IDS(Intrusion Detection Systems)

news2024/11/17 17:40:20

计算机安全的三大中心目标是:保密性(Conf idential ity)、完整性(Integrity)、可用性(Availability)。 身份认证与识别、访问控制机制、加密技术、防火墙技术等技术共同特征就是集中在系统的自身加固和 防护上,属于静态的安全防御技术,缺乏主动的反应。

P2DR

P2DR模型是在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)评估系统的安全状态,使系统保持在最低风险的状态。安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)组成了一个完整动态的循环,在安全策略的指导下保证信息系统的安全。

P2DR模型提出了全新的安全概念,即安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来实现。

策略(P)信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证策略、备份恢复策略等。策略体系的建立包括安全策略的制定、评估与执行等;

防护(P)通过部署和采用安全技术来提高网络的防护能力,如访问控制、防火墙、入侵检测、加密技术、身份认证等技术;

检测(D)利用信息安全检测工具,监视、分析、审计网络活动,了解判断网络系统的安全状态。使安全防护从被动防护演进到主动防御,整个模型动态性的体现。主要方法包括:实时监控、检测、报警等;

响应(R)检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的安全性调整到风险最低的状态,包括恢复系统功能和数据,启动备份系统等。其主要方法包括:关闭服务、跟踪、反击、消除影响等。

P2DR安全的核心问题一一检测
检测是静态防护转化为动态的关键
检测是动态响应的依据
检测是落实/强制执行安全策略的有力工具

从实验室原型研究到推出商业化产品、走向市场并获得广泛认同,入侵检测走过了20多年的历程。 1984年-1986年,乔治敦大学的Dorothy Denning和SRI/CSL(SRI公司计算机科学实验室)的PeterNeumann研究出了一种实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵系统提供了一个通用的框架。
1988年,SRI/CSL的Teresa Lunt等改进了Denning的入侵检测模型,并研发出了实际的IDES。
1990年时入侵检测系统发展史上十分重要的一年。这一年,加州大学戴维斯分校的L.T.Heberlein等开发出了NSM(Network Security Monitor)。该系统第一次直接将网络作为审计数据的来源,因而可以在不将审计数计转化成统一的格式情况下监控异种主机。同时两大阵营正式形成:基于网络的IDS和基于主机的IDS。
1988年的莫里斯蠕虫事件发生后,网络安全才真正引起各方重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室,开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。 从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。SRI/CSL、普渡大学、加州戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面代表了当前的最高水平。我国也有多家企业通过最初的技术引进,逐渐发展成自主研发。

入侵检测作用

入侵检测可以识别入侵者,识别入侵行为,监视和检测已成功的安全突破,为对抗入侵及时提供重要信息,以阻止事件的发生和事态的扩大,具有如下作用:
1.实时检测网络系统的非法行为,持续地监视、分析网络中所有的数据报文,发现并及时处理所捕获的数据报文;
2.安全审计,通过对入侵检测系统记录的网络事件进行统计分析,发现其中的异常现象,为评估系统的安全状态提供相关证据:
3.不占用被保护系统的任何资源,作为独立的网络设备,可以做到对黑客透明,本身的安全性较高;
4.主机入侵检测系统运行于被保护系统之上,可以直接保护、恢复系统。

 入侵检测功能

入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵,并能采取相应的措施及时中止这些危害,如提示报警、阻断连接、通知网管等。其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。


入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵
弥补防火墙对应用层检查的缺失。

优点局限性
防火墙可简化网络管理,产品成熟无法处理网络内部的攻击
IDS实时监控网络安全状态

误报警,缓慢攻击,新的攻击模式

Scanner简单可操作,帮助系统管理员和安全服务人员解决并不能真正扫描漏洞
VPN保护公网上的内部通信可视为防火墙上的一个漏洞
防病毒针对文件与邮件,产品成熟功能单一

入侵检测系统模型

检测器
分析和检测入侵的任务并向控制器发出警报信号


数据收集器
主要负责收集数据


知识库
为检测器和控制器提供必需的数据信息支持


控制器
根据警报信号人工或自动地对入侵行为做出响应

IDS功能模块


信息收集
所收集的信息内容:

  • 用户在网络、系统、数据库及应用系统中活动的状态和行为
  • 系统和网络的日志文件
  • 目录和文件中的异常改变
  • 程序执行中的异常行为
  • 物理形式的入侵信息

信息分析
①操作模型 ②方差 ③多元模型 ④马尔可夫过程模型 ⑤时间序列分析

  • 模式匹配
  • 统计分析
  • 完整性分析


安全响应
流行的响应方式:记录日志、实时显示、E-mi报警、声音报警、SNMP报警、实时TCP阻断、防火墙联动、WinPop显示、手机短信报警

  • 主动响应
  • 被动响应

异常检测当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的DS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警

入侵检测原理及主要方法


攻击检测
入侵检测类似于治安巡逻队,专门注重发现形迹可疑者

  • 被动、离线地发现计算机网络系统中的攻击者。
  • 实时、在线地发现计算机网络系统中的攻击者。

异常检测
IDS通常使用的两种基本分析方法之一,又称为基于行动的入侵检测技术。
收集操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述,判断是否发生入侵。

误用检测
又称特征检测
IDS通常使用的两种基本分析方法之一,又称基于知识的检测技术。
对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。 

入侵检测系统的分类

HIDS 基于主机的入侵检测系统:

该系统通常是安装在被重点检测的主机上,其数据源来自主机,如日志文件、审计记录等。该系统通过监视与分析主机中的上述文件,就能够检测到入侵。能否及时采集到上述文件是这些系统的关键点之一。因为入侵者会将主机的审计子系统作为攻击目标以避开 IDS。

NIDS 基于网络的入侵检测系统:

此系统使用原始网络包作为数据源。通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:模式、表达式或字节匹配,频率或穿越阀值,次要事件的相关性,统计学意义上的非常规现象检测。一旦检测到了攻击行为,响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接或为法庭分析和证据收集而作的会话记录。

混合检测系统:近几年来,混合检测日益受到人们的重视。这类检测在作出决策之前,既分析系统的正常行为,又观察可疑的入侵行为,所以判断更全面、准确、可靠。它通常根据系统的正常数据流背景来检测入侵行为,故而也有人称其为 “启发式特征检测”。

 

检测生命周期

  • 信息收集:用数据来刻画系统和网络运行历史和现状
  • 信息分析:用收集的数据去研判现状和预测未来
  • 结果处理:记录、告警和视觉呈现

信息收集的方法

  • 基于主机
  • 基于网络
  • 基于传感器
    • 基于主机运行的软件
    • 基于网络的数据捕获传感器
    • 物联网中的各种传感器

信息分析

  • 异常检测
    • 例如:统计分析、完整性分析
  • 误用检测
    • 例如:模式匹配
  • 融合使用异常检测和误用检测(实际系统的普遍做法)

异常检测之统计分析

  • ·统计分析对象
    • 如用户、文件、目录和设备等
  • 统计分析方法
    • 为统计分析对象创建一个统计描述,统计正常使用时的一些测量属性(如访问时间(工作时间/休息时间)、访问次数、操作失败次数和延时等)
  • 统计匹配
    • 测量属性的平均值将被用来与网络、系统的行为进行比较,任何观测/测量值在正常值范围之外时,就认为有入侵发生

异常检测之完整性分析

  • 完整性分析对象
    • 文件/目录/任意数字资源
      • 例如:文件和目录的内容及属性
  • 完整性分析方法
    • 建立完整性分析对象在正常状态时的完整性签名
  • 完整性分析匹配
    • 匹配签名值是否发生改变(若发生改变,则认定目标对象被入侵篡改)

常见异常检测算法

  • 基于特征选择异常检测
  • 基于贝叶斯推理异常检测
  • 基于贝叶斯网络异常检测
  • 基于神经网络异常检测
  • 基于贝叶斯聚类异常检测

误用检测之模式匹配

  • 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式规则集进行比较,从而发现违反安全策略的行为
  • 入侵模式的表示方法
    • 一个过程(如执行一条指令)
    • 一个输出(如获得权限)
  • 入侵模式的匹配过程
    • 字符串匹配:精确匹配、模糊匹配
    • 状态机迁移序列匹配

常用误用检测算法

  • 基于条件概率误用检测
  • 基于专家系统误用检测
  • 基于状态迁移误用检测

结果处理

  • 产生告警
    • 记录告警日志
    • 请求其他安全设备的协作联动
    • 防火墙联动
  • 视觉呈现
    • 「态势感知」产品的原型

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/800197.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【微服务架构设计】微服务不是魔术:处理超时

微服务很重要。它们可以为我们的架构和团队带来一些相当大的胜利,但微服务也有很多成本。随着微服务、无服务器和其他分布式系统架构在行业中变得更加普遍,我们将它们的问题和解决它们的策略内化是至关重要的。在本文中,我们将研究网络边界可…

上门居家养老小程序社区养老小程序开发方案详解

居家养老管理社区养老小程序有哪些功能呢? 1.选择养老服务类型 医疗护理,家政服务预约,上门助浴、上门做饭,上门助餐,生活照护,康复理疗、精神慰藉、委托代办等。各项服务的详情介绍。 2.选择预约时间 选择…

Linux_NVR_SDK 编译应用 -基于iTOP-RK3568开发板

在源码 build/app 目录下有发布版本的 RKMPI 以及编译配置,目前的编译方式只支持 Cmake 脚本。如果要编译其他应用,可以参考 build/app/build/build.sh 脚本配置编译工具链。 以编译 RKMPI 应用程序为例,进行示范: 1. 使能 sdk…

BIM与GIS融合:公路设计施工信息化的创新解决方案

随着信息技术的不断发展和应用,建筑行业也迎来了数字化转型。BIM(建筑信息模型)和GIS(地理信息系统)作为建筑行业中的重要技术,它们的融合对于实现公路施工信息化具有重要意义。Bim技术可以提供精细的建筑信…

(无人机方向)ros小白之键盘控制无人机(终端方式)

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一:配置pycharm的ros开发环境二:核心代码讲解三 效果演示XTDrone 四 完整代码 前言 ubuntu 18.04 pycharm ros melodic 做一个在终端中…

Android 截图功能实现

Android 截图功能实现 简介效果图功能实现1. 截取当前可见范围屏幕2. 截取当前可见范围屏幕(不包含状态栏)3. 截取某个控件4. 截取ScrollView5. 长截图6. 截屏动画效果7. 显示截屏结果,自动消失6. 完整代码 简介 在Android应用中开发截图功能…

Kibana+Prometheus+node_exporter 监控告警部署

下载好三个软件包 一、prometheus安装部署 1、解压 linxxubuntu:~/module$ tar -xvf prometheus-2.45.0-rc.0.linux-amd64.tar.gz 2、修改配置文件的IP地址 # my global config global:scrape_interval: 15s # Set the scrape interval to every 15 seconds. Default is ever…

xshell连接Windows中通过wsl安装的linux子系统-Ubuntu 22.04

xshell连接Windows中通过wsl安装的linux子系统-Ubuntu 22.04 一、安装linux子系统 1.1、 启动或关闭Windows功能-适用于Linux的Windows子系统 1.2 WSL 官方文档 使用 WSL 在 Windows 上安装 Linux //1-安装 WSL 命令 wsl --install//2-检查正在运行的 WSL 版本:…

LeetCode221.Maximal-Square<最大正方形>

题目&#xff1a; 思路&#xff1a; 这题是动态规划&#xff0c;但是不会写。想着判断dp的 <上&#xff0c;左&#xff0c;左上> 去了。发现只能这样最大只能判断面积为4的正方形因为只会判断另外三个方格。而要想判断更大的正方形那就需要递归操作了。那肯定会超时了。…

乌班图安装MySQL5.7时的故障求解

wget https://dev.mysql.com/get/mysql-apt-config_0.8.12-1_all.deb dpkg -i mysql-apt-config_0.8.12-1_all.deb apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 467B942D3A79BD29 apt update

微信小程序云开发快速入门

什么是云开发&#xff1f; 云开发是可以帮助我们快速成为全栈的一种后端云服务&#xff0c;采用的是Serverless的架构。开发者无须搭建服务器&#xff0c;可直接使用其中的云数据库、云存储、云函数等云服务基础功能。 那么这个时候你可能会想&#xff0c;这和现在的传统开发…

Educational Codeforces Round 152 (Rated for Div. 2) D题 1849D Array Painting

传送门 https://codeforces.com/contest/1849/problem/D D. Array Painting 题意 题解 分类讨论 这题的精髓在于欠债 用一个a0表示当前有没有负债 当前欠债最多为1 首先我们讨论, 在不欠债的情况下遇到0是怎么模拟的: 前面有能够产生贡献的12连通块 例如: 12110 很明显答案…

vue element ui el-tree 通过子节点反向递归查找父节点

今天做了一个项目采用的是element tree组件&#xff0c;要求子父节点不强关联&#xff0c;但是当我点击子节点时&#xff0c;会反向的选择所有的父节点&#xff0c;如下图&#xff1a; 当我点击电话时&#xff0c;往上一层的“电话”和“我的”均为父级以上的节点&#xff0c;全…

Practice1|1207. 独一无二的出现次数、1365. 有多少小于当前数字的数字、941. 有效的山脉数组

1207. 独一无二的出现次数 1.题目&#xff1a; 给你一个整数数组 arr&#xff0c;请你帮忙统计数组中每个数的出现次数。 如果每个数的出现次数都是独一无二的&#xff0c;就返回 true&#xff1b;否则返回 false。 示例 1&#xff1a; 输入&#xff1a;arr [1,2,2,1,1,3…

安卓的播放器对比与选型(vlc,EXOplayer,Ijkplayer,GSYVideoPlayer)详细过程

安卓的播放器对比与选型&#xff08;vlc&#xff0c;EXOplayer&#xff0c;Ijkplayer&#xff0c;GSYVideoPlayer&#xff09;&#x1f4fa;详细过程 前言一、vlc二、EXOplayer三、Ijkplayer四、GSYVideoPlayer&#x1f525;&#x1f525;&#x1f525;五、其他的开源播放器jia…

婚庆服务小程序app开发方案详解

开发一款婚庆行业服务小程序有哪些功能呢&#xff1f; 1、选择分类 选择婚庆、婚车、婚宴、司仪、彩妆、婚庆用品、跟拍、摄影等&#xff0c;筛选出对应的商家 2、选择商家 选择分类后&#xff0c;可以选择商家&#xff0c;查看各个商家的详细介绍情况。 3、选择服务套餐 各…

Linux虚拟机(lvm)报Unmount and run xfs_repair

问题 linux系统没有正常关机&#xff0c;今天启动虚拟机无法进入系统&#xff0c;提示metadata corruption deleted at xxxx&#xff1b; Unmount and run xfs_repair 分析 主机异常掉电后里面的虚拟机无法启动&#xff0c;主要是损坏的分区 解决 看出来应该是dm-0分区损坏…

应急响应经典案例-FTP 暴力破解

应急响应经典案例-FTP 暴力破解 应急场景日志分析应急处理措施 应急场景 从昨天开始&#xff0c;网站响应速度变得缓慢&#xff0c;网站服务器登录上去非常卡&#xff0c;重启服务器就能保证一段时间的正常访问&#xff0c;网站响应状态时而飞快时而缓慢&#xff0c;多数时间是…

华为云安装MySQL后,本地工具连接MySQL失败

华为云安装MySQL后&#xff0c;本地连接失败 排查问题步骤&#xff1a; 在此之前需要在MySQL创建用户&#xff0c;并赋予权限。 1、能否ping通。 在本地命令行(Windows&#xff1a;winR)通过ping命令&#xff0c;ping服务器地址&#xff0c;看能否ping通。不能则需要检查本地…

Redis服务优化

目录 一.Rde高可用 二.Rdies持久化 2.1持久化的功能 2.2Redis 提供两种方式进行持久化 三.RDB持久化 3.1触发条件 3.1.1手动触发 3.1.2自动触发 3.1.3其他自动触发机制 3.1.4执行流程 3.1.5启动时加载 四.AOF持久化 4.1开启AOF 4.2执行流程 4.2.1命令追加(append) 4.2.2文件写…