信息安全基础知识:10入侵检测技术
1.入侵检测框架模型(CIDF)
该模型认为入侵检测系统由事件产生器、事件分析器、响应单元、事件数据库组成。
2.基于误用的入侵检测技术
误用入侵检测通常被称为基于特征的异常检测方法,指根据已知的入侵模式检测入侵的行为,依赖于攻击模式库。
①基于条件概率的误用检测方法
②基于状态迁移的误用检测方法
③基于键盘监测的误用检测方法
④基于规则的误用检测方法
3.基于异常的入侵检测技术
异常入侵检测方法通过计算机或网络资源统计分析,建立系统正常行为的“轨迹”,得出一组系统正常情况的数值,然后将系统运行时的数值与“正常”数值相比较,得出是否有被攻击的迹象。
①基于统计的异常检测方法
②基于模式预测的异常检测方法
③基于文本分类的异常检测方法
④基于贝叶斯的异常检测方法
4.入侵检测系统组成
①数据采集模块
②入侵分析引擎模块
③应急处理模块
④管理配置模块
⑤相关辅助模块
5.入侵检测系统分类
①基于主机的入侵检测系统
②基于网络的入侵检测系统
③分布式入侵检测系统
6.入侵检测相关产品
①主机入侵检测系统
②网络入侵检测系统
③统一威胁管理(UTM)
④高级持续威胁检测
7.入侵检测相关指标
可靠性、可用性、可扩展性、时效性、准确性、安全性。
8.入侵检测应用场景
①上网保护
②网站入侵检测与保护
③网络攻击阻断
④主机/终端恶意代码检测
⑤网络安全监测预警与应急处置
⑥网络安全等级保护
9.入侵检测系统部署步骤
①根据组织或公司安全策略,确定IDS监测对象或保护网段
②在监测对象或保护网段,安装IDS探测器,收集入侵检测所需信息
③针对监测对象或保护网段的安全需求,制定相应的检测策略
④依据检测策略,选择合适的IDS结构类型
⑤在IDS上,配置入侵检测策略
⑥测试验证IDS的安全策略是否正常执行
⑦运行和维护IDS