入侵檢測系統(IDS) 的構成具有一定 的相似性,基本上都是由固定的部件組成。
基於入侵檢測技術的入侵檢測系統一般由資訊採集部件、入侵分析部件與入侵響應部件組成。
資訊採集部件
是用於採集原始資訊的部件,其作用就是將各類複雜、凌亂的資訊按著一定的格式進行格式化並交付於入侵分析部件。
入侵分析部件
是入侵檢測系統的
核心部分
,在接收到資訊採集部件收集的格式化資訊後,按著部件內部的分析引擎進行入侵分析,當資訊滿足了引擎的入侵標準時就觸發了入侵響應機制。
入侵響應部件
是入侵檢測系統的功能性部件,當入侵分析部件發現入侵後,向入侵響應部件傳送入侵訊息,由入侵響應部件根據具體的情況做出響應。
異常檢測
異常檢測(也稱基於行為的檢測)是指把使用者習慣行為特徵儲存在特徵庫中,然後將使用者當前行為特徵與特徵資料庫中的特徵進行比較,若兩者偏差較大,則認為有異常情況發生。
異常入侵檢測系統的目的
檢測、防止冒名者(Masqueraders):指的是網路內部或外部使用一個未被授權的賬號的計算機操作者
網路內部入侵者(Insider)的操作:指的是使用合法賬號但卻越權使用或濫用資源的人
異常檢測的主要前提條件是將構建使用者正常行為輪廓。
入侵性活動並不總是與異常活動相符合。這種活動存在四種可能性:
入侵性而非異常;
非入侵性且異常;
非入侵性且非異常;
入侵性且異常。
異常檢測的第一步就是要為系統中的使用者、程式和其他相關的資源建立正常行為的模型。
異常檢測方法依賴於正常行為模型的建立,不同的模型其檢測方法也不同。它透過觀測到的一組測量值偏離度來預測使用者行為的變化,然後作出決策判斷的檢測技術。
異常檢測的方法
統計方法
預測模式生成
專家系統
神經網路
使用者意圖識別
資料探勘和
計算機免疫學方法
異常入侵檢測的
優點
不需要入侵的先驗知識,與系統相對無關,通用性較強,有可能檢測出以前未出現過的攻擊方法,即檢測未知入侵。
基於統計的方法也使得系統具有比較好的自適應能力,可以很方便地更新使用者和系統模型,因為更新統計模型相對容易一些。
異常入侵檢測主要缺點: 。
在不同工作環境下,系統正常行為的特徵選取有很大的不同。
閾值的正確確定非常困難。
使用者行為經常動態的改變。
有些入侵只通過單個數據包或事件不能確定入侵,只能透過分析相互關聯的多個數據包或事件之間的關係才能夠被檢測到。因為從單個數據包或事件來看,可能他們都是正常的。
基於統計的系統一般來說訓練時間都比較長。有些入侵者因此可以逐步的更新使用者模型來使得系統將他的行為認為是正常的行為。
誤用檢測
誤用檢測是由計算機安全專家首先對攻擊情況和系統漏洞進行分析和分類,然後手工的編寫相應的檢測規則和特徵模型。
誤用入侵檢測指的是透過按
預先定義好
的入侵模式以及觀察到入侵發生的情況進行模式匹配來檢測。
誤用檢測技術的核心是維護一個入侵規則庫
。對於已知的攻擊,它可以詳細、準確的報告出攻擊型別,但是對未知攻擊卻效果有限,而且入侵模式庫必須不斷更新。
誤用檢測的優點:
在於它依據具體特徵庫進行判斷,所以
檢測準確度很高
,並且因為
檢測結果有明確的參照
,也為系統管理員
做出相應措施提供了方便
。
誤用檢測的缺陷:
在於
與具體系統依賴性太強
,不但
系統移植性不好
,
維護工作量大
,而且
將具體入侵手段抽象成知識很困難
。並且
檢測範圍受已知知識的侷限
,
尤其是難以檢測出內部人員的入侵行為
,如合法使用者的洩露,因為這些入侵行為並沒有利用系統脆弱性。
學習參考資料:
資訊保安工程師教程(第二版)
建群網培資訊保安工程師系列影片教程
資訊保安工程師5天修煉
