网络安全技术(7)入侵检测技术

in web安全 Views: 3,601 s with 0 comment

基本概念

入侵:
绕过系统安全机制的非授权行为。危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额外或者更高的非法权限的授权用户等引起的。

入侵检测:
是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。

入侵检测系统:
自动进行这种监测和分析过程的软件或硬件产品。

误报:

漏报:

入侵检测的原理:
通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

分类

按数据检测方法分类

按系统结构分类

按时效性分类

按照数据来源分类

主机IDS
定义:运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理
特点:

网络IDS
定义:通过在共享网段上对通信数据的侦听采集数据,分析可疑现象。这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。

特点:

通用入侵检测框架

技术原理

  1. 数据采集技术
  2. 数据检测技术
  3. 数据分析技术
  4. 检测实例

数据采集技术

数据检测技术

基于误用的检测

专家系统:
原理:

模式匹配检测:
原理:

优点:

局限:

基于异常的检测

基本原理:

过程:
2017-12-23_000847.png

特点:

具体实现:

基于统计学方法的异常检测
原理:
记录的具体操作包括:CPU的使用,I/O的使用,使用地点及时间,邮件使用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,网络上活动等。

统计:

优点:

缺点:

基于数据挖掘的异常检测
原理:

主要方法:
聚类分析、连接分析和顺序分析

数据分析技术

常见类型:

检测实例

入侵检测系统部署

(待续)

「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」

薇拉航线

(๑>ڡ<)☆谢谢老板~

使用微信扫描二维码完成支付

Comments are closed.