資料獲取劃分為直接監測和間接監測兩種方法。
(1)直接監測——直接監測從資料產生或從屬的物件直接獲得資料。例如,為了直接監測主機cpu的負荷,必須直接從主機相應核心的結構獲得資料。要監測ietd程序提供的網路訪問服務,必須直接從 inetd程序獲得關於那些訪問的資料;
(2)間接監測—從反映被監測物件行為的某個源獲得資料。間接監測主機cpu的負荷可以通過讀取乙個記錄cpu負荷的日誌檔案獲得。間接監測訪問網路服務可以通過讀取 inetd程序產生的日誌檔案或輔助程式獲得。間接監測還可以通過檢視發往主機的特定埠的網路資料報。
入侵檢測時,直接監測要好於間接監測,原因如下:
(1)間接資料來源(如審計跟蹤)的資料可能在ids使用這些資料之前被篡改。
(2)一些事件可能沒有被間接資料來源記錄。
(3)使用間接監測,資料是通過某些機制產生的,這些機制並不知道哪些資料是ids真正需要的。
(4)間接資料來源通常在資料產生時刻和ids能夠訪問這些資料的時刻之間引入時延。而直接監測時延更短,確保ids能更及時地做出反應。
系統日誌與審計資訊:
入侵檢測之基於主機入侵檢測系統
一般主要使用 作業系統的審計 跟蹤日誌 作為資料來源,某些也會主動與主機系統進行互動以 獲得不存在於系統日誌中的資訊 以檢測入侵。這種型別的檢測系統不需要額外的硬體 對網路流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊...
6 1基於主機的入侵檢測系統
基於主機的入侵檢測系統執行在需要監視的系統上。它們監視系統並判斷系統上的活動是否可接受。如果乙個網路資料報已經到達它要試圖進入的主機,要想準確地檢測出來並進行阻止,除防火牆和網路監視器外,還可用第三道防線來阻止,即 基於主機的入侵檢測 其入侵檢測結構如右圖所示。2種基於主機的入侵檢測型別如下。基於主...
SQL Injection規避入侵檢測技術總結
當我們對乙個執行ids系統的伺服器進行sql注射時,我們往往會遇到很大的麻煩,因為我們的注射語句被過濾了,如何規避這種檢測手段就成了一門新的技術,本文就對此規避技術提出十一條思路和方法,與大家商戳。一 運用編碼技術繞過,如urlencode編碼,ascii編碼繞過。如or 1 1即 6f 72 20...