Ⅰ 根據數據的來源不同,入侵檢測系統可以分為哪些種類,各有什麼優缺點
根據檢測數據的採集來源,入侵檢測系統可以分為:基於網路的入侵檢測系統(NIDS) 和基於主機的入侵檢測系統(HIDS)。
Ⅱ 入侵檢測系統主要包括哪些類型
入侵檢測就兩種類型,一個是主機型入侵檢測,一個是網路型。
檢測方式一般都是模式匹配。
Ⅲ 入侵檢測系統的系統組成
IETF將一個入侵檢測系統分為四個組件:
事件產生器(Event generators),它的目的是從整個計算環境中獲得事件,並向系統的其他部分提供此事件。
事件分析器(Event analyzers),它經過分析得到數據,並產生分析結果。
響應單元(Response units ),它是對分析結果作出反應的功能單元,它可以作出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。
事件資料庫(Event databases )事件資料庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的資料庫,也可以是簡單的文本文件。
Ⅳ 試述入侵檢測系統的分類。
一般來說,入侵檢測系統可分為主機型和網路型。
主機型入侵檢測系統往往以系統日誌、應用程序日誌等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。
網路型入侵檢測系統的數據源則是網路上的數據包。往往將一台機子的網卡設於混雜模式(promisc mode),監聽所有本網段內的數據包並進行判斷。一般網路型入侵檢測系統擔負著保護整個網段的任務。
Ⅳ 入侵檢測系統的分類及功能
據其採用的技術可以分為異常檢測和特徵檢測。 (1)異常檢測:異常檢測的假設是入侵者活動異常於正常主體的活動,建立正常活動的「活動簡檔」,當前主體的活動違反其統計規律時,認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成 (2)特徵檢測:特徵檢測假設入侵者活動可以用一種模式來表示,然後將觀察對象與之進行比較,判別是否符合這些模式。 (3)協議分析:利用網路協議的高度規則性快速探測攻擊的存在。 根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。(1)基於主機的入侵檢測系統:通過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一,入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。 (2)基於網路的入侵檢測系統:基於網路的入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據,分析可疑現象。這類系統不需要主機提供嚴格的審計,對主機資源消耗少,並可以提供對網路通用的保護而無需顧及異構主機的不同架構。 (3)分布式入侵檢測系統:目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源於網路中的數據包,不同的是,它採用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子,該黑匣子相當於基於網路的入侵檢測系統,只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流,它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路數據,同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大,但對網路流量有一定的影響。 根據工作方式分為離線檢測系統與在線檢測系統。(1)離線檢測系統:離線檢測系統是非實時工作的系統,它在事後分析審計事件,從中檢查入侵活動。事後入侵檢測由網路管理人員進行,他們具有網路安全的專業知識,根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為,如果有就斷開連接,並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的,不具有實時性。 (2)在線檢測系統:在線檢測系統是實時聯機的檢測系統,它包含對實時網路數據包分析,實時主機審計分析。其工作過程是實時入侵檢測在網路連接過程中進行,系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷,一旦發現入侵跡象立即斷開入侵者與主機的連接,並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。
Ⅵ 入侵檢測系統的分類
根據其採用的技術可以分為異常檢測和特徵檢測。
(1)異常檢測:異常檢測的假設是入侵者活動異常於正常主體的活動,建立正常活動的「活動簡檔」,當前主體的活動違反其統計規律時,認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成
(2)特徵檢測:特徵檢測假設入侵者活動可以用一種模式來表示,然後將觀察對象與之進行比較,判別是否符合這些模式。
(3)協議分析:利用網路協議的高度規則性快速探測攻擊的存在。
根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。
(1)基於主機的入侵檢測系統:通過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一,入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。
(2)基於網路的入侵檢測系統:基於網路的入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據,分析可疑現象。這類系統不需要主機提供嚴格的審計,對主機資源消耗少,並可以提供對網路通用的保護而無需顧及異構主機的不同架構。
(3)分布式入侵檢測系統:目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源於網路中的數據包,不同的是,它採用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子,該黑匣子相當於基於網路的入侵檢測系統,只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流,它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路數據,同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大,但對網路流量有一定的影響。
根據工作方式分為離線檢測系統與在線檢測系統。
(1)離線檢測系統:離線檢測系統是非實時工作的系統,它在事後分析審計事件,從中檢查入侵活動。事後入侵檢測由網路管理人員進行,他們具有網路安全的專業知識,根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為,如果有就斷開連接,並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的,不具有實時性。
(2)在線檢測系統:在線檢測系統是實時聯機的檢測系統,它包含對實時網路數據包分析,實時主機審計分析。其工作過程是實時入侵檢測在網路連接過程中進行,系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷,一旦發現入侵跡象立即斷開入侵者與主機的連接,並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。
Ⅶ 入侵檢測系統至少分為哪些模塊( )
入侵檢測系統至少應包括3 個功能模塊:提供事件記錄流的信息源、發現入侵跡象的分析引擎和基於分析引擎的響應部件。
Ⅷ 23、入侵檢測系統(IDS)分為基於主機的IDS 和基於網路的IDS,二者的區別在於( )
選擇D 主機型入侵檢測相當於軟體,網路型是硬體的專用設備類似於防火牆,cisco 安奈特 這些美國廠商都有生產