概念:入侵檢測 入侵檢測通用框架(idwg cidf cve)
理解:入侵檢測原理、入侵檢測系統分類、誤用檢測和異常檢測的區別及特點
運用舉例:
能夠依據具體的應用場景,選擇恰當的入侵檢測系統部署方法,滿足應用需求。
一、概述
1.概念
入侵:繞過系統安全機制的非授權行為。
入侵檢測:是一種對計算機系統或者網路事件進行監測並分析這些入侵事件特徵的過程。
入侵檢測系統:自動進行這種監測和分析過程的軟體或硬體產品。
誤報:檢測系統在系統在檢測時把系統的正常行為判為入侵行為的錯誤被稱為誤報。
漏報:檢測系統在檢測時把某些入侵行為判為正常行為的錯誤現象稱為漏報。
檢測原理:通過對計算機網路或者計算機系統中得若干關鍵點收集資訊並對其進行分析,從中發現網路或者系統中是否有違反安全策略的行為和被攻擊的跡象
系統部署:入侵檢測系統是處於防火牆之後對網路活動的實時監控,不僅能檢測來自外部的入侵行為,同時也監督內部使用者的未授權活動
2、入侵檢測系統分類
按資料檢測方法:異常檢測模型,誤用檢測模型
異常檢測:首先總結正常操作應該具有的特徵(使用者輪廓),當使用者活動與正常行為有重大偏離時即被認為是入侵
按系統結構:集中式、分布式
主機ids:執行於被檢測的主機之上,通過查詢、監聽當前系統的各種資源的使用執行狀態,發現系統資源被非法使用和修改的事件,進行上報和處理
特點:安裝於被保護的主機中系統日誌、系統呼叫、檔案完整性檢查;主要分析主機內部活動、占用一定系統資源
網路ids:通過在共享網段上對通訊資料的偵聽採集資料,分析可疑現象。這類系統不需要主機提供嚴格的審計,對主機資源消耗少,並可以提供對網路通用的保護而無需顧及異構主機的不同架構。
特點:安裝在被保護的網段中,混雜模式監聽、分析網段中所有的資料報、實時監測和響應
二、通用入侵檢測框架
1.idwg入侵檢測工作組
目的:定義資料格式、定義交換流程
輸出:需求檔案、公共入侵檢測語言規範、框架檔案
目前成果:尚未形成正式標準,形成4個草案
組成:感測器、分析器和管理器
安全策略:預定義的、正式的成文的說明,它定義了組織機構內網路或特點主機上允許發生的目的為支援組織機構要求的活動。
2.cidf通用入侵檢測框架
體系結構的ids模組,便於審計資料和資料傳送的規範
3.cve通用漏洞披露
目標:標準化命名所有公共已知的脆弱性和安全暴露
三、入侵檢測技術原理
1.資料採集技術:高速網路線速採集、包俘虜、主機資訊採集
2.資料檢測技術:
2.1基於誤用的檢測:運用已知攻擊方法,根據已定義好的入侵模式,通過判斷這些入侵模式是否出現來檢測;通過分析入侵過程的特徵、條件、排列以及事件間關係能具體描述入侵行為的跡象;檢測準確度很高,無法檢測未知入侵。
專家系統、模式匹配檢測
2.2基於異常的檢測:前提:入侵是異常活動的子集;使用者輪廓(profile): 通常定義為各種行為引數及其閥值的集合,用於描述正常行為範圍
特點:指標:漏報率低,誤報率高,可檢測未知入侵
具體實現:基於統計學方法的異常檢測、基於神經網路的異常檢測、基於資料探勘的異常檢測
3.資料分析技術
常見型別:協議解析、有限狀態自動機、acbm字串匹配、正規表示式、事件規則樹、完整性分析
四、入侵檢測系統部署
1.nids感測器的部署方法
共享環境:hub 交換環境:span/埠映象、tap分接器
2.外圍支撐技術
3.評價指標
三個因素:準確性、處理效能、完備性
增加兩個:容錯性、及時性
4.效能測試
hids:漏報率、誤報率、資源佔用率
nids:漏報率、誤報率、特徵庫強度
模擬背景流量
習題:•
4-11
入侵檢測如何分類? •
•4-12
入侵檢測系統的主要技術指標有哪些? •
•4-13
常用未知攻擊檢測方法有哪些? •
•4-15
入侵防禦與入侵檢測的相同點和不同點有哪些?入侵防禦未來的發展趨勢是什麼? •
參***:兩者均具有檢測入侵行為的功能,但後者能夠提供主動防禦的能力,如動態調整系統安全策略阻止入侵以及對攻擊源進行主動審計追蹤。未來趨勢包括提公升效能,擴充套件功能和深度整合。效能提高主要靠硬體處理能力的提公升,功能需要擴充套件應用層安全監測的能力,並實現與防護牆,反病毒系統的深度融合,建立統一的風險管理平台
utm。
SQL Injection規避入侵檢測技術總結
當我們對乙個執行ids系統的伺服器進行sql注射時,我們往往會遇到很大的麻煩,因為我們的注射語句被過濾了,如何規避這種檢測手段就成了一門新的技術,本文就對此規避技術提出十一條思路和方法,與大家商戳。一 運用編碼技術繞過,如urlencode編碼,ascii編碼繞過。如or 1 1即 6f 72 20...
《SQL Injection規避入侵檢測技術總結》
sql injection規避入侵檢測技術總結 sql injection規避入侵檢測技術總結 當我們對乙個執行ids系統的伺服器進行sql注射時,我們往往會遇到很大的麻煩,因為我們的注射語句被過濾了,如何規避這種檢測手段就成了一門新的技術,本文就對此規避技術提出十一條思路和方法,與大家商戳。一 運...
SQL Injection規避入侵檢測技術總結
當我們對乙個執行ids系統的伺服器進行sql注射時,我們往往會遇到很大的麻煩,因為我們的注射語句被過濾了,如何規避這種檢測手段就成了一門新的技術,本文就對此規避技術提出十一條思路和方法,與大家商戳。一 運用編碼技術繞過,如urlencode編碼,ascii編碼繞過。如or 1 1即 6f 72 20...