网络安全概论——入侵检测系统IDS

黑客Jack2024-12-21 21:25

一、入侵检测的概念

1、入侵检测的概念

  • 检测对计算机系统的非授权访问
  • 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的保密性、完整性和可用性
  • 识别针对计算机系统和网络系统或广义上的信息系统的非法攻击,包括检测外部非法入侵者的恶意攻击或探测,以及内部合法用户越权使用系统资源的非法行为。

所有能够执行入侵检测任务和实现入侵检测功能的系统都可称为入侵检测系统(IDS Intrusion Detection System)

入侵检测系统 IDS,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。能在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,这些都通过它执行以下任务来实现:

  • 监视、分析用户及系统的活动
  • 系统构造和弱点的审计
  • 识别反映已知攻击的活动模式并向相关人员报警
  • 异常行为模式的统计分析
  • 评估重要系统和数据文件的完整性
  • 操作系统的审计跟踪管理,并识别用户违反安全策略的行为

2、IDS系统模型的四个部分

  1. 数据收集器
  2. 检测器
  3. 知识库
  4. 控制器

3、IDS的任务

  1. 信息收集
  2. 信息分析:模式匹配 (与已知网络入侵数据库比较,误报率低,但只能发现已知攻击),统计分析 (观察值与正常值比较)、完整性分析(检查某个文件是否被修改)
  3. 安全响应:主动响应(系统本身自动执行,采取终止连接,修正系统环境),被动响应(发出告警信息和通知)

4、IDS的评价标准

  1. 性能检测
  2. 功能测试
  3. 用户可用性测试

二、入侵检测原理及主要方法

IDS通常使用两种基本的分析方法来分析事件、检测入侵行为,即异常检测(Anomaly Detection)误用检测(Misuse Detection)

1、异常检测

假定所有入侵行为都是与正常行为不同的,如果建立系统正常行为轨迹,那么理论上可以通过统计那些不同于我们已建立的特征文件的所有系统状态的数量来识别入侵企图,把所有与正常轨迹不同的系统状态视为可疑企图。

2、误用检测(基于知识的检测技术)

假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配方法发现。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。

误用检测系统的关键问题是如何从已知入侵中提取金和编写特征,使得其能够覆盖该入侵的所有可能的变种,而同时不会匹配到非法入侵活动(把真正入侵与正常行为区分开来)

三、IDS的结构与分类

1、IDS的功能

IDS至少包含事件提取入侵分析入侵响应远程管理四部分功能。

2、IDS的分类

按照数据来源分类:

①、基于网络的入侵检测系统(NIDS):数据来自于网络的数据流。

优缺点:侦测速度快,不容易受到攻击,对主机资源消耗少,//来自服务器本身的攻击不经过网络,误报率高

关键技术:蜜罐技术

工作原理:将入侵检测系统的产品放在比较重要的网段,如果数据包与产品内置的规则吻合就发出警报甚至直接切断连接

②、基于主机的入侵检测系统(HIDS):数据来自于审计记录和系统日志。

优缺点:不同操作系统捕获应用层入侵,误报少,//依赖与主机及其子系统,实时性差

工作原理:扫描操作系统和应用程序日志文件,查看敏感文件是否被篡改,检验进出主机的网络传输流,发现攻击。

监视用户和访问文件的活动

监视主要系统文件和可执行文件的改变

监视只有管理员才能实施的异常行为

③、分布式入侵检测系统(DIDS):数据来自于系统审计记录和网络的数据流。

克服了单一HIDS、NIDS的不足。

HIDS常安装于被保护的主机 上,而NIDS常安装于网络入口处

按照入侵检测策略分类:

①、滥用检测

优缺点:只收集相关数据集合,减少系统负担,//需要不断升级

原理:将收集到的信息与已知网络入侵和数据库比对

②、异常检测

优缺点:可检测到未知的入侵和更复杂的入侵//误报,漏报率高,且不适用于用户正常行为的突然改变

原理:统计正常使用的测量属性,若观察值超过正常范围,则认为有入侵发生

③、完整性分析

优缺点:只要攻击导致某个文件的改变就可以被发现,//一般以批处理方式不容易实时响应。

原理:关注某个文件是否被修改

3、DIDS构件

数据采集构件、通信传输构件、入侵检测分析构件、应急处理构件、用户管理构件

4、IDS控制台

控制台的设计重点是

  • 日志检索
  • 探测器管理
  • 规则管理
  • 日志报表
  • 用户管理

5、蜜罐技术

现代的IDS采用了蜜罐(Honeypot)技术的新思想。蜜罐是一个吸引潜在攻击者的陷阱,它的作用是:

把潜在入侵者的注意力从关键系统移开;

收集入侵者的动作信息

设法让攻击者停留一段时间,使管理员能检测到它并采取相应的措施。

潜在入侵者的信息可以通过检查蜜罐日志来获得

四、IDS的发展方向

  1. 宽带高速实时检测技术
  2. 大规模分布式的检测技术
  3. 数据挖掘技术
  4. 更先进的检测算法
  5. 入侵响应技术
相关推荐
亚空间仓鼠22 分钟前
OpenEuler系统常用服务(五)
linux·运维·服务器·网络
三七吃山漆31 分钟前
BUUCTF-[BJDCTF2020]Mark loves cat
web安全·网络安全·buuctf
AI成长日志1 小时前
【AI原生开发实战】1.2 传统开发 vs AI原生开发:思维转变与架构差异
服务器·架构·ai-native
2301_780789661 小时前
零信任架构在云安全落地过程中的最佳实践
服务器·人工智能·游戏·架构·零信任
the sun342 小时前
从 QEMU 直接启动到 U-Boot 引导:嵌入式 Linux 启动流程的本质差异
linux·运维·服务器
三思守心2 小时前
从 0 到 1 搭建自动化内容工厂:深度测评楼兰AI及其在全平台发帖中的表现
运维·服务器·自动化
草莓熊Lotso2 小时前
【Linux 线程进阶】进程 vs 线程资源划分 + 线程控制全详解
java·linux·运维·服务器·数据库·c++·mysql
盟接之桥2 小时前
盟接之桥®制造业EDI软件,打通全球供应链“最后一公里”,赋能中国制造连接世界
网络·安全·低代码·重构·汽车·制造
ZKNOW甄知科技2 小时前
数智同行:甄知科技2026年Q1季度回顾
运维·服务器·人工智能·科技·程序人生·安全·自动化
-SGlow-2 小时前
Linux相关概念和易错知识点(52)(基于System V的信号量和消息队列)
linux·运维·服务器
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程04AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南05Oh My Codex 快速使用指南06CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南07VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)08Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)09UV安装并设置国内源10MySQL表约束详解:8大核心约束实战指南