主頁 >  其他 > 網路安全第六講 入侵檢測系統

網路安全第六講 入侵檢測系統

2020-10-25 19:24:29 其他

網路資訊安全第六講 入侵檢測系統

一 入侵檢測定義

  1. 入侵:指一系列試圖破壞資訊資源機密性完整性可用性的行為,對資訊系統的非授權訪問及(或)未經許可在資訊系統中進行操作,
  2. 入侵檢測:是通過從計算機網路系統中的若干關鍵節點收集資訊,并分析這些資訊,監控網路中是否有違反安全策略的行為或者是否存在入侵行為,是對指向計算和網路資源的惡意行為的識別和回應程序,
  3. 入侵檢測系統(IDS):入侵檢測系統通過監視受保護系統的狀態和活動,采用例外檢測濫用檢測的方式,發現非授權的或惡意的系統及網路行為,為防范入侵行為提供有效的手段,是一個完備的網路安全體系的重要組成部分,入侵檢測的軟體與硬體的組合,是防火墻的合理補充,是防火墻之后的第二道安全閘門,
  4. 入侵檢測的內容
    在這里插入圖片描述

二 典型的IDS技術

  • IDS起源與發展:審計技術:產生、記錄并檢查按時間順序排列的系統事件記錄的程序,通常用審計日志的形式記錄,

  • 審計的目標

    1. 確定和保持系統活動中每個人的責任

    2. 重建事件

    3. 評估損失

    4. 監測系統的問題區

    5. 提供有效的災難恢復

    6. 阻止系統的不正當使用

  • 入侵檢測流程:資訊收集、資訊分析、結果處理

  1. 資訊收集

在這里插入圖片描述

  1. 資訊分析
  • 模式匹配:就是將收集到的資訊與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為,
  • 統計分析:首先給系統物件(如用戶、檔案、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等),測量屬性的平均值將被用來與網路、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生,
  • 完整性分析,往往用于事后分析:完整性分析主要關注某個檔案或物件是否被更改,這經常包括檔案和目錄的內容及屬性,它在發現被更改的、被安裝木馬的應用程式方面特別有效,
  1. 事件回應(結果處理):

在這里插入圖片描述

三 入侵檢測系統分類

  • 基于主機的入侵檢測系統、基于網路的入侵檢測系統、分布式入侵檢測系統
  1. 基于主機的入侵檢測系統(Host-based IDS,HIDS)
  • 基于主機的入侵檢測系統通常被安裝在被保護的主機上,對該主機的網路實時連接以及系統審計日志進行分析和檢查,當發現可疑行為和安全違規事件時,系統就會向管理員報警,以便采取措施,這些受保護的主機可以是Web服務器、郵件服務器、DNS服務器等關鍵主機設備,
  • 主機的資料源:作業系統事件日志、應用程式日志系統日志、關系資料庫、Web服務器,
  • 檢測內容:系統呼叫、埠呼叫、系統日志、安全審記、應用日志,
  • HIDS的優點檢測精度高,HIDS針對用戶和系統活動進行檢測,更適用于檢測內部用戶攻擊或越權行為,不受加密和交換設備影響,HIDS只關注主機本身發生的事件,并不關心主機之外的網路事件,所以檢測性能不受資料加密、隧道和交換設備影響,不受網路流量影響, HIDS并不采集網路資料包,不會因為網路流量增加而丟失對系統行為的監視,故其檢測性能與網路流量無關,
  • HIDS的缺點 :HIDS安裝在需要保護的主機上,必然會占用主機系統資源,額外負載將降低應用系統的效率,HIDS完全依賴作業系統固有的審計機制,所以必須與作業系統緊密集成,導致平臺的可移植性差,HIDS本身的健壯性也受到主機作業系統安全性的限制,HIDS只能檢測針對本機的攻擊,而不能檢測基于網路協議的攻擊,
  1. 基于網路的入侵檢測系統(NIDS):安裝在需要保護的網段中,實時監視網段中傳輸的各種資料包,并對這些資料包進行分析和檢測,如果發現入侵行為或可疑事件,入侵檢測系統就會發出警報甚至切斷網路連接,
  • 網路監聽:在一個共享式網路,可以聽取所有的流量是一把雙刃劍,管理員可以用來監聽網路的流量情況,開發網路應用的程式員可以監視程式的網路情況,黑客可以用來刺探網路情報,
  • NIDS的優點檢測與回應速度快,NIDS能夠在成功入侵之前發現攻擊和可疑意圖,在攻擊目標遭受破壞之前即可執行快速回應中止攻擊程序,入侵監視范圍大,由于每個網路傳感器能夠采集共享網段內的所有資料包,一個網路傳感器就可以保護一個網段,因此,只在網路關鍵路徑上安裝網路傳感器,就可以監視整個網路通信,入侵取證可靠,NIDS通過捕獲資料包收集入侵證據,攻擊者無法轉移證據,能夠檢測協議漏洞攻擊,許多攻擊程式是基于網路協議漏洞撰寫的,諸如同步洪流(SYN flood)、Smurf攻擊和淚滴攻擊(teardrop)等只有通過查看資料包頭或有效負載才能識別,
  1. 分布式入侵檢測系統(DIDS):網路系統結構的復雜化和大型化,使得:系統的弱點或漏洞分散在網路中的各個主機上,這些弱點有可能被入侵者用來攻擊網路,而僅依靠一個主機或網路的入侵檢測系統很難發現入侵行為,入侵行為不再是單一的行為,而是表現出相互協作入侵的特點,例如分布式拒絕服務攻擊,入侵檢測所依靠的資料來源分散化,使得收集原始的檢測資料變得比較困難,
  • 分布式入侵檢測系統(DIDS)的目標是既能檢測網路入侵行為,又能檢測主機的入侵行為,
  • 檢測器的位置:

在這里插入圖片描述

  • 基于網路的技術面臨的問題:在某些采用交換技術的網路環境中,交換機制使得網路報文不能在子網內任意廣播,只能在設定的虛網(VLAN)內廣播,這就使得進行網路監聽的主機只能提取到本虛網內的資料,監視范圍大為減少,監視的能力也受到削弱,

四 入侵檢測方法

  1. 濫用檢測(Misuse Detection)
  • 濫用檢測也被稱為誤用檢測或者基于特征的檢測,這種方法首先直接對入侵行為進行特征化描述,建立某種或某類入侵特征行為的模式,如果發現當前行為與某個入侵模式一致,就表示發生了這種入侵,
  • 濫用檢測特點:

在這里插入圖片描述

  1. 例外檢測(Anomaly Detection)
  • 基本思想:任何人的正常行為都是有一定規律的,并且可以通過分析這些行為產生的日志資訊(假定日志資訊足夠完全)總結出一些規律,而入侵和濫用行為則通常與正常行為會有比較大的差異,通過檢查出這些差異就可以檢測出入侵,
  • 主要方法:為正常行為建立一個規則集,稱為正常行為模式,也稱為正常輪廓(normal profile),也被稱為“用戶輪廓”,當用戶活動和正常輪廓有較大偏離的時候認為例外或入侵行為,這樣能夠檢測出非法的入侵行為甚至是通過未知攻擊方法進行的入侵行為,此外不屬于入侵的例外用戶行為(濫用自己的權限)也能被檢測到,
  • 例外檢測特點:
    在這里插入圖片描述

在這里插入圖片描述

  • 例外檢測使用的一些方法:
  1. 統計例外檢測

  2. 基于特征選擇例外檢測

  3. 基于貝葉斯推理例外檢測

  4. 基于貝葉斯網路例外檢測

  5. 基于模式預測例外檢測

  6. 基于神經網路例外檢測

  7. 基于貝葉斯聚類例外檢測

  8. 基于機器學習例外檢測

  9. 基于資料挖掘例外檢測

  • 兩種方式比較

在這里插入圖片描述

  • 入侵檢測的發展方向
  1. 工業界:

主要的研究內容是如何通過優化檢測系統的演算法來提高入侵檢測系統的綜合性能與處理速度,以適應千兆網路的需求,

  1. 學術界:

主要通過引入各種智能計算方法,使入侵檢測技術向智能化方向發展,人工神經網路技術,人工免疫技術,資料挖掘技術

  • 入侵檢測系統的局限性
  1. 誤報和漏報的矛盾

  2. 隱私和安全的矛盾

  3. 被動分析與主動發現的矛盾

  4. 海量資訊與分析代價的矛盾

  5. 功能性和可管理性的矛盾

  6. 單一產品與復雜網路應用的矛盾

五 網路入侵檢測系統產品

  • Snort是最流行的免費NIDS,Snort是基于濫用/例外檢測的IDS,使用規則的定義來檢查網路中的問題資料包,Snort由以下幾個部分組成:資料包嗅探器、前處理器、檢測引擎、報警輸出模塊,
  • RealSecure:1996年, RealSecure首先被作為一種傳統的基于傳感器的網路入侵檢測系統來開發,1998年成為一種混合入侵檢測系統,正在努力提供一種混合的OS日志及網路分組性能,設計為放置在協議堆疊的IP層之下和IP層之上,多種回應方式

報警輸出模塊,

  • RealSecure:1996年, RealSecure首先被作為一種傳統的基于傳感器的網路入侵檢測系統來開發,1998年成為一種混合入侵檢測系統,正在努力提供一種混合的OS日志及網路分組性能,設計為放置在協議堆疊的IP層之下和IP層之上,多種回應方式

  • Network ICE

易兮科技 Java
18級大連海事大學在校生
網路工程 & 國際經濟與貿易 雙學位
中山市易兮軟體開發有限公司創始人
易兮科技團隊負責人
Java語言愛好者

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/190682.html

標籤:其他

上一篇:2020雙十一阿里云拼團活動提前預熱中!

下一篇:2020阿里云雙十一云服務器拼團活動火爆預熱中!

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more