IDS中的数据分析技术简述

最新推荐文章于 2024-10-29 16:35:56 发布
最新推荐文章于 2024-10-29 16:35:56 发布
阅读量1.7k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: 数据分析 引擎 structure header cgi 活动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/purpleforest/article/details/1330370
本文简要介绍了IDS(入侵检测系统)中用于数据分析的技术。系统通过递归搜索二维规则链来处理每个数据包,其检测引擎仅检查规则解析器在运行时设定的链表选项。当检测到数据包属性与某条规则匹配时,会执行相应的规则动作并结束搜索。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    数据分析是入侵检测系统的核心。各种分析方法各有利弊,但基于规则的检测方法因为事先将各种入侵方式表示为规则存放于规则库中,因此在规则库比较完备的基础上,可以有很好的检测效率,所以我们在该系统的实现中主要考虑了基于规则的检测方法。
    基于规则的检测方法是误用检测的一种。规则一般都是文本的、高层协议的过滤规则,如“目标地址为xxx.xxx.xxx.xxx的http协议包”。规则所能描述的入侵行为的范围和准确程度影响着探测引擎的效率和准确度。每一种基于规则的入侵检测方法都需要一个确定的入侵模式库,即规则库,其中存放着描述入侵方法和行为的规则。规则通常是在探测引擎初始化时被读入内存,形成一个链表或决策树。入侵检测系统需要从以往的攻击入侵活动中,归纳识别出对应的入侵模式,并将这些入侵模式存放于规则库中,然后将系统现有的活动与规则库中的规则进行模式匹配,从而决定是否有入侵行为发生。
    规则库的匹配流程如下:
 
  在我们的系统中,采用了与SNORT兼容的入侵行为描述方法。SNORT是一个开放源代码的轻量级的基于网络的入侵检测系统,这种描述方法简单、易于实现,能够描述绝大多数的入侵行为。由于其简单,因此检测速度比较快。
    Snort 在真正执行检测之前会对规则集进行初始化,它会把规则按头部信息(主要是动作、源目标 IP 、源目标端口信息)及选项信息初始化成链表头和链表选项。在链表头中包含的是多个规则中的共有属性,而不同的检测属性选项则包含在不同的链表选项中。 Snort 作者提供的图示如下:
 
Rule Chain logical structure
------------------------------------------------
最低0.47元/天 解锁文章

200万优质内容无限畅学
网络安全概论——入侵检测系统IDS
VN520的博客
04-13 3743
因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。假定所有入侵行为都是与正常行为不同的,如果建立系统正常行为轨迹,那么理论上可以通过统计那些不同于我们已建立的特征文件的所有系统状态的数量来识别入侵企图,把所有与正常轨迹不同的系统状态视为可疑企图。误用检测系统的关键问题是如何从已知入侵中提取金和编写特征,使得其能够覆盖该入侵的所有可能的变种,而同时不会匹配到非法入侵活动(把真正入侵与正常行为区分开来)
IDS技术分析和需求分析
purpleforest的专栏
09-22 2114
  IDS技术分析和需求分析1、IDS的分类 从技术上,入侵检测分为两类:(1)              基于异常发现(anomaly-based)的入侵检测系统:假设任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户的活动规律而被检测出来。如果发现当前状态偏离了正常的模型状态,则系统认为是一次入侵,并发出警报。此类检测技术的优点在于能够发现任何企图发掘、试探系统最新
IDS简析
weixin_71398630的博客
08-01 1988
IDS是入侵检测系统(Intrusion Detection System)的缩写。它是一种安全技术,用于监控计算机网络或系统,以识别并响应恶意行为或未经授权的访问。IDS的主要功能是分析网络流量和系统活动日志,以检测可能的入侵行为或安全事件。IDS可以分为两种类型:基于主机的IDS(HIDS)和基于网络的IDS(NIDS)。HIDS安装在单个计算机上,监视该主机的系统日志和活动。它可以检测到本地发生的攻击和异常行为。NIDS则位于网络上,监视经过它的网络流量。
你对入侵检测了解多少呢?
qq_49149766的博客
09-12 2417
有关入侵检测,你知道这些吗
IDS国际数据空间(工业数据空间)
我的青春一去不复返
12-31 9956
国际数据空间 一、介绍 国际数据空间 (IDS) 是一个利用现有标准和技术,以及在数据经济中广为接受的治理模型,以促进安全可信业务生态系统中的标准化数据交换和数据链接。它由此为创建智能服务场景和促进跨公司创新提供基础业务流程,同时保证数据所有者的数据主权。 1.1 国际数据空间的目标 数据主权是国际数据的核心方面空间。 它可以定义为自然人或公司实体完全自主决定其数据的能力。 国际数据空间倡议为这种特殊能力和相关方面提出了一个参考架构模型,包括商业生态系统中安全和可信数据交换的要求。总的来说,国际数据
探索国际数据空间(IDS)架构(上)
最新发布
weixin_39112744的博客
10-29 2844
在当今数字化时代,数据的重要性日益凸显,而国际数据空间(IDS)作为一个新兴的概念,正逐渐成为数据管理和共享的关键领域。今天,我们就来一起探索一下 IDS 的精妙架构。
简述入侵检测系统 IDS分析方法及基本原理?
06-09
2. 数据分析IDS通过分析采集到的数据,识别出可能的入侵行为。 3. 入侵警报:当IDS识别出入侵行为时,会及时发出警报,通知管理员或安全人员采取相应的措施。 4. 防御措施:IDS还可以采取一些防御措施,如阻止...
简述入侵检测系统 IDS分析方法及基本原理?
06-09
3. 数据挖掘:IDS通过对网络流量中的大数据进行挖掘和分析,发现隐藏在数据中的安全事件,如DDoS攻击、僵尸网络等。 4. 模型识别:IDS通过使用机器学习算法,学习网络流量特征,从而识别和预测未知的安全事件。 ...
存储转发技术在数据中心的应用分析
[存储转发技术在数据中心的应用分析](https://network-insight.net/wp-content/uploads/2022/12/rsz_sase30.png) 参考资源链接:[理解存储转发:计算机网络中分组传输详解]...
网络协议深度分析:掌握通信协议以优化IDS性能
首先,我们介绍了数据链路层的功能和常见协议,并讨论了其在检测异常流量和提高IDS性能方面的作用。接着,本文深入网络层,探讨了网络层协议对入侵检测的重要性,并提出通过网络层优化IDS检测算法的策略。之后,我们...
IDS入侵检测测试数据集
06-15
入侵检测测试数据集,跟darpa2000相似的入侵检测测试数据集
IDS相关
qq_47529104的博客
12-06 2714
IDS简述 IDS是入侵检测设备,主要的部署方式是旁路式组网,通过在将某个网段上的出口交换机上设置镜像,由此监视网段中的数据流动。IDS可以说是对内部网络流量的再一次的检测和保护。一般来说都是通过额外的IDS设备进行流量的监控。 但是根据数据的来源,我们还可将其分为基于主机的入侵检测系统,网络入侵检测系统,基于混合数据源的入侵检测系统。 基于主机的入侵检测系统通过主机上的检测客户端,收集主机的通信信并对其进行相关信息的检测。同时它还可以检测本机的一些信息,实现对本机系统的保护。其实就是一个主机上的信息
CIC-IDS-2018数据集分析笔记
weixin_43408042的博客
10-06 1万+
2020.10.6学习记录 cic-ids-2018数据集下载 列出所有的数据集: aws s3 ls --no-sign-request "s3://cse-cic-ids2018" --recursive --human-readable --summarize 结果: 2018-10-10 19:52:09 0 Bytes Original Network Traffic and Log data/ 2018-10-10 19:52:23 0 Bytes Original Network
IDS入侵检测系统
热门推荐
有理论,有实验,有结论,可为一篇文章
05-31 5万+
[ 转载自:https://blog.youkuaiyun.com/qq_36119192/article/details/84343269 ] 一、IDS是什么 IDS(intrusion detection system)入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。在很多中大...
IDS入侵检测
远帆
07-31 1325
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击 行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。    我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,
INFORMIX-IDS基本知识
数据库技术成长之路......
05-11 6428
 1、描述IDS数据库(database server)由哪三个主要组成部分?并解释说明各组成部分的一些主要的概念。         IDS数据库是一个多线程结构(multithreaded architecture),由内存(shared memory)、CPU(VP)、磁盘(DISK)三个主要部分组成。VP,IDS数据库中所有的进程统称为virtual processor(vp)。
IDS 日志分析
weixin_30904593的博客
03-01 582
【http://blog.youkuaiyun.com/cnbird2008/article/details/5792626】 General Approach通用方法1. Identify which log sources and automated tools you can use during the analysis.确认哪些日志源和自动化工具在分析过程中可以使用。2. Copy log rec...
入侵检测系统详解(IDS
whoim_i的博客
11-26 3万+
目录入侵检测系统(IDS)概念入侵检测系统的分类根据数据源分类1 基于主机的入侵检测系统2 基于网络的入侵检测系统根据检测原理分类1 异常入侵检测。2 误用入侵检测。根据体系结构分类1.集中式2.等级式3.协作式根据工作方式分类1 离线检测。2 在线监测。入侵检测功能1 监控、分析用户和系统的活动2 发现入侵企图或异常现象3 记录、报警和响应 入侵检测系统(IDS)概念 入侵检测系统(intrus...
IDS(Informix Dynamic Server)的培训文档[转贴]
minsj的专栏
11-02 1701
 IDS的培训文档!对IDS系统体系结果讲的简洁明了,挺好! -------------------------------------------------------------- 第一章 Informix动态可伸缩体系结构DSA (Dynamic Scalability Architecture) 一、关系型数据库(Relational Database)系统体系结构 目前比较流行的商
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值