当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 介绍入侵检测概念、过程分析和布署
CIDF模型的结构如下:E盒通过传感器收集事件数据,并将信息传送给A盒,A盒检测误用模式;D盒存储来自A、E盒的数据,并为额外的分析提供信息;R盒从A、E盒中提取数据,D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO(generalized Intrusion detection objects,通用入侵检测对象)和CISL(common intrusion specification language,通用入侵规范语言)。如果想在不同种类的A、E、D及R盒之间实现互操作,需要对GIDO实现标准化并使用CISL。
4、 分类
4.1 按照检测类型划分 从技术上划分,入侵检测有两种检测模型:
(1) 异常检测模型(Anomaly Detection):检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
(2) 误用检测模型(Misuse Detection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
4.2 按照检测对象划分
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。
基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
5、 入侵检测过程分析 过程分为三部分:信息收集、信息分析和结果处理。
(1) 信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主
评论 (0) All