入侵检测系统的正确使用方法

随着网络安全风险系数的不断提高,防火墙作为主要的安全手段已经不能满足人们对网络安全的需求。

入侵检测系统(IDS)作为防火墙的补充,有助于快速识别网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监控、攻击识别和响应),提高整个信息安全基础设施的整体性。

IDS被认为是防火墙后面的第二个安全门。它可以在不影响网络性能的前提下对网络进行监控,为内部攻击、外部攻击和误操作提供实时保护。

With the rapid development of computer network technology and the Internet, network attacks and intrusions grow with each passing day, especially in the past two years, government departments, military institutions, financial institutions, the enterprise computer network from hackers.The attacker can easily attack and intrusion of those without safety protection network, such as the denial of service attack, engaged in unauthorized access, wanton theft and tampering of data information and monitoring procedures to install the back door ready access to information, communication within the computer virus, destroy the host etc..Attacks and invading events have brought huge economic losses and image damage to these institutions and enterprise甚至直接威胁到国家的安全。

第一,存在的问题

为什么攻击者可以攻击和入侵网络原因是,我们的计算机网络的存在可以由攻击者的安全漏洞,漏洞和安全配置,主要在操作系统、网络服务、TCP/IP协议的应用(如数据库浏览器等)、网络设备等多个方面。正是这些弱点、漏洞和不安全,将攻击者采取的机会。此外,由于大多数网络预警和保护机制的缺失,即使攻击者已经侵入到内部网络,侵入到关键主机和从事非法活动,我们的网络管理人员也很难察觉。这样,攻击者有足够的时间做任何他们想做的事情。

那么,我们如何防止和避免攻击和入侵呢发现网络中存在的安全漏洞,第一,漏洞和安全配置;然后将这些弱点的相应措施,不安全的配置漏洞进行修正,最大限度地避免攻击和入侵;同时,网络活动的实时监控,如果它检测到的攻击或非法操作,及时响应,包括记录、报警和防止非法连接。

入侵检测系统的出现解决了上述问题,建立硬件防火墙可以提高网络吞吐量,阻断一般攻击行为。使用IDS入侵防御系统可以监视和响应防火墙以外的攻击和网络内部的非法操作。

二、IDS是重要的一天

目前,随着入侵检测技术的逐步成熟,在整个安全部署的重要作用正在被广大用户接受。为了保证网络的安全,一套完整的安全保护系统必须建立和开展多层次、多means.ids保护检测是安全防护体系的重要组成部分。它可以识别网络中的入侵行为,在time.ids实时报警是新一代的安全保障技术以下防火墙信息加密等传统安全保护;方法。它监视计算机系统或网络中发生的事件,并分析他们发现危及保密、岩体的完整性,可用性或绕过安全mechanisms.ids是一个安全的自动执行此过程监测和分析产品。






入侵检测系统的主要优点是监测网络流量,不影响网络性能,虽然从理论上讲,IDS对用户来说不是必需的,但它的存在确实减少了网络的威胁,IDS就像安装在建筑物中的监视器一样,可以监视整个建筑物。用户感觉非常坚定。IDS非常值得用户使用。

入侵检测系统作为一种主动安全防护工具,能够实时防御内部攻击、外部攻击和误操作。它可以报警、拦截和响应在计算机网络和系统受到损害。它具有以下功能:安全违法行为通过检测和记录网络中,网络犯罪的处罚,防止网络入侵检测的发生;其他安全措施未能阻止的攻击或安全违规行为;在攻击行为的检测黑客攻击的检测,对预警管理;安全威胁报告或计算机网络系统中;提供有关攻击的信息,帮助安全弱点存在的诊断,网络管理员修复;安排在一个大型复杂的计算机网络入侵检测系统,可以显著提高网络服务质量安全管理。

详细了解用户的ID,在整个安全体系结构的入侵检测系统的地位也在不断提高,它已成为一种不可缺少的安全产品,在实际使用中,发挥着越来越重要的作用,如交通灯,照相机,对攻击者的威慑作用,对入侵,尤其是常规监测的入侵是非常好的,对网络安全有一定的保护作用。

三。什么是IDS

本质上,入侵检测系统是一种典型的窥探设备,它不跨越多个物理网段(通常只有一个监听端口),不需要转发任何流量。相反,它只需要被动地默默地收集,它关心的信息。IDS的处理过程分为四个阶段,如数据采集阶段,数据处理和过滤阶段,入侵检测与分析阶段、报告和反应阶段,数据收集阶段是数据审核阶段的入侵检测系统。收集发动机提供主机的通信数据包,在目标系统的使用情况,数据处理和过滤阶段是将收集到的数据一个阶段可以识别入侵的发生。通过前一阶段提供的数据判断是否有入侵和入侵阶段检测分析。这只雄鹿e是整个入侵检测系统的核心阶段。根据检测的异常使用或检测的系统或应用程序漏洞的漏洞的目的,该系统可分为异常行为和错误使用的检测,报告和响应的相位响应的判断在前一阶段进行的。如果一个入侵的判断,系统会采取相应的应对措施或通知管理员采取入侵,以便采取措施。近年来,入侵检测和响应的需求日益增加,特别是对其跟踪功能的需求。

目前,IDS分析和入侵检测通常采用以下几种方法:特征库匹配、统计分析和完整性分析,前两种方法用于实时入侵检测,而完整性分析用于后分析。






特征库匹配是比较收集到的信息与已知的网络入侵和系统误用模式数据库,以发现违反安全策略。这个过程可以很简单,如通过字符串匹配找到一个简单的入门或指令,也可以很复杂,如采用常规的数学表达式来表示安全状态的变化。一般来说,一个攻击模式可以用一个过程表现(如执行指令)或一个输出(如获得权限)。

这种方法的优点之一是,只有相关数据的收集收集,和系统的负担,明显降低,且技术已相当成熟,它是由病毒防火墙采用的方法一样,和检测的精度和效率都很高。然而,这方法的缺点是需要不断的升级以应对不断出现的黑客攻击,我们无法检测,从未见过任何黑客攻击。

统计分析首先创建信息对象的统计描述,如用户、连接、文件、目录和设备等,并统计测量属性(如访问次数、操作失败和延误)正常使用时,测量属性的平均值将被用来与网络和系统行为。当任何观察值在正常偏差,认为这是一种入侵。例如,统计分析可以识别异常行为,因为它发现一个帐户没有登录从八点到早晨六点,但试图登录在早上二点,或异常增加的数据流量对于一个特定的网站,优点是未知的入侵和更为复杂的入侵可以被检测到。缺点是误报,高误报率,以及用户正常行为的突然变化。

是否有文件或对象通过改变完整性分析主要关注的问题,包括文件和目录的属性的内容,发现在应用的变化,是特别有效的特殊Tongxinluo Yi hua。完整性分析利用强大的加密机制,称为消息摘要函数(例如MD5),识别非常小变化。优势是模式匹配方法和统计分析方法可以检测入侵,只要是成功的攻击导致了文件或其他对象的任何改变,它可以发现。缺点是一般以批处理方式实现,不用于实时响应。