入侵检测技术

news2024/12/23 12:32:41

课程目标

了解需要入侵检测技术的原因

熟知入侵检测系统(IDS)的概念、结构、分类及作用

掌握入侵检测技术及其应用

目录

Why 为什么要学习IDS

1.防火墙不能保证绝对的安全

网络边界的设备

自身可以被攻破

对某些攻击保护很弱

不是所有的威胁来自防火墙外部

防火墙是锁,入侵检测系统是监视器

2.入侵很容易

入侵教程随处可见

各种工具唾手可得

3.IDS是唯一一个通过数据和行为模式判断其是否有效的系统

防火墙就像一道门,它可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,也不能阻止内部的破坏分子;访问控制系统可以不让低级权限的人做越权控制,但无法保证高级权限的做破坏工作,也无法保证低级权限的人通过非法行为获得高级权限。

IDS系统可以实时监测,及时发现风险,规避风险

4.IDS的意义

1).探查攻击来源

如果有黑客针对企业内部网络,甚至防火墙本身进行攻击时,入侵检测系统能及时地提醒您,并告知攻击的来源。

2).提供攻击特征

        如果有人获取了服务器的root权限,我们就需要知道他们是如何做到的,这样我们才能防止它再次发生,优秀的入侵检测系统能提供攻击的特征描述,甚至包括一个个按键的回放,这样有助于安全专家分析攻击过程,由此得出系统或配置的漏洞,从而防止再次受到同样的攻击。

3).检测内部网络威胁

        在网络中安置入侵检测系统,能够发现来自于内部网的未授权用户访问,发现威胁是来自于一般员工的误操作,还是不满员工的刻意行为,或者合约商的非授权范围,入侵检测系统可以放置于任何关键区域中,例如DMZ区或者在防火墙内部的边界上将网络入侵检测系统的探测器配置在特定的更敏感的网段中,或者将基于主机的入侵。

4).减轻重要网段或关键服务器的威胁

        检测系统安放于关键服务器中,偶然的,可疑的威胁将通过入侵检测系统来判别,攻击和非授权行为能被及时地发现,先进的安全组件互动机制还能修改安全策略来阻止进一步的攻击,这使安全风险得到有效的控制和减轻。

5).取得起诉用的法律证据

        在我国,电子证据也已经日渐成为一种新的证据形式被逐步接受,网络入侵检测系统的信息提供了网络行为的视图,它通过从多个点收集到标准化的数据,不仅用于事件关联和发现攻击,也可用于行为跟踪。隐藏在旁路的入侵检测系统往往不容易被黑客发现而删除记录,其中保存完好的数据往往是作为法庭起诉的有力证据。

What-IDS是什么

入侵检测系统概念

        IDS是一种对网络传输即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IDS是一种积极主动的安全防护技术,通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。

入侵检测系统组成结构

响应单元:是对分析结果作出反应的功能单元,它可以作出切断连接,改变文件属性等强烈反应,也可以只是简单的报警。

事件分析器:接收事件信息,经过分析得到数据,并产生分析结果,并将判断的结果转变为警告信息。

事件数据库:是存放各种中间和最终数据的地方的统称,它可以上复杂的数据库,也可以说简单的文本文件。

事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。

功能作用

入侵检测功能:

监控、分析用户和系统的活动

发现入侵企图或异常现象

审计系统的配置和弱点

评估关键系统和数据文件的完整性

对异常活动的统计分析

识别攻击的活动模式

实时报警和主动响应

实时监测、安全审计

监控、分析用户和系统的活动:入侵检测任务的前提条件:通过获取进出某台主机及整个网络的数据,来监控用户和系统的活动。如果入侵检测系统不能实时地截获数据包并进行分析,那么就会出现包或者网络阻塞的现象。

发现入侵企图或异常现象:入侵检测的核心功能包括两个方面:一是对进出网络的数据流进行监控,查看是否存在入侵行为;二是评估系统关键资源和数据文件的完整性,查看是否已经遭受了入侵行为。

记录、报警和响应:对于前面的分析,找出攻击行为,针对不同的攻击,记录他们的基本情况,然后做出相应的响应(包括报警、拦截)

入侵检测系统优、缺点

优点:

1.提高系统的监控能力

2.从入口点到出口点跟踪用户的活动

3.识别汇报数据文件的变化

4.侦测系统配置错误并纠正

4.识别特殊攻击类型,并向管理人员发出警报。

缺点:

1.不能弥补差的认证机制

2.需要过多的人为干预

3.不知道安全策略的内容

4.不能弥补网络协议的弱点

5.不能分析一个堵塞的网络

6.不能分析加密的数据

工作原理

IDS引擎功能结构

  • 采用旁路方式全面侦听网上信息流,实时分析
  • 将分析结果与探测器上运行的策略集相匹配
  • 执行报警、阻断、日志等功能
  • 完成对控制中心指令单接受和相应工作

IDS控制中心功能结构

  • 提供报警显示
  • 提供对预警信息都记录、检索和统计功能
  • 指定入侵检测的策略
  • 控制探测器系统的运行状态
  • 收集来自多台引擎的上报事件,综合进行事件分析,以多种方式对入侵事件进行快速响应。

IDS工作过程

IDS技术详解

模式匹配

        模式匹配技术也成为攻击特征检测技术,将收集到的信息与已知的入侵模式数据库进行比较,从而发现违背安全策略的行为。

        模式匹配技术经过多年发展已经相当成熟,使得检测准确率和效率都很高,这也是模式匹配技术至今仍然存在并被使用的理由。模式匹配这种检测机制对已知攻击的报警比较准确,局限是它只能发现已知的攻击,对未知的攻击无能为力,而且误报率比较高。最为不足的是对任何企图绕开入侵检测的网络攻击欺骗都无能为力,因此会产生大量的虚假报警,以至于淹没了真正的攻击检测。

协议分析

        协议分析最大的特点是将捕获的数据包从网络层一直送达应用层,将真实数据还原出来,然后将还原出来的数据再与规则库进行匹配,因此它能够对数据包进行结构化协议分析来识别入侵企图和行为。

        采用协议分析技术的入侵检测系统能够理解不同协议的原理,由此分析这些协议的流量,来寻找可疑的或不正常的行为。

误用检测

        误用检测技术又称为基于知识点检测或特征检测,是指通过将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果发现攻击特征,则进行告警。

数据挖掘

        数据挖掘技术也被称为数据库知识发现技术(KDD),是一个较新的研究领域,就是从数据中发现肉眼难以发现的固定模式或异常现象。数据挖掘遵循基本都归纳过程将数据进行整理分析,并从海量数据中自动抽取和发现有用模式或知识。

异常检测

        异常检测所根据用户行为或资源使用的正常模式来判定当前活动是否偏离了正常或期望的活动规律,若有就表示有攻击行为发生,系统将产生入侵警戒信号。

基于机器学习的异常检测方法

基于模式归纳的异常检测方法

基于数据挖掘的异常检测方法

基于统计模型店异常检测方法

IDS分类

基于数据源

基于混合数据源的入侵检测系统

基于主机的入侵检测系统(HIDS)

        用于保护运行关键应用的服务器,通过监视与分析主机的审计记录和日志文件来检测入侵,日志中包含发生在系统上的不寻常活动的证据,通过查看日志文件,能够发现成功的入侵或入侵企图,并启动相应的应急措施。

基于网络的入侵检测系统(NIDS)

        用于实时监控网络关键路径的信息,它能够监听网络上的所有分组,并采集数据以分析现象。使用原始的网络包作为数据源,通常利用一个运行中混杂模式下的网络适配器来进行实时监控,并分析通过网络的所有通信业务。

基于检测原理

异常入侵检测

是能够根据异常行为和使用计算机资源的情况检测入侵,基于异常检测的入侵检测首先要构建用户正常行为的统计模型,然后将当前行为与正常行为特征相比较来检测入侵。常用的异常检测技术也概率统计法和神经网络方法两种。

误用入侵检测

是通过将收集到的时间与预先确定的特征知识库里的各种攻击模式进行比较,发现有攻击特征,则判断有攻击,完全依靠特征库来做出判断,所以不能判断未知攻击。常用的误用检测技术有专家系统、模型推理和状态转换分析。

基于响应方式

主动响应:对被动攻击系统实施控制和对攻击系统实施控制

被动响应:只会发出警告通知,将发生不正常情况报告管理员,本身不降低造成的破坏,更不会主动对攻击的行为反击。

基于体系结构

集中式:包含多个分布于不同主机上的审计程序,只有一个中央入侵检测服务器,审计程序把收集数据发给中央服务器分析处理。

等级式:定义了若干个分等级的监控区域,每个入侵检测系统负责一个区域,每一级入侵检测系统只负责分析所监控区域,然后将当地的分析结果传送给上一级入侵检测系统。

协作式:将中央检测服务器的任务分配给多个基于主机的IDS,这些IDS不分等级,各司其职,负责监控当地主机的某些活动。

基于工作方式

离线检测

是一种非实时工作的系统,在事件发生后分析审计事件,从中检查入侵事件。这类系统成本低,可分析大量事件,调查长期情况,但因是事后进行,不能对系统提供及时保护,入侵者完成后会删除相应的日志,因而无法进行审计。

在线监测

在线监测对网络数据包或主机的审计事件进行实时分析,可以快速响应,保护系统安全,但这系统规模较大时难以保证实时性。

发展历程

入侵管理技术的发展

第一代:协议解码+模式匹配

优点:对已知攻击有效、误报率低

缺点:及其容易躲避,漏报率

第二代:模式匹配+简单协议分析+异常统计

优点:能够分析和处理一部分协议,重组

缺点:匹配效率较低,管理功能较弱

第三代:完全协议分析+模式匹配+异常统计

优点:误报、漏报、滥报率低,效率高,可管理性强

缺点:可视化程度不高,防范及管理功能较弱

第四代:安全管理+协议分析+模式匹配+异常统计

优点:入侵管理、多项技术协同、安全保障

缺点:专业化程度较高、成本较高

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1985038.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

分而治之?如何高效提炼大型语言模型的推理能力

人工智能咨询培训老师叶梓 转载标明出处 虽然大模型(如GPT-4)在开放域问答(ODQA)、数学、科学以及自主智能体等领域展现出了非凡的推理能力,但是这些模型在进行复杂推理时,往往需要处理大量的参数&#xff…

项目管理中,项目经理有哪些优势?

项目经理在项目管理中扮演着至关重要的角色,他们的优势主要体现在以下几个方面: 一、计划与组织能力 超强的计划能力:项目经理需要制定各种计划,因此更擅长制定精确、合理的项目计划。他们能够有效地分解项目任务,排…

Elastic 基于 RAG 的 AI 助手:使用 LLM 和私有 GitHub 问题分析应用程序问题

作者:来自 Bahubali Shetti 作为 SRE,分析应用程序比以往任何时候都更加复杂。你不仅必须确保应用程序以最佳方式运行以确保出色的客户体验,而且在某些情况下还必须了解内部工作原理以帮助排除故障。分析基于生产的服务中的问题是一项团队运动…

麒麟V10系统 arm架构 安装docker

查看服务器环境 ## 查看系统版本,确认版本 cat /etc/kylin-release## 操作系统 uname -p## 内核版本(≥ 3.10) uname -r## iptables 版本(≥ 1.4) iptables --version iptables v1.8.1 (legacy)# 我这边是arm64/v8 架…

首届中文NL2SQL挑战赛亚军比赛攻略_BugCreater

关联比赛: 首届中文NL2SQL挑战赛 1. 任务描述 本次比赛的任务:根据Question、表格信息(包含列名、列类型、内容),预测对应的SQL语句(下图黄色部分)。比赛只涉及单表查询,需要预测的有4部分&a…

pointofix下载与调整中文

想要在屏幕上批注,用pointofix最好,本篇文章告诉你如何下载pointofix和把pointofix语言弄成中文。 首先打开pointofix官网下载pointofix的安装包。 Pointofix - Herunterladen - Downloadhttps://www.pointofix.de/download.php点击这个pointofix180de…

基于CentOS Stream 9平台搭建Nacos2.4.0.1集群,并使用OpenResty反向代理集群,GRPC协议配置

目录展示 Nacos2.4.0.1集群搭建1. 下载2. 解压3.修改配置3.1分别修改下启动类中JDK路径以及启动大小3.2 分别配置数据源 修改端口去掉前面的#注释(修改数据库地址、数据库用户名、密码)If use MySQL as datasource:Count of DB:Connect URL of DB:密钥鉴…

SQL注入实例(sqli-labs/less-9)

0、初始页面 1、爆库名 使用python脚本 def inject_database1(url):name for i in range(1, 20):low 32high 128mid (low high) // 2while low < high:payload "1 and if(ascii(substr(database(),%d,1)) > %d ,sleep(2),0)-- " % (i, mid)res {"…

项目管理证书 PMP 的含金量高吗?详解分析

有用就是好的&#xff0c;我觉得PMP在项目管理领域非常实用。特别是对我这样刚入门的新手来说&#xff0c;PMP证书和项目管理思维方式对我有很大帮助。因为我刚开始接触这个领域&#xff0c;所以能够接受正确的思维指引&#xff0c;比起那些有经验但可能存在错误思维的经理来说…

word操作技巧

查看word的标题和大纲 参考自&#xff1a; ​​​

C++ 80行 极简扫雷

一共5346个字符&#xff0c;MinGW编译通过&#xff08;强烈不建议写这种代码&#xff01;&#xff01;&#xff01;&#xff09; 压行规则&#xff1a;一行不超过80个字符 代码&#xff1a; #include<windows.h> #include<stdio.h> #include<time.h> #def…

JVM知识总结(垃圾收集算法)

文章收录在网站&#xff1a;http://hardyfish.top/ 文章收录在网站&#xff1a;http://hardyfish.top/ 文章收录在网站&#xff1a;http://hardyfish.top/ 文章收录在网站&#xff1a;http://hardyfish.top/ 垃圾收集算法 分代收集理论 分代思想就是将堆分为新生代和老年代…

Tkinter 转载 (来自C语言中文网)

一个最简单的Tkinter程序至少应包含以下4个部分&#xff1a; 导入tkinter模块、创建主窗口、也称root窗口&#xff08;即根窗口&#xff09;、添加人机交互控件&#xff0c;同时编写相应的事件函数、通过主循环&#xff08;mainloop&#xff09;来显示主窗口。 以上&#xff…

[Git] fatal: the remote end hung up unexpectedly

1 问题介绍 在使用Git进行代码管理和版本控制的过程中&#xff0c;许多开发者可能会遇到这样一个错误提示&#xff1a;fatal: the remote end hung up unexpectedly。这是一种常见的错误&#xff0c;通常出现在将本地代码推送&#xff08;push&#xff09;到远程仓库&#xff…

新加坡物理服务器详细测评数据

新加坡物理服务器因其地理位置优越、网络连接质量高以及数据中心设施完善等因素&#xff0c;成为了许多企业和个人选择托管其业务的理想之地。以下是对新加坡物理服务器的一些详细测评数据的科普文&#xff0c;旨在帮助读者更好地了解这类服务器的性能和特点。 新加坡物理服务器…

智能制造与工业物联网CC2530——串口通讯、定时器唤醒

一、项目目的&#xff1a; 1.1 任务1&#xff1a;ZigBee 模块串口通信 任务背景&#xff1a; 熟悉 ZigBee 模块的硬件接口是使用该技术的基础。通过学习如何利用 IAR 开发环境设计程序&#xff0c;可以实现 CC2530 与 PC 机终端之间的串口通信&#xff0c;从而更好地理解和应用…

中断、异常

文章目录 概念CPU怎么直到中断/异常跳过来执行哪一个函数呢&#xff1f;LR 中断硬件框架&#xff1a;对于F103这块芯片&#xff0c;如果要PA0发出中断&#xff0c;那要做的操作有&#xff1f;GPIO中断编程具体代码 概念 中断属于一种异常 保存现场、处理异常&#xff08;中断…

C# 植物大战僵尸---杂交版

开发框架&#xff1a;.Net Fra,ework4.0 游戏名称&#xff1a;植物大战僵尸-杂交版 游戏介绍&#xff1a;植物大战僵尸-杂交版是一款结合了经典塔防游戏《植物大战僵尸》的元素和创新杂交机制的游戏。玩家需要种植各种植或英雄物来抵御一波又一波的僵尸入侵。游戏的特色在于各…

迅为RK3588开发板可以实现双屏同显、双屏异显、三屏同显、三屏异显、标异屏切换

RK3588可以实现双屏同显、双屏异显、三屏同显、三屏异显、标异屏切换这主要取决于RK3588芯片内置了VOP控制器&#xff0c;支持三路视频同时输出可有效提高行业定制的拓展性。

《码农职场》(IT人求职就业手册)导读和理性书评

《码农职场》是为IT行业求职者量身定制的一本实用指南&#xff0c;涵盖了从求职准备到成功就业的全方位内容。书中分为“职前调整”和“就业指南”两大部分&#xff0c;每一部分都详尽地介绍了求职过程中的各个关键环节&#xff0c;旨在帮助求职者在竞争激烈的职场中脱颖而出。…