入侵檢測系統
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
入侵檢測系統是為保障電腦系統的安全而設計的, 它通過收集和分析網路行為、安全日誌、等其它網路上可以獲得的信息以及電腦系統中若幹關鍵點的信息, 檢查網路或系統中是否存在違反安全策略的和被攻擊的跡象,它對系統中未授權用戶的攻擊、外部攻擊和異常現象的操作有實時的保護作用, 能在網路系統受到危害之前進行檢測和攔截。在不影響網路性能的情況下能對網路時行監測, 入侵檢測是防火牆的合理補充, 幫助系統對付網路攻擊。擴展了系統管理員的安全管理能力。[1]
入侵檢測系統的分類[1]
1.按照分析方法分
(1)異常檢測:該檢測方法是總結正常操作所具有的特征並用定量的方法加以描述, 當用戶的活動與正常行為有很大的偏差時就認為是入侵。該方法的優點是不需要保存各種攻擊特征的資料庫, 隨著統計數據的增加, 其檢測的準確性也增高,由於用戶的行為不容易在範圍內, 當出錯的概率比較大時, 它只能說明系統有可能發生了異常的情況, 不一定是受到了攻擊,這給管理帶來了很大的困難。
(2)誤用檢測: 該檢測方法是收集整理非正常操作的行為特征,並建立特征庫,當檢測的系統行為與庫中的記錄相匹配時,就認為是入侵。
2.按照數據來源分
(1)基於主機的入侵檢測系統
系統的數據主要來自操作系統跟蹤日誌、審計記錄和主動與主機系統進行交互而獲得不存在於系統日誌中的信息。它通過監視系統運行情況來檢測入侵。這種類型的檢測系統不需要額外的硬體。對網路流量不敏感, 效率高, 能準確定位入侵併及時進行反應, 但能檢測到的攻擊類型有限, 且占用主機資源, 依賴於主機的可靠住,不能檢測網路攻擊。
(2)基於網路的入侵檢系統
網路入侵檢測系統的數據來源為原始的網路分組數據包。它通過在電腦網路中的某些點被動地監聽網路上傳輸的原始流量,對獲取的網路數據進行處理,從中提取有用的信息,再與已知攻擊特征相匹配或與正常網路行為原型相比較來識別攻擊事件。它的優勢在於它的實時性, 當檢測到攻擊時,就能很快做出反應。另外它可以通過在一個點上監測整個網路中的數據包,並且它在檢測網路包時並不依靠操作系統來提供數據。但它的缺點是只能檢測經過本網段的數據流,無法瞭解主機內部的安全情況,而且網路傳輸的速度快,流量大,從而導致檢測的精確度較差, 以致於漏檢。
3.按照體繫結構分
(1)集中式:它只有一個中央入侵檢測伺服器, 多個分佈於不同主機上的審計程式把當地收集到的數據發給這個入侵檢測伺服器,伺服器對發來的數據進行分析並處理。它伸縮性強,但是配置性較差。
(2)分散式:它將中央檢測伺服器的任務分配給多個主機入侵檢測系統, 負責監視當地主機的一切活動。但是它的維護成本較高,主機的工作負擔較重。
4.按照工作方式分
(1)離線檢測: 是在行為發生後,對產生的數據進行分析,這種檢測方式不能及時的保護系統,但是成本低,能對大量的事件做長期的分析。
(2)線上檢測:在監測數據產生的同時數據進行分析,這種檢測方式能及時保護系統,反應靈敏。
