入侵检测(intrusion Detection)是一种动态的网络安全技术,通过各种检测引擎,实时或定期地对网络中的信息进行分析,依照引擎对异常的数据或事件的认识,识别出具有威胁性的数据或事件,并启动相应的防护机制,以保证网络系统资源的机密性、完整性和可用性。入侵检测不仅能检测来自外部的攻击或入侵,也能检测内部授权用户的活动是否存在异常。
入侵检测提供了发现入侵攻击与合法用户滥用特权的方法,其应用前提是认为入侵行为和合法行为是可区分的,即可以通过提取行为的特征来判断该行为是否合法。提取并分析行为特征的方法主要包括以下两种:
● 异常检测技术:将过去学习到的正常行为进行收集、分析,并建立正常行为模型。提取当前行为特征与正常行为模型进行匹配,匹配成功则认为是合法行为,否则将被判定为入侵行为。
● 入侵检测技术:对过去各种已知入侵方法和系统缺陷知识进行积累、分析,然后建立异常行为特征库。提取当前行为特征与异常行为特征进行匹配,匹配成功将被判定为入侵行为。
(1) 数据提取:对网络流量、用户行为进行信息收集、整理。
(2) 特征分析:将提取的数据与特征库中的行为特征进行对比分析匹配,从而判断哪些是异常行为、哪些是正常行为。
(3) 响应处置:对异常的行为进行处置,如告警、记录日志等。
入侵检测系统(intrusion Detection System,简称IDS)是指具有入侵检测功能的软件或硬件。根据检测数据来源的不同,IDS系统分类如下图所示。
![入侵检测技术介绍]( "入侵检测技术介绍")
基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面。随着网络技术的发展,混合型IDS应时而生,它综合了基于网络和基于主机的混合型入侵检测系统的特点,既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
如果将网络空间比喻成一个大厦,那么防火墙相当于门锁,有效隔离内外网或不同安全域;IDS相当于监视系统,当有问题发生时及时产生警报;而IPS则是巡视和保证大厦安全的安保人员,能够根据经验,主动发现问题并采取措施。
三者在网络中相互配合,各司其职。实际使用中,需要根据具体网络需求进行评估和选择,有效发挥各设备优势,尽量避免缺点和不足,保证网络的安全运行。
![入侵检测技术介绍]( "入侵检测技术介绍")
入侵检测系统注重的是网络安全状况的监管,其核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整。入侵检测系统是防火墙产品的合理补充,也是防火墙之后的第二道安全闸门。
原文始发于微信公众号(老五说网络):入侵检测技术介绍
评论