返回
ides入侵检测系统new

ides入侵检测系统new

ID:21745404

大小:31.34 KB

页数:6页

时间:2018-10-24

ides入侵检测系统new_第1页
ides入侵检测系统new_第2页
ides入侵检测系统new_第3页
ides入侵检测系统new_第4页
ides入侵检测系统new_第5页
资源描述:

《ides入侵检测系统new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、入侵检测系统百科名片  入侵检测系统入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。IDS最早出现在1980年4月。1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。1990年,IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以完全取代防火墙。目录定义系统组成系统分类1.系统通信协议2.入侵检测技术

2、IDS缺点定义系统组成系统分类1.系统通信协议2.入侵检测技术IDS缺点展开编辑本段定义  我们做一个形象的比喻:假如防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因

3、此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:  (1)尽可能靠近攻击源  (2)尽可能靠近受保护资源  这些位置通常是:  ·服务器区域的交换机上  ·Internet接入路由器之后的第一台交换机上  ·重点保护网段的局域网交换机上

4、  由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。Venustech(启明星辰)、InternetSecuritySystem(ISS)、思科、赛门铁克等公司都推出了自己的产品。编辑本段系统组成  IETF将一个入侵检测系统分为四个组件:事件产生器(Eventgenerators);事件分析器(Eventanalyzers);响应单元(Responseunits);事件数据库(Eventdatabases)。  事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器

5、分析得到的数据,并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。编辑本段系统分类  根据检测对象的不同,入侵检测系统可分为主机型和网络型。系统通信协议  系统通信协议  IDS系统内部各组件之间需要通信,不同厂商的IDS系统之间也需要通信。因此,有必要定义统一的协议。目前,IETF目前有一个专门的小组IntrusionDetectionWorkin

6、gGroup(IDWG)负责定义这种通信格式,称作IntrusionDetectionExchangeFormat(IDEF),但还没有统一的标准。  以下是设计通信协议时应考虑的问题:  1.系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输(同时防止主动和被动攻击)。  2.通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外措施保证系统正常工作。入侵检测技术  入侵检测技术  对各种事件进行分析,从中发现违反安全策略的行为

7、是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。  对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。  而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常

8、”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。  两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。