入侵检测系统
- 格式:ppt
- 大小:1.36 MB
- 文档页数:60


第八章 入侵检测系统
第一节 引言
通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。
保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。
检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。
响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。
入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection
System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。
入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。
第29卷 、,01.29 第6期 NO.6 临沂师范学院学报 Journal of Linyi Normal University 2007年12月 Dec.2007
入侵检测系统与防火墙的联动
庄健平
(华侨大学华文学院,福建厦门361021)
摘要:在分析介绍了入侵检测系统和防火墙的基础上,设计一种入侵检测系统和防火墙联动的模式. 利用两者的结合,入侵检测系统检测攻击行为后,通过与防火墙之间的公共语言发送通知给防火墙,防 火墙生成动态规则对攻击行为实现控制和阻断.因此可以更有效地保护用户信息安全. 关键词:入侵检测;防火墙;联动 中图分类号:TP393.08 文献标识码:A 文章编号:1009~6051(2007)06—0107—04
l引言
随着信息技术的高速发展,信息安全越来越引起人们的重视.一些大中型企业希望通过购买防
火墙、入侵检测系统等安全设备来保障企业的信息安全.防火墙和入侵检测系统处于网络的边界,虽
可以有效保护内部网络免受来自Internet的攻击,却不能对来自网络内部的攻击进行防御….因此,
个人主机防火墙成为企业信息安全不可缺少的重要组成部分.但是防火墙不识别网络流量,只要是
经过合法通道的网络攻击,防火墙就无能为力.例如很多来自于ActiveX和Java Applet的恶意代码,
通过合法的web访问通道,对系统形成威胁.同样,入侵检测系统本身易遭受拒绝服务攻击(DOS),
其包捕捉引擎在突发的、海量的流量前会迅速失效,而且还有一些攻击可绕过它的检测[2-41.同时,
入侵检测系统对攻击的抵抗控制力也很弱,对攻击源只能做一些简单处理.这样易增加了网络的流
量、甚至导致网络拥塞.因此,防火墙和入侵检测系统的功能特点和局限性决定了它们彼此可以取
长补短.防火墙主要做访问控制,入侵检测系统主要做入侵信号的发现,而且,它们本身所具有的强
大功效仍没有得到充分的发挥.因此,防火墙和入侵检测系统之间适合建立密切的联动关系,共同
第八章 入侵检测系统
第一节 引言
通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。
保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。
检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。
响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。
入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection
System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。
入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。
常见的网络入侵检测系统(IDS)和入侵防御系统(IPS)
网络入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)是当今网络安全领域中非常重要的组成部分。它们被广泛应用于各种网络环境中,包括企业网络、个人用户网络等。本文将介绍一些常见的网络入侵检测系统和入侵防御系统,并探讨它们的工作原理和应用。
一、网络入侵检测系统(IDS)
网络入侵检测系统用于监测网络中的异常活动和入侵行为。它通过分析网络流量和系统日志来发现潜在的入侵事件,并及时进行警报。IDS可以分为两种类型:基于签名的IDS和基于行为的IDS。
1.1 基于签名的IDS
基于签名的IDS使用预定义的规则集合(也称为签名)来检测已知的入侵行为。这些规则基于已知的攻击模式和攻击者使用的特定工具或技术。当网络流量或系统日志与这些签名匹配时,IDS会发出警报。
1.2 基于行为的IDS
基于行为的IDS通过对网络流量和系统行为的实时监测来检测未知的入侵行为。它使用机器学习和行为分析算法来建立正常网络活动的基线,当检测到偏离基线的行为时,IDS会发出警报。
二、入侵防御系统(IPS) 入侵防御系统与入侵检测系统类似,但不仅仅是检测入侵行为,还可以主动地阻止潜在的攻击。IPS可以分为两种类型:基于规则的IPS和基于行为的IPS。
2.1 基于规则的IPS
基于规则的IPS使用与IDS相似的签名规则集合来检测已知的入侵行为,并采取相应的阻止措施,比如阻止源IP地址或关闭特定的网络服务。它可以在实时中断攻击流量或阻断攻击者与目标之间的连接。
2.2 基于行为的IPS
基于行为的IPS通过分析网络流量和系统行为来检测未知的入侵行为,并采取相应的阻止措施。它使用机器学习和行为分析算法来建立正常网络活动的基线,并监测偏离基线的行为。当检测到异常行为时,IPS会实时采取措施进行防御。