入侵检测系统是指用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种软硬件系统。另外,全面部署主机入侵检测系统代价较大,任何企业都无法将所有主机用主机入侵检测系统保护,只能选择其中的一部分。此时,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击目标。如果发现入侵行为或可疑事件,入侵检测系统就会发出警报,甚至切断网络连接。......
2023-10-18
计算机入侵检测系统结构分析
【摘要】:IDS在结构上可划分为数据收集和数据分析两部分。如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。集中式数据收集:检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。就检测入侵行为而言,直接监控要优于间接监控,由于直接监控操作的复杂性,目前的IDS产品中只有不足20%使用了直接监控机制。
IDS在结构上可划分为数据收集和数据分析两部分。
(一)数据收集机制
数据收集机制在IDS中占据着举足轻重的位置。如果收集的数据时延较大,检测就会失去作用。如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。
1.分布式与集中式数据收集机制
分布式数据收集:检测系统收集的数据来自一些固定位置而且与受监视的网元数量无关。
集中式数据收集:检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。
集中式和分布式数据收集机制的区别通常是衡量IDS数据收集能力的标志,它们几乎以相同的比例应用于当前的IDS产品中。据专家预言,分布式数据收集机制在若干年后将会占有优势。
2.直接监控和间接监控
如果IDS从它所监控的对象处直接获得数据,称为直接监控;反之,如果IDS依赖一个单独的进程或工具获得数据,则称为间接监控。
就检测入侵行为而言,直接监控要优于间接监控,由于直接监控操作的复杂性,目前的IDS产品中只有不足20%使用了直接监控机制。
3.基于主机的数据收集和基于网络的数据收集
基于主机的数据收集是从所监控的主机上获取数据;基于网络的数据收集是通过被监视网络中的数据流获取数据。(www.chuimin.cn)
总体而言,基于主机的数据收集要优于基于网络的数据收集。
4.外部探测器和内部探测器
外部探测器是负责监测主机中某个组件(硬件或软件)的软件。它将向IDS提供所需的数据,这些操作是通过独立于系统的其他代码来实施的。
内部探测器是负责监测主机中某个组件(硬件或软件)的软件。它将向IDS提供所需的数据,这些操作是通过该组件的代码来实施的。
外部探测器和内部探测器在用于数据收集时各有利弊,可以综合使用。由于内部探测器实现起来的难度较大,所以在现有的IDS产品中,只有很少的一部分采用它。
(二)数据分析机制
根据IDS如何处理数据,可以将IDS分为分布式IDS和集中式IDS。
1.分布式IDS:在一些与受监视组件相应的位置对数据进行分析的IDS。
2.集中式IDS:在一些固定且不受监视组件数量限制的位置对数据进行分析的IDS。
需要注意的是,这些定义基于受监视组件的数量而不是主机的数量,所以如果在系统中的不同组件中进行数据分析,除了安装集中式IDS外,也有可能在一个主机中安装有分布式数据分析的IDS,分布式IDS和集中式IDS都可以使用基于主机、基于网络或两者兼备的数据收集方式。
有关计算机网络与信息安全的文章
- 详细阅读
-
当前入侵检测系统问题与解决措施详细阅读
入侵检测系统在信息安全中有着重要的作用,但在国内的应用还远远没有普及。目前的入侵检测产品大多存在以下问题。和误报相对应的是漏报情况,随着攻击方法的不断更新,入侵检测系统能否检测出网络中存在的所有攻击也是一个重要的难题。(三)被动分析与主动发现的矛盾入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。......
2023-10-18
-
计算机网络与信息安全:入侵检测系统发展趋势详细阅读
目前入侵检测分析方法主要有统计分析、模式匹配、数据重组、协议分析、行为分析等。但由于目前算法处理和规则制定的难度很大,还不是非常成熟,但却是入侵检测技术发展的趋势。(二)内容恢复和网络审计功能的引入入侵检测的最高境界是行为分析。所以,入侵检测产品集成网管功能,扫描器、嗅探器等功能是以后研究发展的重要方向。......
2023-10-18
-
计算机网络与信息安全:入侵检测系统模型详细阅读
为了更好地研究入侵检测系统,人们将其各个组成部分抽象出来,形成各种入侵检测模型。模型中,入侵检测系统分为4个基本组件,即事件产生器、事件分析器、响应单元和事件数据库。其中的事件是指入侵检测系统需要分析的数据。如果入侵检测系统也能够像攻击者那样合作,就有可能检测到。......
2023-10-18
-
常用入侵检测系统介绍-《计算机网络与信息安全详细阅读
(一)Snort入侵检测系统Snort系统是一个以开放源代码形式发行的网络入侵检测系统,由Martin Roesch编写,并由遍布世界各地的众多程序员共同维护和升级。Snort不仅是一个网络入侵检测系统,还可以作为网络数据包分析器和记录器来使用。网络入侵检测系统网络入侵检测系统模式是Snort的最主要功能。(二)OSSEC HIDSOSSEC HIDS是一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查,Windows注册表监视、Rootkit检测、实时警告及动态的适时响应。......
2023-10-18
-
计算机入侵检测系统性能指标在《计算机网络与信详细阅读
(一)事件数量考察IDS系统的一个关键性指标是报警事件的多少。一般而言,事件越多,表明IDS系统处理的能力越强。目前的IDS系统都具有2000个以上的事件分析产生能力。对目前的IDS系统,数据加密已经是系统必备的功能。目前,大多数商用IDS系统都提供可定义事件,但很少提供事件的可定义性。积极响应是指IDS系统自动地对该网络行为进行干预,阻止其进一步的行为。IDS系统上报的各种事件,从本质......
2023-10-18
-
分布式入侵检测的优势详细阅读
分布式入侵检测系统各个检测组件针对不同数据来源,可以是网络数据包、主机审计记录、系统日志,也可以是特定应用程序的日志,甚至还可以是一些通过人工方式输入的审计数据。(四)协调响应措施由于分布式入侵检测系统的各个检测组件分布于受监控网络的各个位置,一旦系统检测到攻击行为,可以根据攻击数据包在网络中经过的物理路径采取相应的措施,如封锁攻击方的网络通路、入侵来源追踪等。......
2023-10-18
-
EtherCAT系统结构分析详细阅读
EtherCAT系统适合小数据量通信,系统实施成本低,在I/O级可以方便地实现与Internet的通信。EtherCAT采用主/从式构架。EtherCAT主设备由带有两个以太网端口的实时控制器构成。EtherCAT协议可以包括几个EtherCAT报文。形象地描述EtherCAT应用系统中数据传输的过程。设想以太网的数据帧就像行驶中的火车,EtherCAT报文是每节火车车厢,需要传输和处理的数据是车厢内的乘客,数据可以被提取出来或插入到合适的从设备中。......
2023-08-29
相关推荐