信息安全概论-入侵检测

1、信息安全概论-入侵检测入侵检测的概念1:入侵：是指对信息系统的未授权访问及（或）未经许可在信息系统中进行操作。这里，应该 包括用户对于信息系统的误用。2:入侵检测：是指对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。它通过在 计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络 或系统中是否有违反安全策略的行为和被攻击的迹象。3:入侵检测系统（IDS，Intrusion Detection System），是完成入侵检测功能的软件、硬件及其 组合，是一种能够通过分析系统安全相关数据来检测入侵活动的系统。入侵检测系统（IDS）的主要功能1：监测并分析用户和

2、系统的活动；2:核查系统配置和漏洞；3:评估系统关键资源和数据文件的完整性；4:识别已知的攻击行为；5:统计分析异常行为；6:对操作系统进行日志管理，并识别违反安全策略的用户活动。7:针对已发现的攻击行为作出适当的反应，如告警、中止进程等。小结1:入侵检测作为一种积极的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护， 在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入 侵检测系统理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在 国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但 现状是入侵检测仅

3、仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较 为初级的入侵检测模块。可见，入侵检测产品乃具有较大的发展空间；从技术途径来讲，除了 完善常规的、传统的技术（模式是别和完整性检测）外，应重点加强统计分析的相关技术研究。 2:目前，国际顶尖的入侵检测系统IDS主要以模式发现技术为主，并结合异常发现技术。IDS一般从实现方式上分为两种基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS 一定是基于主机合基于网络两种方式兼备的分布系统。另外，能够识别的入侵手段的数量多少， 最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。成功的入侵检测系统应具的特点1：实时性2

4、:可扩展性3:适应性4:安全性5有效性入侵检测原理1：异常检测2:误用检测入侵检测系统的主要部件简介1:信息流收集器：即信息获取子系统，用于收集来自于网络和主机的事件信息，为检测分析提 供原始数据；2:分析引擎：即分析子系统，是入侵检测系统的核心部分，用于对获取的信息进行分析，从而 判断出是否有入侵行为发生并检测出具体的攻击手段；3:用户界面和事件报告：即响应控制子系统，这部分和人交互，在适当的时候发出警报，为用 户提供与IDS交互和操作IDS的途径；4:特征数据库：即数据库子系统，存储了一系列已知的可疑或者恶意行为的模式和定义;入侵检测性能关键参数1：误报(false positive):检测系统在检测时把系统的正常行为判为入侵行为的错误被称误报；检测系统在检测过程中出现误报的概率称为系统的误报率。2:漏报(false negative):检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报；检测系统在检测过程中出现漏报的概率称为系统的漏报率。异常检测模型异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征(用户轮廓)，当用户活动与正常行为有重大偏离时即被认为 是入侵；异常检测特点1:异常检测系统的效率取决于用户轮廓的完备性和监控的频率。2:因为不需要对每