入侵检测系统(IDS) 的构成具有一定 的相似性,基本上都是由固定的部件组成。
基于入侵检测技术的入侵检测系统一般由信息采集部件、入侵分析部件与入侵响应部件组成。
信息采集部件是用于采集原始信息的部件,其作用就是将各类复杂、凌乱的信息按着一定的格式进行格式化并交付于入侵分析部件。
入侵分析部件是入侵检测系统的核心部分,在接收到信息采集部件收集的格式化信息后,按着部件内部的分析引擎进行入侵分析,当信息满足了引擎的入侵标准时就触发了入侵响应机制。
入侵响应部件是入侵检测系统的功能性部件,当入侵分析部件发现入侵后,向入侵响应部件发送入侵消息,由入侵响应部件根据具体的情况做出响应。
异常检测异常检测(也称基于行为的检测)是指把用户习惯行为特征存储在特征库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差较大,则认为有异常情况发生。
异常入侵检测系统的目的
检测、防止冒名者(Masqueraders):指的是 *** 内部或外部使用一个未被授权的账号的计算机操作者 *** 内部入侵者(Insider)的操作:指的是使用合法账号但却越权使用或滥用资源的人异常检测的主要前提条件是将构建用户正常行为轮廓。
入侵性活动并不总是与异常活动相符合。这种活动存在四种可能性:
入侵性而非异常;非入侵性且异常;非入侵性且非异常;入侵性且异常。异常检测的之一步就是要为系统中的用户、程序和其他相关的资源建立正常行为的模型。
异常检测 *** 依赖于正常行为模型的建立,不同的模型其检测 *** 也不同。它通过观测到的一组测量值偏离度来预测用户行为的变化,然后作出决策判断的检测技术。
异常检测的 ***
统计 *** 预测模式生成专家系统神经 *** 用户意图识别数据挖掘和计算机免疫学 ***异常入侵检测的优点
不需要入侵的先验知识,与系统相对无关,通用性较强,有可能检测出以前未出现过的攻击 *** ,即检测未知入侵。基于统计的 *** 也使得系统具有比较好的自适应能力,可以很方便地更新用户和系统模型,因为更新统计模型相对容易一些。异常入侵检测主要缺点: .
在不同工作环境下,系统正常行为的特征选取有很大的不同。阈值的正确确定非常困难。用户行为经常动态的改变。有些入侵只通过单个数据包或事件不能确定入侵,只能通过分析相互关联的多个数据包或事件之间的关系才能够被检测到。因为从单个数据包或事件来看,可能他们都是正常的。基于统计的系统一般来说训练时间都比较长。有些入侵者因此可以逐步的更新用户模型来使得系统将他的行为认为是正常的行为。误用检测误用检测是由计算机安全专家首先对攻击情况和系统漏洞进行分析和分类,然后手工的编写相应的检测规则和特征模型。
误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测。
误用检测技术的核心是维护一个入侵规则库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且入侵模式库必须不断更新。
误用检测的优点:
在于它依据具体特征库进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为系统管理员做出相应措施提供了方便。误用检测的缺陷:
在于与具体系统依赖性太强,不但系统移植性不好,维护工作量大,而且将具体入侵手段抽象成知识很困难。并且检测范围受已知知识的局限,尤其是难以检测出内部人员的入侵行为,如合法用户的泄露,因为这些入侵行为并没有利用系统脆弱性。学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼