IDS入侵檢測系統介紹

2016-07-12 1910 0 編輯:Monster 來源:互聯網

防火墻試圖在入侵行為發生之前阻止所有可疑的通信,但事實是不可能阻止所有的入侵行為,有必要采取措施在入侵已經開始,但還沒有造成危害或在造成更大危害前,及時檢測到入侵,以便盡快阻止入侵,把危害降低到最小。入侵檢測系統IDS(Intrusion Detection System)正是這樣一種技術。IDS對進入網絡的分組執行深度分組檢查,當觀察到可疑分組時,向網絡管理員發出靠警或執行阻斷操作,IDS能用于檢測多種網絡攻擊,包括網絡映射、端口掃描、DoS攻擊、蠕蟲和病毒、系統漏洞攻擊等。

IDS入侵檢測系統

入侵檢測方法一般可以分為基于特征的入侵檢測和基于異常的入侵檢測兩種。

基于特征的IDS維護一個所有已知攻擊標志性特征的數據庫,每個特征是一個與某種入侵活動相關聯的規則集,這些規則可能基于單個分組的首部字段或數據中特定比特串,或者與一系列分組有關,當發現有與某種攻擊特征匹配的分組或分組序列時,則認為可能檢測到某種入侵行為,這些特征和規則通常由網絡安全專家生成,機構的網絡管理員定制并將其加入到數據庫中。基于特征的IDS只能檢測已知攻擊,對于未知攻擊則束手無策,基于異常的IDS通過觀察正常運行的網絡流量,學習正常流量的統計特性和規律,當檢測到網絡中流量某種統計規律不符合正常情況時,則認為可能發生了入侵行為,例如,當攻擊者在對內網主機進行ping搜索時,或導致ICMPping報文突然大量增加,與正常的統計規律有明顯不同,但區分正常流和統計異常流是一個非常困難的事情。至今為止,大多數部署的IDS主要是基于特片的,盡管某些IDS包括了某些基于異常的特性。

不論采用什么檢測技術都存在“漏報”和“誤報”情況,如果“漏報”率比較高,則只能檢測到少量的入侵,給人以安全的假象,對于特定IDS,可以通過調整某些閾值來降低“漏報”率,但同時會增大“誤報”率。“誤報”率太大會導致大量虛假警報,網絡管理員需要花費大量時間分析報警信息,甚至會因為虛假警報太多而對報警“視而不見”使IDS形同虛設。


本站文章均為深正網站建設摘自權威資料,書籍,或網絡原創文章,如有版權糾紛或者違規問題,請即刻聯系我們刪除,我們歡迎您分享,引用和轉載,但謝絕直接搬磚和抄襲!感謝...
關注深正互聯
七星彩头尾