的能力與數據關聯分析的能力,但是實時性較差。
基於應用模式的異常檢測法:該方法是根據服務請求類型、服務請求長度、服務請求包大小分布計算網路服務的異常值。通過實時計算的異常值和所訓練的閾值比較,從而發現異常行為。
基於文本分類的異常檢測法:該方法是將系統產生的進程調用集合轉換為「文檔」。利用K鄰聚類文本分類演算法,計算文檔的相似性。
誤用檢測方法
誤用入侵檢測系統中常用的檢測方法有:
模式匹配法:是常常被用於入侵檢測技術中。它是通過把收集到的信息與網路入侵和系統誤用模式資料庫中的已知信息進行比較,從而對違背安全策略的行為進行發現。模式匹配法可以顯著地減少系統負擔,有較高的檢測率和准確率。
專家系統法:這個方法的思想是把安全專家的知識表示成規則知識庫,再用推理演算法檢測入侵。主要是針對有特徵的入侵行為。
基於狀態轉移分析的檢測法:該方法的基本思想是將攻擊看成一個連續的、分步驟的並且各個步驟之間有一定的關聯的過程。在網路中發生入侵時及時阻斷入侵行為,防止可能還會進一步發生的類似攻擊行為。在狀態轉移分析方法中,一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統從某個初始狀態變為最終某個被危害的狀態。
② 無線入侵檢測的初識無線IDS
入侵檢測系統(IDS)通過分析網路中的傳輸數據來判斷破壞系統和入侵事件。傳統的入侵檢測系統僅能檢測和對破壞系統作出反應。如今,入侵檢測系統已用於無線區域網,來監視分析用戶的活動,判斷入侵事件的類型,檢測非法的網路行為,對異常的網路流量進行報警。
無線入侵檢測系統同傳統的入侵檢測系統類似。但無線入侵檢測系統加入了一些無線區域網的檢測和對破壞系統反應的特性。
無線入侵檢測系統可以通過提供商來購買,為了發揮無線入侵檢測系統的優良的性能,他們同時還提供無線入侵檢測系統的解決方案。如今,在市面上的流行的無線入侵檢測系統是Airdefense RogueWatch 和Airdefense Guard。象一些無線入侵檢測系統也得到了Linux 系統的支持。例如:自由軟體開放源代碼組織的Snort-Wireless 和WIDZ 。
現在隨著黑客技術的提高,無線區域網(WLANs)受到越來越多的威脅。配置無線基站(WAPs)的失誤導致會話劫持以及拒絕服務攻擊(DoS)都象瘟疫一般影響著無線區域網的安全。無線網路不但因為基於傳統有線網路TCP/IP架構而受到攻擊,還有可能受到基於國際電氣和電子工程師協會 (IEEE) 發行802.11標准本身的安全問題而受到威脅。為了更好的檢測和防禦這些潛在的威脅,無線區域網也使用了一種入侵檢測系統(IDS)來解決這個問題。以至於沒有配置入侵檢測系統的組織機構也開始考慮配置IDS的解決方案。本文將為你講述,為什麼需要無線入侵檢測系統,無線入侵檢測系統的優缺點等問題。
③ 什麼是入侵檢測系統
入侵監測系統處於防火牆之後對網路活動進行實時檢測。許多情況下,由於可以記錄和禁止網路活動,所以入侵監測系統是防火牆的延續。它們可以和你的防火牆和路由器配合工作。
入侵監測系統IDS與系統掃描器system scanner不同。系統掃描器是根據攻擊特徵資料庫來掃描系統漏洞的,它更關注配置上的漏洞而不是當前進出你的主機的流量。在遭受攻擊的主機上,即使正在運行著掃描程序,也無法識別這種攻擊 IDS掃描當前網路的活動,監視和記錄網路的流量,根據定義好的規則來過濾從主機網卡到網線上的流量,提供實時報警。網路掃描器檢測主機上先前設置的漏洞,而IDS監視和記錄網路流量。如果在同一台主機上運行IDS和掃描器的話,配置合理的IDS會發出許多報警。
IDS 入侵檢測系統 理論·概念
入侵檢測技術IDS是一種主動保護自己免受攻擊的一種網路安全技術。作為防火牆的合理補充,入侵檢測技術能夠幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應),提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息。入侵檢測被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測。它可以防止或減輕上述的網路威脅。
■ IDS 二十年風雨歷程
■ 入侵檢測系統(IDS)簡介
■ 什麼是入侵檢測
■ IDS:安全新亮點
■ IDS的標准化
■ IDS的分類
■ IDS的體系結構
■ IDS的數據收集機制
■ IDS的規則建立
■ 我們需要什麼樣的入侵檢測系統
■ IDS:網路安全的第三種力量
■ 入侵檢測術語全接觸
■ 入侵檢測應該與操作系統綁定
■ 入侵檢測系統面臨的三大挑戰
■ 入侵檢測系統(IDS)的弱點和局限(1)
■ 入侵檢測系統(IDS)的弱點和局限(2)
■ 入侵檢測系統(IDS)的弱點和局限(3)
■ 入侵檢測系統(IDS)的弱點和局限(4)
IDS系統
入侵檢測(Intrusion Detection),顧名思義,是對入侵行為的檢測。它通過收集和分析計算機網路或計算機系統中若干關鍵點的信息,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟體與硬體的組合便是IDS。
■ IDS系統(1)
■ IDS系統(2)
■ IDS系統(3)
■ IDS系統(4)
■ IDS系統(5)
■ IDS系統(6)
IDS 應用·實踐
在網路安全發展的今天,IDS即入侵檢測系統在網路環境中的使用越來越普遍,當hacker在攻擊一個裝有IDS的網路伺服器時,首先考慮到的是如何對付IDS,攻擊主要採用,一我們如何攻擊IDS,二,是我們如何繞過IDS的監視。下面將詳細介紹當前的主要IDS分析、應用、實踐。
■ 如何構建一個IDS?
■ IDS逃避技術和對策
■ 解析IDS的誤報、誤警與安全管理
■ IDS入侵特徵庫創建實例解析(1)
■ IDS入侵特徵庫創建實例解析(2)
■ 一個網路入侵檢測系統的實現
■ IDS欺騙之Fragroute(1)
■ IDS欺騙之Fragroute(2)
■ 強大的輕量級網路入侵檢測系統SNORT
■ Snort: 為你的企業規劃入侵檢測系統
■ 入侵檢測實戰之全面問答
■ 四問IDS應用
■ 安全戰爭:入侵檢測能否追平比分?
■ 基於網路和主機的入侵檢測比較
■ 入侵檢測系統:理論和實踐
■ 入侵檢測方法和缺陷
■ 怎麼實施和做好入侵檢測
■ Win2K入侵檢測實例分析
■ Win2000 Server入侵監測
■ 攻擊入侵檢測NIDS分析
■ ISS RealSecure:異常干凈的入侵檢測(1)
■ ISS RealSecure:異常干凈的入侵檢測(2)
■ ISS RealSecure:異常干凈的入侵檢測(3)
LIDS linux下的入侵監測系統
LIDS全稱Linux 入侵檢測系統,作者是Xie Huagang和Phil。LIDS 是增強 Linux 核心的安全的的補丁程序. 它主要應用了一種安全參考模型和強制訪問控制模型。使用了 LIDS 後, 系統能夠保護重要的系統文件,重要的系統進程, 並能阻止對系統配製信息的改變和對裸設備的讀寫操作。
■ linux下的入侵監測系統LIDS
■ LIDS譯本
■ linux下的入侵監測系統LIDS原理(1)
■ linux下的入侵監測系統LIDS原理(2)
■ linux下的入侵監測系統LIDS原理(3)
■ linux下的入侵監測系統LIDS原理(4)
■ 用LIDS增強系統安全
■ LIDS攻略
■ LIDS功能及其安裝和配置
■ LINUX下的IDS測試
■ Linux系統中的入侵檢測
IDS 產品方案和技術發展
事實上,信息安全產品的概念、效用、技術、未來發展等一直處於爭議之中,許多人懷疑僅憑幾項技術能否阻止各類攻擊。在入侵檢測(IDS)領域尤其如此,漏報和誤報問題長期困擾著技術專家和最終用戶。雖然問題種種,步履蹣跚,但IDS產業在眾多技術專家、廠商、用戶以及媒體的共同努力下仍堅定地前進著、發展著,未來充滿了希望之光。
■ 入侵檢測產品比較
■ 選購IDS的11點原則
■ 入侵檢測技術綜述
■ IDS產品選購參考
■ IDS重在應用
■ 免費與付費IDS孰優孰劣?
■ Cisco VMS:增強入侵檢測部署控制
■ IDS帶來的安全革命:安全管理可視化
■ 企業需要什麼樣的IDS?——測試IDS的幾個關鍵指標
■ 抗千兆攻擊要靠新一代IDS
■ 協議分析技術:IDS的希望
■ IDS技術發展方向
■ IDS爭議下發展
■ 新思維:基於免疫學的IDS
④ 網路中布署防火牆和IDS後網路是否安全
安全沒有絕對,只有相對,防火牆是在網關處抗攻擊的,是一個三層的設備,IDS是入侵檢測設備,主要是分析攻擊行為的,有了這些設備不一定等於安全了,主要還在於制度,管理等。
⑤ 入侵檢測系統(IDS)+防火牆+入侵防護系統(IPS)能代替殺毒軟體嗎
不能代替的,它們各自的功能和作用是不同的。
入侵檢測系統(IDS):專業上講就是依照一定的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
入侵防護系統(IPS):是指能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。
防火牆:它是一種位於內部網路與外部網路之間的網路安全系統。一種信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。
一般是IDS+防火牆的組合或者IPS+防火牆的組合來完成對網路安全防護。
殺毒軟體:也稱反病毒軟體或防毒軟體,是用於消除電腦病毒、特洛伊木馬和惡意軟體等計算機威脅的一類軟體。病毒軟體(程序)是一種在電腦(終端)上運行的,可以類似生物病毒發病機理的,通過一定條件下來觸發運行的小程序,包括電腦病毒程序及一些惡意軟體等。
以上描述可以看出他們的作用各不相同,所以不能相互代替,可以完全組合起來發現各自的作用,盡可能保障網路的信息安全。
⑥ 什麼是IDS,在網路中起什麼作有怎樣安裝和配置
什麼是IDS呢?早期的IDS僅僅是一個監聽系統,在這里,你可以把監聽理解成竊聽的意思。基於目前局網的工作方式,IDS可以將用戶對位於與IDS同一交換機/HuB的伺服器的訪問、操作全部記錄下來以供分析使用,跟我們常用的widnows操作系統的事件查看器類似。再後來,由於IDS的記錄太多了,所以新一代的IDS提供了將記錄的數據進行分析,僅僅列出有危險的一部分記錄,這一點上跟目前windows所用的策略審核上很象;目前新一代的IDS,更是增加了分析應用層數據的功能,使得其能力大大增加;而更新一代的IDS,就頗有「路見不平,拔刀相助」的味道了,配合上防火牆進行聯動,將IDS分析出有敵意的地址阻止其訪問。
就如理論與實際的區別一樣,IDS雖然具有上面所說的眾多特性,但在實際的使用中,目前大多數的入侵檢測的接入方式都是採用pass-by方式來偵聽網路上的數據流,所以這就限制了IDS本身的阻斷功能,IDS只有靠發阻斷數據包來阻斷當前行為,並且IDS的阻斷范圍也很小,只能阻斷建立在TCP基礎之上的一些行為,如Telnet、FTP、HTTP等,而對於一些建立在UDP基礎之上就無能為力了。因為防火牆的策略都是事先設置好的,無法動態設置策略,缺少針對攻擊的必要的靈活性,不能更好的保護網路的安全,所以IDS與防火牆聯動的目的就是更有效地阻斷所發生的攻擊事件,從而使網路隱患降至較低限度。
⑦ Windows系統入侵檢測系統與實現
基於Windows入侵檢測系統的研究與設計——檢測模塊設計時間:2010-10-20 12:35來源:未知 作者:admin
摘 要當今是信息時代,互聯網正在給全球帶來翻天覆地的變化。隨著Internet在全球的飛速發展,網路技術的日益普及,網路安全問題也顯得越來越突出。計算機網路安全是一個國際化的問題,每年全球因計算機網路的安全系統被破壞而造成的經濟損失高達數百億美
.引 言
1.1課題背景及意義
當今網路技術的迅速發展,網路成為人們生活的重要組成部分,與此同時,黑客頻頻入侵網路,網路安全問題成為人們關注的焦點。傳統安全方法是採用盡可能多地禁止策略進行防禦,例如各種殺毒軟體、防火牆、身份認證、訪問控制等,這些對防止非法入侵都起到了一定的作用,從系統安全管理的角度來說,僅有防禦是不夠好的,還應採取主動策略。
入侵檢測技術是動態安全技術的最核心技術之一。傳統的操作系統加固技術和防火牆隔離技術等都是靜態安全防禦技術,對網路環境下日新月異的攻擊手段缺乏主動的反應。
入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息、分析信息,查看是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全防線,提供對內部攻擊、外部攻擊和誤操作的實時保護。
本文首先介紹了網路入侵檢測的基本原理和實現入侵檢測的技術。隨後重點介紹了基於Windows入侵檢測系統中檢測模塊的設計與實現。即網路數據包的捕獲與分析過程的設計與實現。
1.1.1 網路安全面臨的威脅
入侵的來源可能是多種多樣的,比如說,它可能是企業心懷不滿的員工、網路黑客、甚至是競爭對手。攻擊者可能竊聽網路上的信息,竊取用戶口令、資料庫信息,還可以篡改資料庫內容,偽造用戶身份,否認自己的簽名。更為嚴重的是攻擊者可以刪除資料庫內容,摧毀網路節點,釋放計算機病毒,直到整個網路陷入癱瘓。
用密碼編碼學和網路安全的觀點,我們把計算機網路面臨的威脅歸納為以下四種:
截獲(interception):攻擊者從網路上竊聽他人的通信內容。
中斷(interruption):攻擊者有意中斷他人在網路上的通信。
篡改(modification):攻擊者故意篡改網路上傳播的報文。
偽造(fabrication):攻擊者偽造信息在網路上傳送。
這四種威脅可以劃分為兩大類,即被動攻擊和主動攻擊。在上述情況中,截獲信息的攻擊稱為被動攻擊,而更改信息和拒絕客戶使用資源的攻擊稱為主動攻擊。在被動攻擊中攻擊者只是觀察和竊取數據而不幹擾信息流,攻擊不會導致對系統中所含信息的任何改動,而且系統的操作和狀態也不會被改變,因此被動攻擊主要威脅信息的保密性。主動攻擊則意在篡改系統中所含信息或者改變系統的狀態及操作。因此主動攻擊主要威脅信息的完整性、可用性和真實性。
1.1.2 網路安全隱患的來源
網路安全隱患主要來自於四個方面:
(1)網路的復雜性。網路是一個有眾多環節構成的復雜系統。由於市場利潤、技術投入、產品成本、技術規范等等問題,不同供應商提供的環節在安全性上不盡相同,使得整個網路系統的安全成度被限制在安全等級最低的那個環節上。
(2)網路的飛速發展。由於網路的發展,提供新的網路服務,增加網路的開放性和互聯性,必然將更多環節納入系統中,新加入的環節又增加了系統的復雜性,引發了網路的不安定性。
(3)軟體質量問題。軟體質量難以評估是軟體的一個特性。現實中,即使是正常運行了很長時間的軟體,也會在特定的情況下出現漏洞。現代網路已經是軟體驅動的發展模式,對軟體的更多依賴性加大了軟體質量對網路安全的負面影響。同時,市場的激烈競爭,促使商家需要更快地推出產品,軟體的快速開發也增大了遺留更多隱患的可能性。
(4)其他非技術因素。包括技術人員在網路配置管理上的疏忽或錯誤,網路實際運行效益和安全投入成本間的平衡抉擇,網路用戶的安全管理缺陷等等。
由於存在更多的安全威脅和安全隱患,能否成功的阻止網路黑客的入侵、保證計算機和網路系統的安全和正常的運行便成為網路管理員所面臨的一個重要問題。
1.1.3 網路安全技術
如今已有大量的研究機構、社會團體、商業公司和政府部門投入到網路安全的研究中,並將此納入到一個被稱為信息安全的研究領域。網路安全技術主要包括基於密碼學的安全措施和非密碼體制的安全措施,前者包括:數據加密技術、身份鑒別技術等。後者則有:防火牆、路由選擇、反病毒技術等。
(1)數據加密技術
數據加密是網路安全中採用的最基本的安全技術,目的是保護數據、文件、口令以及其他信息在網路上的安全傳輸,防止竊聽。網路中的數據加密,除了選擇加密演算法和密鑰外,主要問題是加密的方式以及實現加密的網路協議層次和密鑰的分配管理。按照收發雙方密鑰是否相同,可分為對稱密碼演算法和非對稱密碼演算法即公鑰密碼演算法兩種。對稱密碼演算法有保密度高,加密速度快的優點,但其密鑰的分發則是一個比較復雜的問題。比較著名的對稱密碼演算法有:美國的DES和歐洲的IDEA等。在公鑰密碼中,收發雙方使用的密鑰各不相同,密鑰的管理比較方便。比較著名的公鑰密碼演算法有:ECC、RSA等,其中RSA演算法應用最為廣泛。
(2)鑒別技術
鑒別技術可以驗證消息的完整性,有效的對抗冒充、非法訪問、重演等威脅。按照鑒別對象的不同,鑒別技術可分為消息源鑒別和通信雙方互相鑒別,按照鑒別內容的不同,鑒別技術可分為用戶身份鑒別和消息內容鑒別,鑒別的方法有很多種,主要有通過用戶標識和口令、報文鑒別、數字簽名等方式。
(3)訪問控制技術
訪問控制是從計算機系統的處理能力方面對信息提供保護機制,它按照事先確定的規則決定主體對客體的訪問是否合法。當一個主體試圖非法使用一個未經授權的資源時,訪問機制將拒絕這一企圖,並將這一時間記錄到系統日誌中。訪問控制技術的主要任務是保證網路資源不被非法使用和訪問,它是保證網路安全的重要策略之一。
(4)防火牆技術
防火牆是一個或一組網路設備,其工作方式是將內聯網路與網際網路之間或者與其他外聯網路間互相隔離,通過加強訪問控制,阻止區域外的用戶對區域內的資源的非法訪問,使用防火牆可以進行安全檢查、記錄網上安全事件等,在維護網路安全作用中起著重要的作用。
(5)反病毒技術
計算機病毒是一段具有極強破壞性的惡意代碼,它可以將自身納入其他程序中,以此來進行隱藏,復制和傳播,從而破壞用戶文件,數據甚至硬體。從廣義上講,它還包括邏輯炸彈、特洛伊木馬和系統陷阱等。計算機病毒的主要傳播途徑有:文件傳輸、軟盤拷貝、電子郵件等。網路反病毒技術主要包括檢查病毒和殺出病毒。
雖然網路安全已經超越了純技術領域,但網路安全技術仍然是解決網路安全最重要的基礎和研究方向。
1.2 本文研究內容
本文共分為五個部分,各部分內容如下:
第一部分,主要介紹了課題提出的背景、意義、安全隱患、現有的安全技術等,強調了入侵檢測的重要性。
第二部分,主要介紹了入侵檢測相關的基礎知識、發展趨勢等與本文相關的理論。
第三部分,對整個系統的設計做了概述,介紹了系統的整體框架、開發及運行環境等。
第四部分,詳細介紹了檢測模塊的設計與實現以及系統集成後的運行結果。其中包括檢測模塊的設計思想、工作原理以及核心代碼的分析等。
第五部分,是對整個系統的測試與分析的總結。主要測試了檢測模塊實現的各種功能。
2. 入侵檢測基礎
當我們無法完全防止入侵時,那麼只能希望系統在受到攻擊時,能盡快檢測出入侵,而且最好是實時的,以便可以採取相應的措施來對付入侵,這就是入侵檢測系統要做的,它從計算機網路中的若干關鍵點收集信息,並分析這些信息,檢查網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統(IDS,Intrusion Detection System)正是一種採取主動策略的網路安全防護措施,它從系統內部和各種網路資源中主動採集信息,從中分析可能的網路入侵或攻擊,同時還對入侵行為做出緊急響應。入侵檢測被認為是防火牆之後的第二道安全閘門。
2.1 入侵檢測的定義
可以看到入侵檢測的作用就在於及時地發現各種攻擊以及攻擊企圖並作出反應。我們可以給入侵檢測做一個簡單的定義,入侵檢測就是對(網路)系統的運行狀態進行監視,發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證系統資源的機密性、完整性與可用性。即入侵檢測(Intrusion Detection)是檢測和識別系統中未授權或異常現象,利用審計記錄,入侵檢測系統應能識別出任何不希望有的活動,這就要求對不希望的活動加以限定,一旦當它們出現就能自動地檢測。
一個完整的入侵檢測系統必須具備下列特點:
經濟性:為了保證系統安全策略的實施而引入的入侵檢測系統必須不能妨礙系統的正常運行(如系統性能)。
時效性:必須及時的發現各種入侵行為,理想情況是在事前發現攻擊企圖,比較現實的情況則是在攻擊行為發生的過程中檢測到。
安全性:入侵檢測系統自身必須安全,如果入侵檢測系統自身的安全性得不到保障,首先意味著信息的無效,而更嚴重的是入侵者控制了入侵檢測系統即獲得了對系統的控制權。
可擴展性:可擴展性有兩方面的意義。第一是機制與數據的分離,在現有機制不變的前提下能夠對新的攻擊進行檢測。第二是體系結構的可擴展性,在必要的時候可以在不對系統的整體結構進行修改的前提下對檢測手段進行加強,以保證能檢測到新的攻擊。
2.2 入侵檢測與P2DR模型
P2DR模型是一個動態的計算機系統安全理論模型。它的指導實現比傳統靜態安全方案有突破性提高。PDR是Policy(策略)、Protection(防護)、Detection(檢測)和Response(響應)的縮寫,特點是動態性和基於時間的特性。
P2DR模型闡述了這樣一個結論:安全的目標實際上就是盡可能地增大保護時間,盡量減少檢測時間和響應時間。入侵檢測技術就是實現P2DR模型中」Detection」部分的主要技術手段。在P2DR模型中,安全策略處於中心地位,但是從另一個角度來看,安全策略也是制定入侵檢測中檢測策略的一個重要信息來源,入侵檢測系統需要根據現有的安全策略信息來更好地配置系統模塊參數信息。當發現入侵行為後,入侵檢測系統會通過響應模塊改變系統的防護措施,改善系統的防護能力,從而實現動態的系統安全模型。
⑧ 網路安全題目:入侵檢測的目的是( )
入侵檢測的目的是(B、提供實時的檢測及採取相應的防護手段,阻止黑客的入侵)。
入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。
入侵檢測被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
(8)ids授權過期違反了網路安全擴展閱讀:
構築異常檢測原理的入侵檢測系統,首先要建立系統或用戶的正常行為模式庫,不屬於該庫的行為被視為異常行為。但是,入侵性活動並不總是與異常活動相符合,而是存在下列4種可能性:入侵性非異常;非入侵性且異常;非入侵性非異常;入侵性且異常。
另外,設置異常的門檻值不當,往往會導致IDS許多誤報警或者漏檢的現象。IDS給安全管理員造成了系統安全假象,漏檢對於重要的安全系統來說是相當危險的。
⑨ 提高人們對網路信息安全性的認識
2. 加強國家的安全立法工作,為網路安全提供法律依據
有關安全的法律體系包括:① 國家的根本大法即憲法有關國家安全、社會穩定和人民權利的根本性的法律規定;② 國家安全法、保密法等通用的涉及國家安全和信息活動的法律;③ 有關互聯網和電子商務、網路安全的專用法律;④ 有關具體信息行為的法律界定。
我們國家的法律,不但要規范中國公民的行為,維護國家的統一和政權的穩定,而且要在一個經濟全球化的進程中,能夠維護國家的利益和本國公民的權益。日本等一些發達國家之所以膽敢把一些有問題的產品銷往中國,其原因之一就是中國的法律的不完善。中國公民在國際交往中受到了損害,卻拿不出索賠的法律依據。