|
知识路径: > 信息安全性知识 > 入侵检测与防范措施 > 入侵检测的原理 >
|
相关知识点:6个
|
|
|
|
入侵检测技术(IDS)是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了网络安全基础结构的完整性。入侵检测系统在防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续,它们可以和防火墙与路由器配合工作。
|
|
|
入侵检测系统的构成具有一定的相似性,基本上都是由固定的部件组成的。如下图所示,基于入侵检测技术的入侵检测系统一般由信息采集部件、入侵分析部件与入侵响应部件组成。
|
|
|
|
|
信息采集部件是用于采集原始信息的部件,通常情况下运行于网络操作系统中的Proxy模块或专有的网络设备。信息采集部件的作用是将各类复杂、凌乱的信息按照一定的格式进行格式化并交付至入侵分析部件。
|
|
|
入侵分析部件是入侵检测系统的核心部分,在接收到信息采集部件收集的格式化信息后,按照部件内部的分析引擎进行入侵分析,分析引擎的类型不同,所需的格式化信息也不同,当信息满足了引擎的入侵标准时就会触发入侵响应机制。
|
|
|
入侵响应部件是入侵检测系统的功能性部件,当入侵分析部件发现入侵后,向入侵响应部件发送入侵消息,由入侵响应部件根据具体的情况做出响应,响应部件同信息采集部件一样都分布于网络中,甚至与信息采集部件集成在一起。
|
|
|
了解入侵检测系统的构成后,下面分别通过异常检测、误用检测这两种入侵检测技术说明入侵检测的原理。
|
|
|
|
异常检测(也称基于行为的检测)是指把用户习惯行为特征存储在特征库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差较大,则认为有异常情况发生。异常入侵检测系统的目的是检测、防止匿名者和网络内部入侵者的操作。匿名者指网络内部或外部使用一个未授权的账号的计算机操作者。内部入侵者指使用合法账号但越权使用或滥用资源的人。
|
|
|
异常入侵检测的优点是不需要入侵的先验知识(先于经验的知识),与系统相对无关,通用性较强,有可能检测出以前未出现过的攻击方法,即检测未知入侵,不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的误检率很高。
|
|
|
|
误用检测一般是由计算机安全专家首先对攻击情况和系统漏洞进行分析和分类,然后手工编写相应的检测规则和特征模型。误用入侵检测指通过预先定义好的入侵模式以及观察到的入侵发生情况进行模式匹配和检测,若匹配成功时则代表有入侵。
|
|
|
误用检测的优点在于它依据具体特征库进行判断,所以检测准确度很高。其主要缺点在于对具体系统的依赖性太强,系统移植性较差,难以检测出内部人员的入侵行为。
|
|
|