提示:本文共有 892 个字,阅读大概需要 2 分钟。
防火墙试图在入侵行为发生之前阻止所有可疑的通信,但事实是不可能阻止所有的入侵行为,有必要采取措施在入侵已经开始但还没有造成危害、或在造成更大危害,及时检测到入侵,以便尽快阻止入侵,把危害降到最小。
入侵检测系统IDS(Intrusion Detection System)正是这样一种技术。IDS对进入网络的分组执行深度分组检查,当观察到可疑分组时,向网络管理员发出告警或执行阻断操作(由于IDS的“误报”率通常较高,多数情况不执行自动阻断)。
IDS能用于检测多种网络攻击,包括网络映射、端口扫描、DoS(Denial of Service)攻击、蠕虫和病毒、系统漏洞攻击等。
入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。
基于特征的IDS维护一个所有已知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集,这些规则可能基于单个分组的首部字段值或数据句中特定比特串,或者与一系列分组有关。
当发现有与某种攻击特征匹配的分组或分组序列时,则认为可能检测到某种入侵行为。这些特征和规则通常由网络安全专家生成,机构的网络管理员定制并将其加入到数据库中。
基于特征的IDS只能检测已知攻击,对于未知攻击则束手无策。基于异常的IDS通过观察正常运行的网络流量,学习正常流量的统计特性和规律,当检测到网络中流量某种统计规律不符合正常情时,则认为可能发生了入侵行为。
例如,当攻击者在对内网主机进行ping搜索时,或导致ICMP ping报文突然大量增加,与正常的统计规律有明显不同。
但区分正常流和统计异常流是一个非常困难的事情。至今为止,大多数部署的IDS主要是基于特征的,尽管某些IDS包括了某些基于异常的特性。
不论采用什么检测技术都存在“漏报”和“误报”情况。
如果“漏报”率比较高,则只能检测到少量的入侵,给人以安全的假象。对于特定IDS,可以通过调整某些阈(yu)值来降低“漏报”率,但同时会增大“误报”率。
“误报”率太大会导致大量虚假警报,网络管理员需要花费大量时间分析报警信息,甚至会因为虚假警报太多而对报警“视而不见”,使IDS形同虚设。
欢迎大家和我讨论。
看到此处说明本文对你还是有帮助的,关于“未雨绸缪&亡羊补牢?初识入侵检测系统的检测机制”留言是大家的经验之谈相信也会对你有益,推荐继续阅读下面的相关内容,与本文相关度极高!