本文目录一览:
入侵检测在物联网上的应用
入侵检测的研究可以追溯到JamesP.Anderson在1980年的工作,他首次提出了“威胁”等术语,这里所指的“威胁”与入侵的含义基本相同,将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问企图,致使系统不可靠或无法使用。1987年DorothyE. Denning首次给出一个入侵检测的抽象模型,并将入侵检测作为一个新的安全防御措施提出。1988年,Morris蠕虫事件加快了对入侵检测系统(IDS:Intrusion Detection System)的开发研究。
一、目前IDS存在的缺陷
入侵检测系统作为网络安全防护的重要手段,有很多地方值得我们进一步深入研究。目前的IDS还存在很多问题,有待于我们进一步完善。
1.高误警(误报)率
误警的传统定义是将良性流量误认为恶性的。广义上讲,误警还包括对IDS用户不关心事件的告警。因此,导致IDS产品高误警率的原因是IDS检测精度过低以及用户对误警概念的拓展。
2.产品适应能力低
传统的IDS产品在开发时没有考虑特定网络环境的需求,千篇一律。网络技术在发展,网络设备变得复杂化、多样化,这就需要入侵检测产品能动态调整,以适应不同环境的需求。
3.大型网络的管理问题
很多企业规模在不断扩大,对IDS产品的部署从单点发展到跨区域全球部署,这就将公司对产品管理的问题提上日程。首先,要确保新的产品体系结构能够支持数以百计的IDS传感器;其次,要能够处理传感器产生的告警事件;此外,还要解决攻击特征库的建立,配置以及更新问题。
4.缺少防御功能
检测,作为一种被动且功能有限的技术,缺乏主动防御功能。因此,需要在下一代IDS产品中嵌入防御功能,才能变被动为主动。
5.评价IDS产品没有统一标准
对入侵检测系统的评价目前还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断升级才能保证网络的安全性。
6.处理速度上的瓶颈
随着高速网络技术如ATM、千兆以太网等的相继出现,如何实现高速网络下的实时入侵检测是急需解决的问题。目前的百兆、千兆IDS产品的性能指标与实际要求还存在很大的差距。
二、下一代IDS系统采用的技术
为了降低误警率、合理部署多级传感器、有效控制跨区域的传感器,下一代入侵检测产品需要包含以下关键技术。
1.智能关联
智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误警。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。
智能关联包括主动关联和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。下面将详细介绍指纹识别技术。
(1)IDS有时会出现误报(主机系统本身并不存在某种漏洞,而IDS报告系统存在该漏洞)
这种现象的原因是当IDS检测系统是否受到基于某种漏洞的攻击时,没有考虑主机的脆弱性信息。以针对Windows操作系统的RPC攻击为例,当网络中存在RPC攻击时,即使该网络中只有基于Linux的机器,IDS也会产生告警,这就是一种误报现象。为了解决这个问题,需要给IDS提供一种基于主机信息的报警机制。因此新一代IDS产品利用被动指纹识别技术构造一个主机信息库,该技术通过对TCP、IP报头中相关字段进行识别来确定操作系统(OS)类型。
(2)被动指纹识别技术的工作原理
被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口大小(Windowsize)、数据报存活期(TTL)、DF(don tfragment)标志以及数据报长(Totallength)。
窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。多数UNIX操作系统在TCP会话期间不改变它的值,而在Windows操作系统中有可能改变。
数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值代表不同的OS,TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。
数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。
IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。
(3)被动指纹识别技术工作流程
具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到某种漏洞的攻击,从而降低误报率。它的工作流程如图1所示。
1指纹识别引擎检查SYN报头,提取特定标识符;
2从特征库中提取目标主机上的操作系统信息;
3更新主机信息表;
4传感器检测到带有恶意信息的数据报,在发出警告前先与主机信息表中的内容进行比较;
5传感器发现该恶意数据报是针对Windows服务器的,而目标主机是Linux服务器,所以IDS将抑制该告警的产生。
入侵检测系统一般不能检测出哪些内容.拒绝服务攻击.网络线路物理中断
1. 入侵者进入我们的系统主要有三种方式: 物理入侵 、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和
基于网络的入侵检测系统。
5. 入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题
1. IDS产品相关的等级主要有(BCD)等三个等级:
A: EAL0 B: EAL1 C: EAL2 D: EAL3
2. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段 B: 数据处理及过滤阶段 C: 入侵分析及检测阶段 D: 报告以及响应阶段
3. 入侵检测系统的主要功能有(ABCD ):
A: 监测并分析系统和用户的活动
B: 核查系统配置和漏洞
C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为
4. IDS产品性能指标有(ABCD ):
A: 每秒数据流量
B: 每秒抓包数
C: 每秒能监控的网络连接数
D: 每秒能够处理的事件数
5. 入侵检测产品所面临的挑战主要有(ABCD ):
A: 黑客的入侵手段多样化
B: 大量的误报和漏报
C: 恶意信息采用加密的方法传输
D: 客观的评估与测试信息的缺乏
三、判断题
1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。(F )
2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。( T )
3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。( F )
4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。( T )
四、简答题
1. 什么是入侵检测系统?简述入侵检测系统的作用?
答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。 入侵检测系统的作用主要是通过监控网络、系统的状态,来检测系统用户的越权行为和系统外部的入侵者对系统的攻击企图。
2. 比较一下入侵检测系统与防火墙的作用。
答:防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用,是网络安全的第一道关卡。IDS是并联在网络中,通过旁路监听的方式实时地监视网络中的流量,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警,不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说,IDS是网络安全的第二道关卡,是防火墙的必要补充。
3. 简述基于主机的入侵检测系统的优缺点?
答:优点:①准确定位入侵②可以监视特定的系统活动③适用于被加密和交换的环境
④成本低
缺点:①它在一定程度上依靠系统的可靠性,要求系统本身具有基本的安全功能,才能提取入侵信息。②主机入侵检测系统除了检测自身的主机之外,根本不检测网络上的情况
4. 简述基于网络的入侵检测系统的优缺点?
答:优点:①拥有成本较低②实时检测和响应③收集更多的信息以检测未成功的攻击和不良企图④不依靠操作系统⑤可以检测基于主机的系统漏掉的攻击
缺点:①网络入侵检测系统只能检查它直接连接的网段的通信,不能检测在不同网段的网络包。②网络入侵检测系统通常采用特征检测的方法,只可以检测出普通的一些攻击,而对一些复杂的需要计算和分析的攻击检测难度会大一些。③网络入侵检测系统只能监控明文格式数据流,处理加密的会话过程比较困难。
5. 为什么要对入侵检测系统进行测试和评估?
答:①有助于更好地描述IDS的特征。②通过测试评估,可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准。对IDS的各项性能进行评估,确定IDS的性能级别及其对运行环境的影响。③利用测试和评估结果,可做出一些预测,推断IDS发展的趋势,估计风险,制定可实现的IDS质量目标(比如,可靠性、可用性、速度、精确度)、花费以及开发进度。④根据测试和评估结果,对IDS进行改善。
6. 简述IDS的发展趋势?
答:①分布式②智能化③防火墙联动功能以及全面的安全防御方案④标准化方向
简述入侵检测常用的四种方法
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测
特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
2、异常检测
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
扩展资料
入侵分类:
1、基于主机
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。
这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。
2、基于网络
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。
但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。
3、分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击。
参考资料来源:百度百科-入侵检测
入侵检测的厂家
天融信入侵检测系统
随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,在网络带来高效和快捷的同时,网络攻击的多样化发展和带宽的爆发式增长对网络安全产品的处理性能和检测的精准性提出了更高的要求。天融信公司自主研发的网络卫士入侵检测系统(以下简称TopSentry产品)采用旁路部署方式,能够实时检测包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等超过3500种网络攻击行为。TopSentry产品还具有应用协议智能识别、P2P流量控制、网络病毒检测、恶意网站监测和内网监控等功能,为用户提供了完整的立体式网络安全检测监控。
快速的处理性能是对网关产品的基本要求,特别对处理应用层数据的入侵检测产品要求更为严苛。TopSentry产品全系列采用天融信独有的专利多核处理硬件平台,基于先进的SmartAMP并行处理架构,内置处理器动态负载均衡专利技术,结合独创的SecDFA核心加速算法,实现了对网络数据流的高性能实时检测,使TopSentry满检速率达到了10Gbps。
准确的识别网络攻击行为是入侵检测产品的核心价值所在。TopSentry产品采用协议分析、模式匹配、流量异常监视等综合技术手段来判断网络入侵行为,可以准确地发现各种网络攻击。天融信公司的安全攻防实验室(以下简称TopLabs)是国家攻击检测漏洞库的创立单位,同时也是国家应急响应支撑服务单位和国家定点博士后工作站, 拥有专业的高素质技术研究人员,通过不断跟踪、研究、分析最新发现的安全漏洞,形成具有自主知识产权的攻击检测规则库,确保TopSentry产品拥有准确的检测能力。该规则库已通过国际权威组织CVE的兼容性认证,并保持至少每周一次的更新频率。
稳定是入侵检测产品的基础。TopSentry产品由天融信公司的防火墙研发团队研发,采用与防火墙产品相同的多核处理硬件平台和天融信自主知识产权的TOS(Topsec Operating System)系统,传承了天融信公司十六年来不断积累的网关产品技术经验;TopSentry在银行、电信、保险、电力等多行业有大规模部署实例,具备高稳定性和高可靠性,能够在各种网络环境下持续稳定的识别各种入侵行为,为用户提供安全防护规划提供更详实的依据。
网站入侵检测系统
有这东西吗/
怎么我都不知道。
我只知道一般都 是手动查IP。和日记的