<网络安全>《8 入侵检测系统IDS》

1 概念

入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。

2 发展历程

IDS最早出现在1980年4月。

1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。

1990年,IDS分化为基于网络的IDS和基于主机的IDS。

后又出现分布式IDS。

IDS发展迅速,已有人宣称IDS可以完全取代防火墙。

3 简介

IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。

以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。

4 分类

NIDS

NIDS英文全称:network intrusion detection system,中文名称:网络入侵检测系统。这是分析传入网络流量的系统。

HIDS

HIDS英文全称:host intrusion detection system,中文名称:主机入侵检测系统。这是监控重要操作系统文件的系统。

SIDS

SIDS英文全称:signature-based intrusion detection system,中文名称:基于签名的入侵检测系统。监控通过网络的所有数据包,并将它们与攻击签名或已知恶意威胁属性的数据库进行比较,就像防病毒软件一样。

AIDS

AIDS英文全称:anomaly-based intrusion detection system,中文名称:基于异常的入侵检测系统。基于异常的 IDS 系统提供了受保护系统“普通”行为的模型,任何不一致都会被识别为可能的危险,为了建立基线和支持安全策略,这种经常使用机器学习。基于异常的检测技术克服了基于特征的检测的限制,尤其是在识别新威胁时。虽然这种策略可以检测新的或零日威胁,但创建“普通”行为的准确模型的挑战意味着这些系统必须协调误报。

5 工业产品一般具备的能力

入侵检测技术对网络中的多种网络协议http、ftp、pop3、smtp、NFS、telnet、ssh等进行深度审计,可以对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行检测。通过对内外部用户的网络行为进行解析、记录、汇报,实现事中实时监视、违规行为响应、事后合规报告、事故追踪溯源。

功能:日志报表、流量检测、应用深度识别、自定义应用

日志报表:日志报表丰富,易管理:提供多视角、丰富易用的报表,便于用户从多维视角进行管理。
流量检测:对流量中恶意病毒、入侵行为检测分。
应用深度识别:系统把对报文的协议解析、深度内容检测以及关联分析结合起来,通过对大量实际环境中的流量的分析,总结出每种应用的流量模型,把对数据包的协议解析、深度内容检测和关系分析的结果综合起来,由决策引擎通过与流量模拟的匹配程度,智能的判定应用类型。
自定义应用:系统具备自定义应用功能,管理员可根据协议、目标端口、1P、域名等维度创建应用特征,进而针对企业应用进行审计、流量统计和控制。

基于协议状态分析:系统对已知协议和RFC规范进行了深度理解,有效提高应用识别的性能,同时降低误识别率。
行为检测:不同的应用类型体现在会话连接或数据流上的状态各有不同,雪这一系列流行为特征,通过分析会话连接流的包长、连接速举等息来识别应用类型。
应用审计:网络安全审计系统基于应用识别的基础可以实现应用中相关内容的审计,记录。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/648251.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何解决服务器端口被占用的问题,减少带来的影响

在现代网络环境中,服务器扮演着至关重要的角色,其稳定性和安全性对企业的正常运营具有重要意义。然而,服务器端口被占用的问题却时常困扰着企业网络管理员。本文将深入探讨服务器端口被占用的影响,并提出相应的解决方案。 一、服务…

(2)(2.8) Holybro 900Mhz XBP9X无线电遥测设备

文章目录 前言 1 特点 2 规格 3 电源 4 引脚输出 5 下载 前言 Holybro XBP9X 无线电设备可使用 Digi 免费的 XCTU 软件或通过 Digi 简化的 AT 或 API 命令集轻松进行配置。无线电台采用 256 位 AES 加密技术,可在设备之间安全可靠地传输关键数据。无线电的射…

解决 Required Integer parameter ‘uid‘ is not present

1.原因分析 后端没接收到uid可能是前端没传递uid也可能是前端传递了uid,但是传递方式与后端接收方式不匹配,导致没接收到更大的可能是因为后端请求方式错了。比如: 2.解决方案 先确定前端传参方式与后端请求方式是匹配的后端get请求的话…

云计算项目六:升级网站运行平台|部署缓存服务|数据迁移|部署集群

升级网站运行平台|部署缓存服务|数据迁移|部署集群 案例1:升级网站运行平台步骤一:清除当前配置步骤二:部署LNMP步骤三:测试配置 案例2:部署内存存储服务步骤一:部署redi…

【大数据面试题】HBase面试题附答案

目录 1.介绍下HBase 2.HBase优缺点 3.介绍下的HBase的架构 4.HBase的读写缓存 5.在删除HBase中的一个数据的时候,它是立马就把数据删除掉了吗? 6.HBase中的二级索引 7.HBase的RegionServer宕机以后怎么恢复的? 8.HBase的一个region由哪些东西组成? 9.…

ChatGPT模型大更新!全新大、小文本嵌入模型,API价格大降价!

1月26日凌晨,OpenAI在官网对ChatGPT Turbo模型(修复懒惰行为),免费的审核模型,并对新的GPT-3.5 Turbo模型API进行了大幅度降价。模型进行了大更新,发布了两款全新大、小文本嵌入模型,全新的GPT-…

申万宏源基于 StarRocks 构建实时数仓

作者 :申万宏源证券 实时数仓项目组 小编导读: 申万宏源证券有限公司是由新中国第一家股份制证券公司——申银万国证券股份有限公司与国内资本市场第一家上市证券公司——宏源证券股份有限公司,于 2015 年 1 月 16 日合并组建而成&#xff0c…

设计模式_装饰器模式_Decorator

生活案例 咖啡厅 咖啡定制案例 在咖啡厅中,有多种不同类型的咖啡,客户在预定了咖啡之后,还可以选择添加不同的调料来调整咖啡的口味,当客户点了咖啡添加了不同的调料,咖啡的价格需要做出相应的改变。 要求&#xff…

机器学习_常见算法比较模型效果(LR、KNN、SVM、NB、DT、RF、XGB、LGB、CAT)

文章目录 KNNSVM朴素贝叶斯决策树随机森林 KNN “近朱者赤,近墨者黑”可以说是 KNN 的工作原理。 整个计算过程分为三步: 计算待分类物体与其他物体之间的距离;统计距离最近的 K 个邻居;对于 K 个最近的邻居,它们属于…

QT模态对话框和非模态对话框

QT模态对话框和非模态对话框 QT模态对话框 QT模态对话框指的是当前对话框弹出后,不能进行操作其他窗口,必须关掉该对话框才能操作其他窗口,相当于阻塞到当前窗口了;代码如下: QDialog dialog(this);dialog.resize(20…

Qt编写linux系统onvif工具(支持预览/云台/预置位/录像等)

一、功能特点 广播搜索设备,支持IPC和NVR,依次返回。可选择不同的网卡IP进行对应网段设备的搜索。依次获取Onvif地址、Media地址、Profile文件、Rtsp地址。可对指定的Profile获取视频流Rtsp地址,比如主码流地址、子码流地址。可对每个设备设…

spring(一):基于XML获取Bean对象以及各种依赖注入方式

1. 获取Bean XML文件&#xff1a;<bean id"helloworld" class"org.kkk.spring6.bean.HelloWorld"></bean>1.1 根据id获取 Test public void testHelloWorld(){//加载XML文件ApplicationContext context new ClassPathXmlApplicationContext…

单元测试——题目十二

目录 题目要求: 定义类 测试类 题目要求: 根据下列流程图编写程序实现相应处理,执行j=10*x-y返回文字“j1=:”和计算值,执行j=(x-y)*(10⁵%7)返回文字“j2=:”和计算值,执行j=y*log(x+10)返回文字“j3=:”和计算值。 编写程序代码,使用JUnit框架编写测试类对编写的…

idea中使用带provide修饰的依赖,导致ClassNotFound

1、provide修饰的依赖作用&#xff1a; 编译时起作用&#xff0c;而运行及打包时不起作用。程序打包到Linux上运行时&#xff0c;若Linux上也有这些依赖&#xff0c;为了在Linux上运行时避免依赖冲突&#xff0c;可以使用provide修饰&#xff0c;使依赖不打包进入jar中 2、可能…

Map集合(二)

HashMap HashMap集合的底层原理 HashMap跟HashSet的底层原理是一模一样的&#xff0c;都是基于哈希表实现的。 实际上&#xff1a;原来学的Set集合的底层就是基于Map实现的&#xff0c;只是Set集合中的元素只要键数据&#xff0c;不要值数据而已。 哈希表 哈希表是一种增删…

Python Flask与APScheduler构建简易任务监控

1. Flask Web Flask诞生于2010年&#xff0c;是用Python语言&#xff0c;基于Werkzeug工具箱编写的轻量级、灵活的Web开发框架&#xff0c;非常适合初学者或小型到中型的 Web 项目。 Flask本身相当于一个内核&#xff0c;其他几乎所有的功能都要用到扩展&#xff08;邮件扩展…

代码随想录算法训练营31期day4,力扣24+19+02.07+142

24&#xff0c;动指针 class Solution { public:ListNode* swapPairs(ListNode* head) {//建立虚拟头结点auto dummynew ListNode(-1);dummy->nexthead;for(auto pdummy;p->next&&p->next->next;){auto ap->next;auto ba->next;p->nextb;a->n…

c语言笔记

1. c语言部分算法列举 1.1 找数 二分查找&#xff08;前提是数据必须有序&#xff09; 1.2 求极值 1.3 数组逆序 1.4 排序法&#xff08;***重点***&#xff09; 1.4.1 选择排序法 1.4.2 冒泡排序法 1.4.3 插入排序法 2. 字符型数组 2.1 使用格式 char s[10]; …

tee漏洞学习-翻译-1:从任何上下文中获取 TrustZone 内核中的任意代码执行

原文&#xff1a;http://bits-please.blogspot.com/2015/03/getting-arbitrary-code-execution-in.html 目标是什么&#xff1f; 这将是一系列博客文章&#xff0c;详细介绍我发现的一系列漏洞&#xff0c;这些漏洞将使我们能够将任何用户的权限提升到所有用户的最高权限 - 在…

POLYGON Military - Low Poly 3D Art by Synty

这是一个非常全面的资产包,可满足您的所有军事需求。一个绝对庞大的低多边形资产包,用于构建您的梦想游戏! 模块化部分易于以各种组合方式拼接在一起。 此包中包含 1500 多个详细的预制件。 主要特征 - 完全模块化武器系统 - 超级可定制的角色 -沙漠主题建筑和环境 - 建筑物…