一、 入侵检测基本概念
- 入侵:任何试图危害计算机资源的完整性、机密性或可用性的行为。
- 入侵检测:通过从网络或系统中若干关键点收集信息,并对这些信息进行分析,以判断网络系统中是否存在攻击的迹象,就是入侵行为的发觉,即入侵检测。
二、 各类安全设备作用与缺点
| 安全设备 | 作用 | 缺点 |
|---|---|---|
| 防火墙 | 阻断一类人群的进入 | 无法阻断同一类人群中的破坏分子,也无法阻止内部的破坏分子 |
| 访问控制系统 | 可阻止低级权限的人做越权工作 | 无法保证高级权限的人不做破坏工作,也无法阻止低级权限的人通过非法行为或得高级权限 |
| 漏洞扫描系统 | 可发现系统和网络存在的漏洞 | 无法对系统进行实时扫描 |
| 入侵检测/防护系统 | 既可以对外部人员进行监控,也可对内部人员进行监控,同时还能实时监控受保护系统,对监控对象中的不法分子进行处理 | 对检测系统自身的性能和特征是否精确等方面要求较高 |
三、 入侵检测简单分类
| 检测内容 | 定义方式 | 检测方式 | 实现方式 |
|---|---|---|---|
| 异常 | 自学习 | 非时间序列 | 1. 规则模型;2. 基于统计 |
| 预编程的 | 描述统计 | 1.简单统计;2.基于规则;3.门限 | |
| Default deny | 状态序列模式 | ||
| 特征 | 预编程的 | 状态模式 | 1.状态转换;2.Petri网 |
| 专家系统 | \ | ||
| 字符串匹配 | \ | ||
| 基于规则 | \ | ||
| 自动特征 | 自学习 | 自动特征选取 | \ |
四、 入侵检测/防护面临的问题
- 性能问题
- 未知威胁防护能力
- 自身安全性问题
- 检测/防护场景多样化
五、 入侵检测技术发展趋势
- 分布式部署,集中式管理
- 智能化,自学习
- 检测、分析、管理、处置一体化
- 多场景适应
