亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

什么是IDS

IDS是英文"Intrusion Detection Systems"的縮寫，中文意思是"入侵檢測系統(tǒng)"。

在本質(zhì)上，入侵檢測系統(tǒng)是一個典型的"窺探設(shè)備"。它不跨接多個物理網(wǎng)段（通常只有一個監(jiān)聽端口），無須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動的、無聲息的收集它所關(guān)心的報文即可。對收集來的報文，入侵檢測系統(tǒng)提取相應(yīng)的流量統(tǒng)計特征值，并利用內(nèi)置的入侵知識庫，與這些流量特征進(jìn)行智能分析比較匹配。根據(jù)預(yù)設(shè)的閥值，匹配耦合度較高的報文流量將被認(rèn)為是進(jìn)攻，入侵檢測系統(tǒng)將根據(jù)相應(yīng)的配置進(jìn)行報警或進(jìn)行有限度的反擊。

IDS模型

按入侵檢測的手段，IDS的入侵檢測模型可分為基于網(wǎng)絡(luò)和基于主機(jī)兩種。

1基于主機(jī)模型

也稱基于系統(tǒng)的模型，它是通過分析系統(tǒng)的審計數(shù)據(jù)來發(fā)現(xiàn)可疑的活動，如內(nèi)存和文件的變化等。其輸入數(shù)據(jù)主要來源于系統(tǒng)的審計日志，一般只能檢測該主機(jī)上發(fā)生的入侵。這種模型有以下優(yōu)點(diǎn)：

①性能價格比高：在主機(jī)數(shù)量較少的情況下，這種方法的性能價格比更高；

②更加細(xì)致：可以很容易地監(jiān)測一些活動，如敏感文件、目錄、程序或端口的存取，而這些活動很難基于協(xié)議的線索發(fā)現(xiàn)；

③視野集中：一旦入侵者得到了一個主機(jī)用戶名和口令，基于主機(jī)的代理是最有可能區(qū)分正?；顒雍头欠ɑ顒拥模?/p>

④易于用戶剪裁：每一個主機(jī)有自己的代理，當(dāng)然用戶剪裁更加方便；

⑤較少的主機(jī)：基于主機(jī)的方法有時不需要增加專門的硬件平臺；

⑥對網(wǎng)絡(luò)流量不敏感：用代理的方式一般不會因?yàn)榫W(wǎng)絡(luò)流量的增加而丟掉對網(wǎng)絡(luò)行為的監(jiān)視。

2基于網(wǎng)絡(luò)模型

即通過連接在網(wǎng)絡(luò)上的站點(diǎn)捕獲網(wǎng)上的包，并分析其是否具有已知的攻擊模式，以此來判別是否為入侵者。當(dāng)該模型發(fā)現(xiàn)某些可疑的現(xiàn)象時，也一樣會產(chǎn)生告警，并會向一個中心管理站點(diǎn)發(fā)出告警信號。這種模型有以下優(yōu)點(diǎn)：

①偵測速度快：基于網(wǎng)絡(luò)的監(jiān)測器，通常能在微秒或秒級發(fā)現(xiàn)問題。而大多數(shù)基于主機(jī)的產(chǎn)品則要依靠最近幾分鐘內(nèi)審計記錄的分析；

②隱蔽性好：一個網(wǎng)絡(luò)上的監(jiān)測器不像主機(jī)那樣顯眼和易被存取，因而也不那么容易遭受攻擊；

③視野更寬：基于網(wǎng)絡(luò)的方法甚至可以作用在網(wǎng)絡(luò)邊緣上，即攻擊者還沒能接入網(wǎng)絡(luò)時就被制止；

④較少的監(jiān)測器：由于使用一個監(jiān)測器可以保護(hù)一個共享的網(wǎng)段，所以不需要很多的監(jiān)測器；

⑤占資源少：在被保護(hù)的設(shè)備上不占用任何資源，這點(diǎn)較主機(jī)模型最為突出。

IDS分類

根據(jù)模型和部署方式的不同，IDS分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS，以及由兩者取長補(bǔ)短發(fā)展而來的新一代分布式IDS。

1基于主機(jī)的IDS

輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，即在每個要保護(hù)的主機(jī)上運(yùn)行一個代理程序，一般只能檢測該主機(jī)上發(fā)生的入侵。它在重要的系統(tǒng)服務(wù)器、工作站或用戶機(jī)器上運(yùn)行，監(jiān)視操作系統(tǒng)或系統(tǒng)事件級別的可疑活動（如嘗試登錄失敗）。此類系統(tǒng)需要定義清楚哪些是不合法的活動，然后把這種安全策略轉(zhuǎn)換成入侵檢測規(guī)則。

2基于網(wǎng)絡(luò)的IDS

基于網(wǎng)絡(luò)的IDS的輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流，該類系統(tǒng)一般被動地在網(wǎng)絡(luò)上監(jiān)聽整個網(wǎng)段上的信息流，通過捕獲網(wǎng)絡(luò)數(shù)據(jù)包，進(jìn)行分析，能夠檢測該網(wǎng)絡(luò)段上發(fā)生的網(wǎng)絡(luò)入侵。

3分布式IDS

一般由多個部件組成，分布在網(wǎng)絡(luò)的各個部分，完成相應(yīng)功能，分別進(jìn)行數(shù)據(jù)采集、數(shù)據(jù)分析等。通過中心的控制部件進(jìn)行數(shù)據(jù)匯總、分析、產(chǎn)生入侵警報等。在這種結(jié)構(gòu)下，不僅可以檢測到針對單獨(dú)主機(jī)的入侵，同時也可以檢測到針對整網(wǎng)絡(luò)上的主機(jī)的入侵。

IDS作用

1.監(jiān)控、分析用戶及系統(tǒng)活動。

2.對系統(tǒng)構(gòu)造和弱點(diǎn)的審計。

3.識別反映已知進(jìn)攻的活動模式并報警。

4.異常行為模式的統(tǒng)計分析。

5.評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。

6.對操作系統(tǒng)的審計追蹤管理，并識別用戶違反安全策略的行為。