入侵檢測技術
入侵檢測:通過計算機網路或計算機系統中的若干關鍵點收集資訊並對收集到的資訊進行分析,從而判斷網路或系統中是否有違反安全策略的行為和被攻擊的跡象。
完成入侵檢測功能的軟體、硬體及其組合。可以檢測識別和隔離有入侵企圖或者不恰當的未授權使用。
相關問題
分類基於主機(hids)
執行在檢測的主機之上,通過查詢、監聽當前系統的各種資源的使用執行狀態,發現系統資源被非法使用和修改的事件,進行上報和處理。
監測的資源包括:檔案、程序、系統日誌、登錄檔等。
實現方式:通過主機**來實現,**執行於目標主機上,並且與控制台通訊。
特點
基於網路(nids)
通過在網路上對通訊資料的偵聽採集資料,分析可疑現象,不需要主機提供嚴格的審計,對主機資源消耗少,並可以提供對網路通用的保護而無需顧及異構主機的不同架構。
實現方式:將一台機器的網絡卡設定為混雜模式,可以監聽本網段的所有資料報並進行事件的收集與分析、執行響應策略以及和控制台通訊。
特點
根據識別入侵行為採用的技術分類:
誤用檢測
是基於知識(特徵)的檢測(總結非正常操作)
其收集非正常操作(入侵)行為的特徵,建立誤用模式特徵庫,後續的檢測中,只要將收集到的資料與特徵庫進行比對即可得出是否為入侵行為。
實現的前提:所有的入侵行為都有被檢測到的特徵。
攻擊特徵庫:當監測的使用者或系統行為與庫中的記錄相匹
配時,系統就認為這種行為是入侵。
過程:監控->特徵提取->匹配->判定
由於其只能檢測已知的攻擊,所以其誤報低,但是對於未知的攻擊,其無法檢測,所以其漏報高。
異常檢測
是基於行為的檢測(總結正常操作)
對正常操作進行特徵的總結,得出正常操作的模型,如果在後續的操作中發現有偏離正常操作模式的行為,則立即進行報警。
實現的前提:入侵是異常活動的子集。
使用者輪廓:通常定義為各種行為引數及其閥值的集合,用於描述正常行為範圍。
過程:監控->量化->比較(->修正)->判定
如果正常使用者的行為與入侵特徵相似,就會產生誤報(誤報率高),但是沒有特徵能匹配新的攻擊行為,系統會產生漏報(漏報率低)。
系統安全與網路安全
模組 system safety system cybersecurity 定義指系統不會對生命 財產或環境造成危害的狀態 指系統不允許利用漏洞導致損失的狀態,如財務 運營 隱私或安全損失 示例1不屬於屬於 從駕駛員處獲取個人資訊的娛樂系統 該系統被破壞,不會對司機造成身體傷害該系統被破壞,可能導致...
網路與系統安全筆記 邊界防禦技術
關鍵技術 網路邊界 連線不同安全級別的網路之間的邊界就稱為網路邊界。邊界防禦技術 常見的有四種 防火牆技術,多重安全閘道器技術,網閘技術,虛擬專用網技術。是一種高階的網路控制裝置,在不同的網路或者網路安全域之間的一系列部件的組合,也是網路之間的唯一出入口,能按照一定的安全策略 允許,拒絕,監測 控制...
計算機網路 系統安全 防火牆與入侵檢測
防火牆在互連網路中的位置 防火牆的功能 防火牆技術一般分為兩類 應用閘道器也稱為 伺服器 proxy server 兩種入侵檢測方法 至今為止,大多數部署的 ids 主要是基於特徵的,儘管某些 ids 包括了某些基於異常的特性。網路安全是乙個很大的領域。對於有志於這一領域的讀者,可在下面幾個方向作進...