- 相關(guān)推薦
IDS
入侵檢測(cè)系統(tǒng)
IDS(入侵檢測(cè)系統(tǒng))
IDS是英文“Intrusion Detection Systems”的縮寫(xiě),中文意思是“入侵檢測(cè)系統(tǒng)”。專(zhuān)業(yè)上講就是依照一定的安全策略,通過(guò)軟、硬件,對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。做一個(gè)形象的比喻:假如防火墻是一幢大樓的門(mén)鎖,那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓,或內(nèi)部人員有越界行為,只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。
目錄 起源 原理 通信協(xié)議 CIDF模型 收縮展開(kāi) 起源1、1980年,James P. Anderson的《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》(《Computer Security Threat Monitoring and Surveillance》) 第一次詳細(xì)闡述了入侵檢測(cè)的概念;提出計(jì)算機(jī)系統(tǒng)威脅分類(lèi);提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想;此報(bào)告被公認(rèn)為是入侵檢測(cè)的開(kāi)山之作。 2、1984年到1986年,喬治敦大學(xué)的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型--IDES(入侵檢測(cè)專(zhuān)家系統(tǒng)) 3、1990年,加州大學(xué)戴維斯分校的L. T. Heberlein等人開(kāi)發(fā)出了NSM(Network Security Monitor) 該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源,因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī) 入侵檢測(cè)系統(tǒng)發(fā)展史翻開(kāi)了新的一頁(yè),兩大陣營(yíng)正式形成:基于網(wǎng)絡(luò)的IDS和基于主機(jī)的`IDS 4、1988年之后,美國(guó)開(kāi)展對(duì)分布式入侵檢測(cè)系統(tǒng)(DIDS)的研究,將基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)方法集成到一起。DIDS是分布式入侵檢測(cè)系統(tǒng)歷史上的一個(gè)里程碑式的產(chǎn)品。 5、從20世紀(jì)90年代到現(xiàn)在,入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面,并在智能化和分布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。
原理入侵檢測(cè)可分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)兩種。 實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行,系統(tǒng)根據(jù)用戶(hù)的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專(zhuān)家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶(hù)當(dāng)前的操作進(jìn)行判斷,一旦發(fā)現(xiàn)入侵跡象立即斷開(kāi)入侵者與主機(jī)的連接,并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測(cè)過(guò)程是不斷循環(huán)進(jìn)行的。而事后入侵檢測(cè)則是由具有網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí)的網(wǎng)絡(luò)管理人員來(lái)進(jìn)行的,是管理員定期或不定期進(jìn)行的,不具有實(shí)時(shí)性,因此防御入侵的能力不如實(shí)時(shí)入侵檢測(cè)系統(tǒng)。
通信協(xié)議IDS系統(tǒng)組件之間需要通信,不同的廠(chǎng)商的IDS系統(tǒng)之間也需要通信。因此,定義統(tǒng)一的協(xié)議,使各部分能夠根據(jù)協(xié)議所制訂的標(biāo)準(zhǔn)進(jìn)行溝通是很有必要的。IETF 目前有一個(gè)專(zhuān)門(mén)的小組 IDWG(IntrusionDetection WorkingGroup)負(fù)責(zé)定義這種通信格式,稱(chēng)作Intrusion Detection ExchangeFormat。目前只有相關(guān)的草案,并未形成正式的RFC文檔。盡管如此,草案為IDS各部分之間甚至不同IDS系統(tǒng)之間的通信提供層協(xié)議,其設(shè)計(jì)多其他功能(如可從任意端發(fā)起連接,結(jié)合了加密、身份驗(yàn)證等)。
CIDF模型(CIDF)闡述了一個(gè)入侵檢測(cè)系統(tǒng)(I DS)的通用模型。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件: 事件產(chǎn)生器(Event generators) 事件分析器(Event analyzers) 響應(yīng)單元(Response units ) 事件數(shù)據(jù)庫(kù)(Event databases ) CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱(chēng)為事件(event),它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包,也可以是從系統(tǒng)日志等其他途徑得到的信息。
信息公開(kāi)聲明文件
IDS(信息公開(kāi)聲明文件)
【IDS】相關(guān)文章: