入侵檢測

入侵檢測

入侵檢測(入侵檢測)

入侵檢測（Intrusion Detection），顧名思義，就是對入侵行為的發(fā)覺。他通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

入侵檢測（Intrusion Detection）是對入侵行為的檢測。它通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。因此被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測。入侵檢測通過執(zhí)行以下任務來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構造和弱點的審計；識別反映已知進攻的活動模式并向相關人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。 入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。 這些都通過它執(zhí)行以下任務來實現(xiàn)： ·監(jiān)視、分析用戶及系統(tǒng)活動 · 系統(tǒng)構造和弱點的審計 · 識別反映已知進攻的活動模式并向相關人士報警 · 異常行為模式的統(tǒng)計分析 · 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性 ·操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。 對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng)（包括程序、文件和硬件設備等）的任何變更，還能給網(wǎng)絡安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡安全。而且，入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡威脅、系統(tǒng)構造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應，包括切斷網(wǎng)絡連接、記錄事件和報警等。

入侵檢測系統(tǒng)所采用的技術可分為特征檢測與異常檢測兩種。

特征檢測

特征檢測(Signature-based detection) 又稱Misuse detection ，這一檢測假設入侵者活動可以用一種模式來表示，系統(tǒng)的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現(xiàn)象又不會將正常的活動包含進來。

異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正常活動的'“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統(tǒng)計規(guī)律時，認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

1)基于主機

一般主要使用操作系統(tǒng)的審計、跟蹤日志作為數(shù)據(jù)源，某些也會主動與主機系統(tǒng)進行交互以獲得不存在于系統(tǒng)日志中的信息以檢測入侵。這種類型的檢測系統(tǒng)不需要額外的硬件．對網(wǎng)絡流量不敏感，效率高，能準確定位入侵并及時進行反應，但是占用主機資源，依賴于主機的可靠住，所能檢測的攻擊類型受限。不能檢測網(wǎng)絡攻擊。

2)基于網(wǎng)絡

通過被動地監(jiān)聽網(wǎng)絡上傳輸?shù)脑�始流量，對獲取的網(wǎng)絡數(shù)據(jù)進行處理，從中提取有用的信息，再通過與已知攻擊特征相匹配或與正常網(wǎng)絡行為原型相比較來識別攻擊事件。此類檢測系統(tǒng)不依賴操作系統(tǒng)作為檢測資源，可應用于不同的操作系統(tǒng)平臺；配置簡．單，不需要任何特殊的審計和登錄機制；可檢測協(xié)議攻擊、特定環(huán)境的攻擊等多種攻擊。但它只能監(jiān)視經(jīng)過本網(wǎng)段的活動，無法得到主機系統(tǒng)的實時狀態(tài)，精確度較差。大部分入侵檢測工具都是基于網(wǎng)絡的入侵檢測系統(tǒng).

3)分布式

這種入侵檢測系統(tǒng)一般為分布式結構，由多個部件組成，在關鍵主機上采用主機入侵檢測，在網(wǎng)絡關鍵節(jié)點上采用網(wǎng)絡入侵檢測，同時分析來自主機系統(tǒng)的審計日志和來自網(wǎng)絡的數(shù)據(jù)流，判斷被保護系統(tǒng)是否受到攻擊。

對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng)（包括程序、文件和硬件設備等）的任何變更，還能給網(wǎng)絡安全策略的制訂提供指南。更為重要的一點是，它應該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡安全。而且，入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡威脅、系統(tǒng)構造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應，包括切斷網(wǎng)絡連接、記錄事件和報警等。

【入侵檢測】相關文章：

安防及入侵檢測·什么是IDS入侵檢測06-22

入侵檢測產(chǎn)品選購要點入侵檢測 -電腦資料01-01

入侵檢測 -電腦資料01-01

入侵檢測技術發(fā)展方向入侵檢測 -電腦資料01-01

針對入侵檢測系統(tǒng)的漏洞學習 的入侵手法 -電腦資料01-01

針對入侵檢測系統(tǒng)的漏洞了解 的入侵手法 -電腦資料01-01

入侵檢測與入侵防御將長期共存 -電腦資料01-01

入侵監(jiān)測系統(tǒng)的功能與作用入侵檢測 -電腦資料01-01

高速網(wǎng)絡環(huán)境下的入侵檢測07-14