入侵检测技术

时间:2024-03-25 14:55:44编辑:奇事君

解读IDS入侵检测系统术语

入侵检测技术07年已经取得了越来越多的应用,很多用户对IDS(入侵检测系统)具体信息并不是十分了解,但随着其快速发展,我们有必要了解IDS,为日后做好准备。与IDS相关的新名词也日新月异,这里按字母顺序罗列了相关的术语,有的可能很普遍了,但是有的却很少见。

  警报(Alerts)

  警报是IDS向系统操作员发出的有入侵正在发生或者正在尝试的消息。一旦侦测到入侵,IDS会以各种方式向分析员发出警报。如果控制台在本地,IDS警报通常会显示在监视器上。IDS还可以通过声音报警(但在繁忙的IDS上,建议关闭声音)。警报还可以通过厂商的通信手段发送到远程控制台,除此之外,还有利用SNMP协议(安全性有待考虑)、email、SMS/Pager或者这几种方式的组合进行报警。

  异常(Anomaly)

  大多IDS在检测到与已知攻击特征匹配的事件就会发出警报,而基于异常的IDS会用一段时间建立一个主机或者网络活动的轮廓。在这个轮廓之外的事件会引起IDS警报,也就是说,当有人进行以前从没有过的活动,IDS就会发出警报。比如一个用户突然获得管理员权限(或者root权限)。一些厂商把这种方法称为启发式IDS,但是真正的启发式IDS比这种方法有更高的智能性。

  硬件IDS(Appliance )

  现在的IDS做成硬件放到机架上,而不是安装到现有的操作系统中,这样很容易就可以把IDS嵌入网络。这样的IDS产品如CaptIO, Cisco Secure IDS, OpenSnort, Dragon and SecureNetPro。

  网络入侵特征数据库(ArachNIDS - Advanced Reference Archive of Current Heuristics for Network Intrusion Detection Systems)

  由白帽子住持Max Vision开发维护的ArachNIDS是一个动态更新的攻击特征数据库,适用于多种基于网络的入侵检测系统。

  攻击注册和信息服务(ARIS - Attack Registry & Intelligence Service )

  ARIS是SecurityFocus推出的一项安全信息服务,允许用户向SecurityFocus匿名报告网络安全事件。SecurityFocus整理这些数据,并和其它信息综合,形成详细的网络安全统计分析和趋势预测。

  攻击(Attacks )

  攻击可以定义为试图渗透系统或者绕过系统安全策略获取信息,更改信息或者中断目标网络或者系统的正常运行的活动。下面是一些IDS可以检测的常见攻击的列表和解释:

  拒绝服务攻击(DOS - Denial Of Service attack )

  DOS攻击只是使系统无法向其用户提供服务,而不是通过黑客手段渗透系统。拒绝服务攻击的方法从缓冲区溢出到通过洪流耗尽系统资源,不一而足。随着对拒绝服务攻击的认识和防范不断加强,又出现了分布式拒绝服务攻击。

  分布式拒绝服务攻击(DDOS - Distributed Denial of Service )

  分布式拒绝服务攻击是一种标准的拒绝服务攻击,通过控制多台分布的远程主机向单一主机发送大量数据,并因此得名。

  攻Smurf攻击(Smurf )

  Smurf攻击是以最初发动这种攻击的程序名Smurf来命名。这种攻击方法通过欺骗方法向“Smurf放大器”的网络发送广播地址的ping,放大器网络向欺骗地址——攻击目标系统返回大量的ICMP回复消息,引起目标系统的拒绝服务。

  这里有每5分钟更新一次的可用的“放大器”: http://www.powertech.no/smurf/ (但愿你的网络不在此列…)

  特洛伊木马(Trojans )

  特洛伊密码来自于古希腊的木马攻击特洛伊城的故事。在计算机术语中最初指的是貌似合法但其中包含恶意软件的程序。当合法程序执行时,恶意软件在用户毫无察觉的情况下被安装。后来大多数的这类恶意软件都是远程控制工具,特洛伊木马也就专指这类工具,如BackOrifice, SubSeven, NetBus 等。


入侵检测系统IDS是什么,入侵检测系统的原理是什么?

入侵检测系统(IDS)是对网络传输进行实时监控的一种安全保障。不同于传统的网络安全设备,当检测到外星入侵者时,会立即报警并采取积极的应对措施。而且他内置了入侵知识库,对网络上的流量特征进行收集和分析,一旦在高合规或者大流量的情况下,会立即预警或者反击。一、入侵检测系统的工作入侵检测系统简称IDS。IDS主要分为两部分:检测引擎和控制中心。检测引擎用于分析和读取数据。当控制中心接收到一个来自伊宁的数据时,会对数据进行过滤,进行检测分析,如果有威胁会立即报警。一些正常用户的异常检测行为,偏离了正常的活动规律,也会被视为攻击企图,会立即产生状态信号。IDS就像是对金库的监控。一旦有人准备入侵监控,或者在门前做了什么,就会被自己的控制中心检测到。二、入侵检测系统的原理入侵检测系统IDS,首先是别人入侵检测系统的系统日志,会记录黑客或者未知访客的踪迹,他们做了什么,对文件和程序的一些改动,上传给上层进行分析。经过分析,如果出了问题,就会发现探测器本身的完整性。这是IDS事后做出的检测行为。如果不对,它会立即报警。第三,入侵检测系统存在的问题IDS本身无法检测新的入侵方式,对网络的限制导致了其自身的局限性。而且,它也不能把机密数据处理掉,直接放走。它受到服务器内存和硬盘的严重制约,因为一个它能记录的现象能及时发现,没有记录就发现不了。因为内存的原因,它能使用的内存是有限的。以上就是有关于入侵检测系统IDS是什么,入侵检测系统的原理是什么?的相关回答了,你了解了吗

简述入侵检测系统功能部件组成

1. 入侵者进入我们的系统主要有三种方式: 物理入侵 、系统入侵、远程入侵。

2. 入侵检测系统是进行入侵检测的软件与硬件的组合。

3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。

4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和

基于网络的入侵检测系统。

5. 入侵检测系统根据工作方式分为在线检测系统和离线检测系统。

6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。

二、选择题

1. IDS产品相关的等级主要有(BCD)等三个等级:

A: EAL0 B: EAL1 C: EAL2 D: EAL3

2. IDS处理过程分为(ABCD )等四个阶段。

A: 数据采集阶段 B: 数据处理及过滤阶段 C: 入侵分析及检测阶段 D: 报告以及响应阶段

3. 入侵检测系统的主要功能有(ABCD ):

A: 监测并分析系统和用户的活动

B: 核查系统配置和漏洞

C: 评估系统关键资源和数据文件的完整性。

D: 识别已知和未知的攻击行为

4. IDS产品性能指标有(ABCD ):

A: 每秒数据流量

B: 每秒抓包数

C: 每秒能监控的网络连接数

D: 每秒能够处理的事件数

5. 入侵检测产品所面临的挑战主要有(ABCD ):

A: 黑客的入侵手段多样化

B: 大量的误报和漏报

C: 恶意信息采用加密的方法传输

D: 客观的评估与测试信息的缺乏

三、判断题

1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。(F )

2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。( T )

3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。( F )

4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。( T )

四、简答题

1. 什么是入侵检测系统?简述入侵检测系统的作用?

答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。 入侵检测系统的作用主要是通过监控网络、系统的状态,来检测系统用户的越权行为和系统外部的入侵者对系统的攻击企图。

2. 比较一下入侵检测系统与防火墙的作用。

答:防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用,是网络安全的第一道关卡。IDS是并联在网络中,通过旁路监听的方式实时地监视网络中的流量,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警,不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说,IDS是网络安全的第二道关卡,是防火墙的必要补充。

3. 简述基于主机的入侵检测系统的优缺点?

答:优点:①准确定位入侵②可以监视特定的系统活动③适用于被加密和交换的环境

④成本低

缺点:①它在一定程度上依靠系统的可靠性,要求系统本身具有基本的安全功能,才能提取入侵信息。②主机入侵检测系统除了检测自身的主机之外,根本不检测网络上的情况

4. 简述基于网络的入侵检测系统的优缺点?

答:优点:①拥有成本较低②实时检测和响应③收集更多的信息以检测未成功的攻击和不良企图④不依靠操作系统⑤可以检测基于主机的系统漏掉的攻击

缺点:①网络入侵检测系统只能检查它直接连接的网段的通信,不能检测在不同网段的网络包。②网络入侵检测系统通常采用特征检测的方法,只可以检测出普通的一些攻击,而对一些复杂的需要计算和分析的攻击检测难度会大一些。③网络入侵检测系统只能监控明文格式数据流,处理加密的会话过程比较困难。

5. 为什么要对入侵检测系统进行测试和评估?

答:①有助于更好地描述IDS的特征。②通过测试评估,可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准。对IDS的各项性能进行评估,确定IDS的性能级别及其对运行环境的影响。③利用测试和评估结果,可做出一些预测,推断IDS发展的趋势,估计风险,制定可实现的IDS质量目标(比如,可靠性、可用性、速度、精确度)、花费以及开发进度。④根据测试和评估结果,对IDS进行改善。

6. 简述IDS的发展趋势?

答:①分布式②智能化③防火墙联动功能以及全面的安全防御方案④标准化方向


入侵检测系统的基本功能是什么

入侵检测系统的基本功能是对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。扩展资料:入侵检测系统主为两种技术一种是异常检测,另一种是特征检测。异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成特征检测:特征检测假设入侵者活动可以用一种模式来表示,然后将观察对象与之进行比较,判别是否符合这些模式。参考资料来源:百度百科-入侵检测系统

上一篇:工作组

下一篇:欧拉函数