1.概述
入侵检测是网络安全中的经典问题,入侵是指攻击者违反系统安全策略,试图破坏计 算资源的完整性、机密性或可用性的任何行为。由定义可见,入侵并非一种特定的入侵行 为,而是一类入侵行为的统称。常见的网络攻击方式包括拒绝服务攻击、伪装身份入侵等。
入侵检测系统(IntrusionDetectionSystem,IDS)是一种网络安全设备,可以对入侵 行为进行实时监测,并在必要时发出告警或采取防御措施,切断入侵者的网络访问。最早 IDS系统的相关介绍由 Denning于1980年发表于IEEE软件工程汇刊上。
IDS有多种不同的划分方法,可以根据信息来源、检测方法、体系结构进行分类。根 据信息来源可分为基于主机的IDS、基于网络的IDS和混合型IDS;根据检测方法可分为 异常检测和误用检测;根据体系结构的不同,可以分为集中式IDS和分布式IDS。以下 对这些主要IDS模型进行介绍。
(1)异常检测(anomaly detection):这种方法要求先建立正常行为的特征轮廓和模 式表示,然后在检测时将具体行为与正常行为进行比较,如果偏差超过一定值,则认为是入侵行为,否则为正常行为。这种检测模型不需要对每种入侵行为进行定义,能有效检测 未知的入侵,因此漏报率低,但误报率高。
(2)误用检测(misuse detection):事先构建异常操作的行为特征,建立相应的模式 特征库。当监测到的用户或系统行为与特征库中的记录相匹配时,则认为发现入侵。与 异常检测方法相反,这种方法误报率低、漏报率高。
(3)基于主机的IDS:其数据来源于计算机操作系统的事件日志、应用程序的事件日 志、系统调用、端口调用和安全审计记录。因此,这种IDS是对主机入侵行为的检测。
最低0.47元/天 解锁文章
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
