入侵檢測：通過收集操作系統(tǒng)、系統(tǒng)程序、應(yīng)用程序、網(wǎng)絡(luò)包信息，發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為。

具有入侵檢測功能的系統(tǒng)稱為入侵檢測系統(tǒng)，簡稱為IDS。

通用入侵檢測模型

通用入侵檢測框架模型（CIDF）認(rèn)為入侵檢測系統(tǒng)由事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫組成。

?

基于誤用的入侵檢測技術(shù)

檢測與已知的不可接受行為之間的匹配程度。

這種檢測模型誤報(bào)率率、漏報(bào)率高。對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且特征庫必須不斷更新。

?

基于異常的入侵檢測技術(shù)

檢測與可接受行為之間的偏差。

漏報(bào)率低，誤報(bào)率高。因?yàn)椴恍枰獙?duì)每鐘入侵行為進(jìn)行定義，所以能有效檢測未知的入侵。

入侵檢測系統(tǒng)組成

以下功能快組成：

①數(shù)據(jù)采集模塊（數(shù)據(jù)采集）：為入侵分析引擎模塊提供分析用的數(shù)據(jù)。如操作系統(tǒng)的審計(jì)日志、應(yīng)用程序的運(yùn)行日志、網(wǎng)絡(luò)數(shù)據(jù)包；

②入侵分析引擎模塊（入侵檢測器）：依據(jù)輔助模塊提供的信息（如攻擊模式），根據(jù)算法對(duì)收集到的數(shù)據(jù)進(jìn)行分析，判斷是否有入侵行為出現(xiàn)，產(chǎn)生入侵報(bào)警，是入侵檢測系統(tǒng)的核心模塊；

③應(yīng)急處理模塊（應(yīng)急措施）：發(fā)生入侵后，提供緊急響應(yīng)服務(wù)，如關(guān)閉網(wǎng)絡(luò)服務(wù)、中斷網(wǎng)絡(luò)連接、啟動(dòng)備份系統(tǒng)等；

④管理配置模塊（配置系統(tǒng)庫）：為其他模塊提供配置服務(wù)，是IDS系統(tǒng)中的模塊與用戶的接口；

⑤相關(guān)的輔助模塊（攻擊模式庫）：協(xié)助乳清分析引擎模塊工作，為它提供相應(yīng)的信息，攻擊特征庫、漏洞信息等。

?

統(tǒng)一威脅管理（UTM）

統(tǒng)一威脅管理是指一個(gè)功能全面的安全產(chǎn)品，它將多種安全特性集成與一個(gè)硬件設(shè)備里，形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺(tái)，防范多種威脅。UTM產(chǎn)品通常包括防火墻，防病毒軟件，內(nèi)容過濾和垃圾郵件過濾器。如H3C SecPath U200-CA。

UTM通常部署在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界，對(duì)流出和進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行保護(hù)和控制。UTM在實(shí)際網(wǎng)絡(luò)中的部署方式包括透明網(wǎng)橋、路由轉(zhuǎn)發(fā)和NAT網(wǎng)關(guān)。

高級(jí)持續(xù)威脅（APT）

高級(jí)持續(xù)威脅包括三要素：高級(jí)、長期、威脅。

①高級(jí)強(qiáng)調(diào)的是使用復(fù)雜精密的惡意軟件及技術(shù)以利用系統(tǒng)中的漏洞；

②長期指某個(gè)外部力量會(huì)持續(xù)監(jiān)控特定的目標(biāo)，并從其獲取數(shù)據(jù)；

③威脅則指人為參與與策劃攻擊。

入侵檢測系統(tǒng)部署

IDS應(yīng)當(dāng)旁路部署在所有關(guān)注流量都必須流經(jīng)的鏈路上。

IDS部署在盡可能靠近攻擊源或盡可能靠近受保護(hù)資源的位置，如：

①服務(wù)器區(qū)域的交換機(jī)上；

②Internet接入路由器之后的第一臺(tái)交換機(jī)上；

③重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。

?

或

?

?

總結(jié)

以上是生活随笔為你收集整理的信息安全工程师笔记-入侵检测技术原理与应用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。