安防及入侵檢測(cè)·什么是IDS入侵檢測(cè)

    IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測(cè)系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

    我們做一個(gè)形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。 

    在本質(zhì)上，入侵檢測(cè)系統(tǒng)是一個(gè)典型的"窺探設(shè)備"。它不跨接多個(gè)物理網(wǎng)段（通常只有一個(gè)監(jiān)聽端口），無須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)的、無聲息的收集它所關(guān)心的報(bào)文即可。對(duì)收集來的報(bào)文，入侵檢測(cè)系統(tǒng)提取相應(yīng)的流量統(tǒng)計(jì)特征值，并利用內(nèi)置的入侵知識(shí)庫，與這些流量特征進(jìn)行智能分析比較匹配。根據(jù)預(yù)設(shè)的閥值，匹配耦合度較高的報(bào)文流量將被認(rèn)為是進(jìn)攻，入侵檢測(cè)系統(tǒng)將根據(jù)相應(yīng)的配置進(jìn)行報(bào)警或進(jìn)行有限度的反擊。入侵檢測(cè)系統(tǒng)的原理模型如圖所示。

                  入侵檢測(cè)系統(tǒng)通過監(jiān)聽獲得網(wǎng)絡(luò)連路上流量的拷貝

    入侵檢測(cè)系統(tǒng)的工作流程大致分為以下幾個(gè)步驟：

    （1）信息收集 入侵檢測(cè)的第一步是信息收集，內(nèi)容包括網(wǎng)絡(luò)流量的內(nèi)容、用戶連接活動(dòng)的狀態(tài)和行為。

    （2）信號(hào)分析 對(duì)上述收集到的信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

    具體的技術(shù)形式如下所述：

    模式匹配

    模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡(jiǎn)單（如通過字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。一般來講，一種進(jìn)攻模式可以用一個(gè)過程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過的黑客攻擊手段。

    統(tǒng)計(jì)分析

    分析方法首先給信息對(duì)象（如用戶、連接、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常偏差之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，統(tǒng)計(jì)分析可能標(biāo)識(shí)一個(gè)不正常行為，因?yàn)樗�發(fā)現(xiàn)一個(gè)在晚八點(diǎn)至早六點(diǎn)不登錄的帳戶卻在凌晨?jī)牲c(diǎn)試圖登錄。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。

    完整性分析

    完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓�改，包括文件和目錄的�?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特絡(luò)伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），能識(shí)別及其微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。這種方式主要應(yīng)用于基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）。

    （3）實(shí)時(shí)記錄、報(bào)警或有限度反擊

    IDS根本的任務(wù)是要對(duì)入侵行為做出適當(dāng)?shù)姆磻?yīng)，這些反應(yīng)包括詳細(xì)日志記錄、實(shí)時(shí)報(bào)警和有限度的反擊攻擊源。

    經(jīng)典的入侵檢測(cè)系統(tǒng)的部署方式如圖所示：

【安防及入侵檢測(cè)·什么是IDS入侵檢測(cè)】相關(guān)文章：

遠(yuǎn)古入侵作文11-27

生物入侵者教案11-22

生物入侵者的教案02-05

《生物入侵者》教案03-15

生物入侵教學(xué)反思（精選5篇）01-13

生物入侵者教學(xué)反思04-09

《生物入侵者》教學(xué)反思04-09

核酸檢測(cè)常態(tài)化檢測(cè)方案（精選12篇）09-20

核酸檢測(cè)現(xiàn)場(chǎng)檢測(cè)方案（通用12篇）12-05

核酸檢測(cè)入戶檢測(cè)事跡（通用10篇）11-15