IDS在结构上可划分为数据收集和数据分析两部分。如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。集中式数据收集:检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。就检测入侵行为而言,直接监控要优于间接监控,由于直接监控操作的复杂性,目前的IDS产品中只有不足20%使用了直接监控机制。......
2023-10-18
入侵检测系统的特点和分类分析
【摘要】:入侵检测系统是指用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种软硬件系统。另外,全面部署主机入侵检测系统代价较大,任何企业都无法将所有主机用主机入侵检测系统保护,只能选择其中的一部分。此时,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击目标。如果发现入侵行为或可疑事件,入侵检测系统就会发出警报,甚至切断网络连接。
目前,IDS的标准化工作主要由IETF来完成。入侵检测系统是指用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种软硬件系统。由于网络环境和系统安全策略的差异,入侵检测系统在具体实现上也有所不同。
(一)入侵检测系统的特点
一个成功的入侵检测系统至少要满足以下5个主要功能要求。
(1)实时性要求
如果攻击或攻击的企图能够尽早被发现,这就使得有可能查找出攻击者的位置,阻止进一步的攻击活动,把破坏控制在最小限度,并能够记录下攻击者攻击过程的全部网络活动,作为证据进行回放。实时入侵检测可以避免在常规情况下,管理员通过对系统日志进行审计的方式来查找入侵者或入侵行为线索时的种种不便与技术上的限制。
(2)可扩展性要求
因为存在成千上万种不同的已知和未知的攻击手段,它们的攻击行为特征也各不相同。所以必须建立一种机制,把入侵检测系统的体系结构与使用策略区分开。一个已经建立的入侵检测系统必须能够保证在新的攻击类型出现时,可以通过某种机制在无须对入侵检测系统本身进行改动的情况下,使系统能够检测到新的攻击行为。并且在入侵检测系统的整体功能设计上,也必须建立一种可以扩展的结构,以便系统结构本身能够适应未来可能出现的扩展要求。
(3)适应性要求
入侵检测系统必须能够适用于多种不同的环境,如高速大容量计算机网络环境,并且在系统环境发生改变(如增加环境中的计算机系统数量、改变计算机系统类型)时,入侵检测系统应当依然能够正常工作。适应性也包括入侵检测系统本身对其宿主平台的适应性,即跨平台工作的能力,适应其宿主平台软、硬件配置的各种不同情况。
(4)安全性与可用性要求
入侵检测系统必须尽可能地完善与健壮,不能向其宿主计算机系统及其所属的计算机环境中引入新的安全问题及安全隐患,并且入侵检测系统应该在设计和实现中能够有针对性地考虑几种可以预见的,对应于该入侵检测系统的类型与工作原理的攻击威胁,以及其相应的抵御方法,以确保该入侵检测系统的安全性与可用性。
(5)有效性要求
能够证明根据某一设计所建立的入侵检测系统是切实有效的,即对于攻击事件的错报与漏报能够控制在一定范围内。(www.chuimin.cn)
(二)入侵检测系统的分类
根据着眼点的不同,对入侵检测技术的分类方法很多。可以依照检测方法、对入侵的响应方式和信息的来源等不同的标准来划分入侵检测系统。传统的划分方法是根据信息的来源将入侵检测系统分为基于主机的入侵检测系统(Host Intrusion Detection System,HIDS)、基于网络的入侵检测系统(Network Intrusion Detection System,NIDS),以及分布式入侵检测系统(Distributed Intrusion Detection System,DIDS)。
1.基于主机的入侵检测系统
基于主机的入侵检测系统通常安装在需要重点检测的主机上,主要是对该主机的网络实时连接及系统审计日志进行智能分析和判断。
由于基于主机的入侵检测系统必须安装在需要保护的设备上,这必定降低该设备的工作效率。另外,全面部署主机入侵检测系统代价较大,任何企业都无法将所有主机用主机入侵检测系统保护,只能选择其中的一部分。此时,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击目标。因此,随着网络使用的频繁程度越来越高,基于主机的入侵检测系统将无法适应这种局面,它只能作为网络入侵检测的一个有力补充。
2.基于网络的入侵检测系统
NIDS在混杂模式下监视网段中传输的各种数据包,并对这些数据包的内容、源地址、目的地址等进行分析和检测。如果发现入侵行为或可疑事件,入侵检测系统就会发出警报,甚至切断网络连接。它通常安装在网络上比较重要的网段,也可以说容易出问题的网段,利用网络侦听技术,通过对网络上的数据流进行捕捉、分析,以判断是否存在入侵。它以网络上传输的信息包为主要研究对象,保护网络的运行。
基于网络的IDS成本低,只需要在网络的关键点进行部署即可,对那些基于协议入侵的行为有很好的防范作用,并且对攻击进行实时响应,而与主机操作系统无关。但是随着网络上传送的数据包的日益庞大,对每个数据包进行捕获分析已经不太现实了,这将严重增加系统的负荷,丢包现象将逐渐增多,从而影响NIDS的性能。
基于对上述两种IDS的分析,分布式入侵检测系统已经是现在和将来入侵检测系统应用发展的必然趋势。
3.分布式入侵检测系统
典型的DIDS是管理端/传感器结构。NIDS作为传感器放置在网络的各个地方,并向中央管理平台汇报情况。攻击日志定时地传送到管理平台并保存在中央数据库中,新的攻击特征库能发送到各个传感器上。每个传感器能根据所在网络的实际需要配置不同的规则集,报警信息能发到管理平台的消息系统,用各种方式通知IDS管理员。
对DIDS来说,传感器可以使用NIDS或HIDS,或者同时使用,而且传感器有的工作在混杂模式,有的工作在非混杂模式,然而无论什么情况,DIDS都有一个显著的特征,即分布在网络不同位置的传感器都向中央管理平台传送报警和日志信息。
有关计算机网络与信息安全的文章
- 详细阅读
-
当前入侵检测系统问题与解决措施详细阅读
入侵检测系统在信息安全中有着重要的作用,但在国内的应用还远远没有普及。目前的入侵检测产品大多存在以下问题。和误报相对应的是漏报情况,随着攻击方法的不断更新,入侵检测系统能否检测出网络中存在的所有攻击也是一个重要的难题。(三)被动分析与主动发现的矛盾入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。......
2023-10-18
-
了解钢的分类和特点的分析介绍详细阅读
钢除常用的按化学成分和用途分类外,还有一些多年来常用分类,介绍如下:1.按碳的质量分数分低碳钢 碳的质量分数低于0.25%。图4-5 金属材料按用途分类4.按冶炼方法分转炉钢 用转炉吹炼出来的钢。它按炉衬材料分为酸性平炉钢和碱性平炉钢,以碱性平炉钢为主。钢锭上部没有缩孔,只是内部有许多分散的小气泡,但钢锭外壳仍是坚实的,这些分散小气泡在轧制钢材过程中可以被压合消除掉。......
2023-06-26
-
土的工程性质及其分类和特点分析详细阅读
(一) 土的颗粒分类根据土的颗粒级配,土可分为碎石类土、砂土和黏性土。表4-1土的颗粒分类(二) 土的松实关系自然状态下的土,经开挖扰动之后,因土体变得松散而使体积增大,这种性质叫做土的松散性,各种土的松散系数见表4-2。例如,在填筑拦河坝时,从土区取1m3的自然方,经过挖松运至坝体进行碾压后的实体方,就小于原1m3的自然方,这种性质叫做土的可缩性。......
2023-06-29
-
分布式入侵检测的优势详细阅读
分布式入侵检测系统各个检测组件针对不同数据来源,可以是网络数据包、主机审计记录、系统日志,也可以是特定应用程序的日志,甚至还可以是一些通过人工方式输入的审计数据。(四)协调响应措施由于分布式入侵检测系统的各个检测组件分布于受监控网络的各个位置,一旦系统检测到攻击行为,可以根据攻击数据包在网络中经过的物理路径采取相应的措施,如封锁攻击方的网络通路、入侵来源追踪等。......
2023-10-18
-
SEM的分类和性能特点详细阅读
SEM的分辨率介于透射电镜和光学显微镜之间,而放大倍数变化范围大,且能连续可调。SEM上可安装能谱仪、特殊样品台等多种附件。一般SEM均在高真空下工作,这就无法观察带有水分的或有挥发性物质的样品。可变气压扫描电镜也称低压扫描电镜,通常这类电镜的真空度在266 Pa左右,且可能不一定使用特殊的气体环境探测器。......
2023-06-20
-
冲压模具的分类和特点详细阅读
冲模是使板料分离或变形的工具。适合生产批量大、精度要求高的冲压件。图5-23模具零件分类按照工序组合程度不同,冲模可分为单工序冲模、复合冲模和连续冲模。图5-25凸缘制件的落料拉深复合模3. 级进冲模压力机在一次行程中,依次在模具几个不同的位置上同时完成多道冲压工序的冲模称为级进模具,又称连续模、跳步模,如图5-26所示。但级进模轮廓尺寸较大,制造较复杂,成本较高,适用于大批量生产小型冲压件。表5-7模具特点续表续表......
2023-06-24
-
焊接方法的分类及特点分析详细阅读
以热源类型为横坐标,以两材料发生结合时的物理状态为纵坐标,用二元坐标法将焊接方法进行分类,见表3-7。表3-7 焊接方法分类(续)焊接方法的主要特点:1)节省材料,减轻重量。可焊范围较广,而且连接性能较好。焊接接头可达到与工件金属等强度或相应的特殊性能。4)满足特殊连接要求。尽管如此,焊接加工在应用中仍存在某些不足。采用焊接方法修复某些有缺陷、失去精度或有特殊要求的工件,可延长使用寿命,提高使用性能。......
2023-06-28
相关推荐