|
基础知识 |
|
| 入侵检测(Intrusion
Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion
Detection
System,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。
(全文) |
|
系统构建 |
数据收集和数据分析:谈IDS的体系结构
IDS在结构上可划分为数据收集和数据分析两部分。
一、 数据收集机制
数据收集机制在IDS中占据着举足轻重的位置。如果收集的数据时延较大,检测就会失去作用;如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。
二、 数据分析机制
根据IDS如何处理数据,可以将IDS分为分布式IDS和集中式IDS。
分布式IDS:在一些与受监视组件相应的位置对数据进行分析的IDS。
集中式IDS:在一些固定且不受监视组件数量限制的位置对数据进行分析的IDS。(全文)
·入侵检测标准:谈IDS的标准化
·入侵检测系统的概念及组成?
·局域网中构建入侵检测系统
|
|
工具分析 |
入侵检测系统的测试与评估
入侵检测作为一门正在蓬勃发展的技术,出现的时间并不是很长;相应地对IDS进行评测出现得更晚。它肯定有很多不完善和有待改进的地方,这需要进一步的研究。其中几个比较关键的问题是:网络流量仿真、用户行为仿真、攻击特征库的构建、评估环境的实现以及评测结果的分析。
近几年来,我国的入侵检测方面的研究工作和产品开发也有了很大的发展。但对入侵检测评估测试方面的工作还不是很多。各入侵检测产品厂家基于各方面的原因,在宣传时常常夸大其词,而IDS的用户对此往往又不是很清楚,所以迫切需要建立起一个可信的测试评估标准。这对开发者和用户都有好处。(全文)
·轻量级网络入侵检测系统SNORT
·入侵检测系统的性能的辨别
|
|
技术发展 |
入侵检测将会何去何从?
当年,Gartner预测说:“IDS已死。”时至今日,IDS正在走一条缓慢的翻身之路。
总的来说,IDS作为独立的产品形态,会在今后相当长的一段时间内存在,并发挥不可取代的作用。IDS技术同时会越来越多的集成进各种网络产品中,成为融合性安全产品的一部分。这两者是不存在矛盾的,因为考虑到对实时的影响,集成设备中的IDS是一个轻量级的IDS。这里的轻量级是指攻击特征最精简有效的一部分。而全面的IDS检测仍然需要通过旁路方式的IDS设备来完成。IDS厂商需要不断的技术更新,比如增加实时自动升级攻击特征库、日志事件智能分析等功能......(全文)
·入侵检测及网络安全发展技术探讨
·从检测到预防 IDS的演化与革命
|
|
缺点和局限 |
入侵检测方法和缺陷
搭建真正的安全体系需要入侵检测系统—IDS,一个优秀的入侵检测系统辅以系统管理员的技巧和经验可以形成真正的安全体系,有效判断和切断入侵行为,真正保护主机、资料。人们有时候会以为ISS的realsecure是优秀的入侵检测系统,其实不然,realsecure带有一定的缺陷,不谈它对事件的误报、漏报和错报,首先它是一个英文的软件,使用和熟悉起来有一定的难度。而且由于是外国人的软件,很多hack对realsecure有深入的研究,已经发掘出它的一些漏洞,甚至是固有漏洞,我就曾经测试出有的攻击手段可以令realsecure瘫痪。再者,realsecure也是架设在服务器操作系统之上的,操作系统停止工作,同样令之停止工作,换句话说,很简单,攻击者攻击的目标往往就是realsecure本身。设想,假设你的系统依赖于入侵检测系统,而入侵检测系统被攻击者搞掉,那你的系统将大门敞开,任由出入,后果不堪设想。
全中文的入侵检测系统当然是比较爽了,天阗探测引擎就是这当中比较典型的一种,它有自己的“黑匣子”,入侵者在攻击一台服务器的时候,几乎不可能找到该服务器运行的天阗探测引擎,这样就大大增加了攻击的难度,提高......(全文)
·入侵检测系统(IDS)的弱点和局限
·十大入侵检测系统风险及其对策
|
|
产品和应用 |
如何选择入侵检测设备
现在的网络安全系统通常都已经部署了防火墙、入侵检测系统,通过对网络安全产品正确配置,控制网络访问控制,监测内部网络、外部网络的攻击行为,这样的网络系统是否已经达到了真正的安全呢,答案是否定的。
由于防火墙的众多局限性,比如防火墙不能很好的防范内部网络攻击,对不经过防火墙的数据,防火墙无法检查;防火墙无法解决TCP/IP协议的漏洞问题;防火墙不能阻止内部泄密行为等,为了解决这些缺陷出现了入侵检测产品。但是随着黑客技术的迅猛发展,已经出现了大量的针对IDS的规避技术,使得入侵检测系统无能为力。面对这种尴尬局面,出现了漏洞扫描系统,它可以静态的评估现有网络的安全现状,并提出建设性的意见。(全文)
·赛门铁克防病毒防火墙及入侵检测方案
·主流网络产品 入侵检测产品比较
·东软入侵检测系统网络安全解决方案
|
