学习笔记17】入侵检测"/>
【白帽子学习笔记17】入侵检测
【白帽子学习笔记17】入侵检测
0x01 概述
入侵检测是对企图入侵、正在进行入侵或者已经发生的入侵进行识别的过程。它在不影响网络性能的情况下能对网络就行监控,收集计算机网络或系统中的关键信息,并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象。。
0x02 入侵检测的方法
1x01 误用检测
误用检测又称为特征检测(Signature-based Detection),它将已知的入侵活动用一种规模来表示,形成网络攻击特征库。该方法对输入的待分析数据源进行适当处理,提取其特征,并将这些特征于网络攻击特征库中的特征进行比较。如果发现有匹配的特征则指示发生了一次入侵。
- 误报率低
- 漏报率高
- 对新的入侵方法无能为力
1x02 异常检测
异常检测搜寻正常活动的规律,将待检测的活动于这些正常活动的规律进行比较,对于违反正常活动统计规律的活动,认为其活动可能是入侵行为。在异常检测方法中,通常建立一个关于系统正常的状态模型,在进行入侵检测时,将用户当前的活动情况于这个正常模型进行对比,如果发现了超过阈值的差异程度,则指示发生了入侵行为。
0x03 入侵检测系统
1x01 基于主机的入侵检测系统
基于主机的入侵检测系统分析的数据源来自主机操作系统的事件日志等。该类型的某些系统也会和主机系统进行交互,从而获得不存在于系统例子中的信息以检测是否受到入侵
- 依赖主机的可靠性
- 可以执行性差
- 检测攻击类型也有限
1x02 基于网络的入侵检测系统
该类型系统被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过协议分析、特征匹配、统计分析等手段发现当前发生的网络活动是否存在网络入侵行为。
- 无法检测发生在应用级别的入侵行为
- 能监视经过本网段的活动,无法得到主机系统的实时系统,精确度较差
1x03 混合入侵检测系统
混合入侵检测系统综合了基于主机的入侵检测系统和基于网络的入侵检测系统的数据源,简单的来说就说基于主机入侵检测系统和基于网络的入侵检测系统的混合版。
但是由于该类型系统处理的数据源多,覆盖面大,需要大量的设备从不同的数据源采集待分析的数据,同时需要良好性能的硬件资源分析处理数量庞大的数据,导致该类型系统实现难度大,大大提高了入侵检测的成本
更多推荐
【白帽子学习笔记17】入侵检测
发布评论