網路系統安全簡述異常檢測的工作原理

❶ 闖入監測識別系統組成及其工作原理是什麼

據其採用的技術可以分為異常檢測和特徵檢測。
（1）異常檢測：異常檢測的假設是入侵者活動異常於正常主體的活動，建立正常活動的「活動簡檔」，當前主體的活動違反其統計規律時，認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成 （2）特徵檢測：特徵檢測假設入侵者活動可以用一種模式來表示，然後將觀察對象與之進行比較，判別是否符合這些模式。 （3）協議分析：利用網路協議的高度規則性快速探測攻擊的存在。 根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和基於網路的入侵檢測系統。（1）基於主機的入侵檢測系統：通過監視與分析主機的審計記錄檢測入侵。能否及時採集到審計是這些系統的弱點之一，入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。 （2）基於網路的入侵檢測系統：基於網路的入侵檢測系統通過在共享網段上對通信數據的偵聽採集數據，分析可疑現象。這類系統不需要主機提供嚴格的審計，對主機資源消耗少，並可以提供對網路通用的保護而無需顧及異構主機的不同架構。 （3）分布式入侵檢測系統：目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源於網路中的數據包，不同的是，它採用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子，該黑匣子相當於基於網路的入侵檢測系統，只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流，它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網路數據，同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大，但對網路流量有一定的影響。 根據工作方式分為離線檢測系統與在線檢測系統。（1）離線檢測系統：離線檢測系統是非實時工作的系統，它在事後分析審計事件，從中檢查入侵活動。事後入侵檢測由網路管理人員進行，他們具有網路安全的專業知識，根據計算機系統對用戶操作所做的歷史審計記錄判斷是否存在入侵行為，如果有就斷開連接，並記錄入侵證據和進行數據恢復。事後入侵檢測是管理員定期或不定期進行的，不具有實時性。 （2）在線檢測系統：在線檢測系統是實時聯機的檢測系統，它包含對實時網路數據包分析，實時主機審計分析。其工作過程是實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。

❷ 什麼是異常入侵檢測

異常入侵檢測，檢測所有從網路到本地的鏈接等並發現不正常的、有入侵傾向的鏈接並阻止。

IETF將一個入侵檢測系統分為四個組件：

事件產生器（Event generators），它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

事件分析器（Event analyzers），它經過分析得到數據，並產生分析結果。

響應單元（Response units ），它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

事件資料庫（Event databases ）事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

安全策略

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵；後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高；誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。

但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

以上內容參考：網路-異常入侵檢測、網路-入侵檢測系統

❸ 網路安全的原理

網路安全的原理：網路是指以共享資源為目的，利用通信手段把地域上相對分散的若干獨立的計算機系統、終端設備和數據設備連接起來，並在協議的控制下進行數據交換的系統，計算機網路的根本目的在於資源共享，通信網路是實現網路資源共享的途徑，因此，計算機網路是安全的。

要使網路能正常地實現資源共享功能，首先要保證網路的硬體、軟體能正常運行，然後要保證數據信息交換的安全。從前面兩節可以看到，由於資源共享的濫用，導致了網路的安全問題。因此網路安全的技術途徑就是要實行有限制的共享。

網路安全通常指計算機網路的安全，實際上也可以指計算機通信網路的安全。計算機通信網路是將若乾颱具有獨立功能的計算機通過通信設備及傳輸媒體互連起來，在通信軟體的支持下，實現計算機間的信息傳輸與交換的系統。

網路安全在不同的應用環境下有不同的解釋。針對網路中的一個運行系統而言，網路安全就是指信息處理和傳輸的安全。它包括硬體系統的安全、可靠運行，操作系統和應用軟體的安全，資料庫系統的安全，電磁信息外露的防護等。狹義的網路安全，側重於網路傳輸的安全。

❹ 簡述入侵檢測系統的工作原理

入侵檢測技術（IDS）可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術

❺ 入侵檢測系統異常檢測方法有什麼

入侵檢測技術基礎 1. IDS（入侵檢測系統）存在與發展的必然性 （1）網路安全本身的復雜性，被動式的防禦方式顯得力不從心。（2）有關供觸垛吠艹杜訛森番緝防火牆：網路邊界的設備；自身可以被攻破；對某些攻擊保護很弱；並非所有威脅均來自防火牆外部。（3）入侵很容易：入侵教程隨處可見；各種工具唾手可得 2. 入侵檢測（Intrusion Detection） ●定義：通過從計算機網路或計算機系統中的若干關鍵點收集信息並對其進行分析，從中發現網路或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。入侵檢測的分類（1）按照分析方法/檢測原理分類 ●異常檢測（Anomaly Detection）：基於統計分析原理。首先總結正常操作應該具有的特徵（用戶輪廓），試圖用定量的方式加以描述，當用戶活動與正常行為有重大偏離時即被認為是入侵。前提：入侵是異常活動的子集。指標：漏報率低，誤報率高。用戶輪廓(Profile)：通常定義為各種行為參數及其閥值的集合，用於描述正常行為范圍。特點：異常檢測系統的效率取決於用戶輪廓的完備性和監控的頻率；不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵；系統能針對用戶行為的改變進行自我調整和優化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統資源 ●誤用檢測（Misuse Detection）：基於模式匹配原理。收集非正常操作的行為特徵，建立相關的特徵庫，當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。前提：所有的入侵行為都有可被檢測到的特徵。指標：誤報低、漏報高。攻擊特徵庫：當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。特點：採用模式匹配，誤用模式能明顯降低誤報率，但漏報率隨之增加。攻擊特徵的細微變化，會使得誤用檢測無能為力。

❻ 如何理解異常入侵檢測技術

入侵檢測是用於檢測任何損害或企圖損害系統的機密性、完整性或可用性等行為的一種網路安全技術。它通過監視受保護系統的狀態和活動，採用異常檢測或誤用檢測的方式，發現非授權的或惡意的系統及網路行為，為防範入侵行為提供有效的手段。入侵檢測系統（IDS）是由硬體和軟體組成，用來檢測系統或網路以發現可能的入侵或攻擊的系統。IDS通過實時的檢測，檢查特定的攻擊模式、系統配置、系統漏洞、存在缺陷的程序版本以及系統或用戶的行為模式，監控與安全有關的活動。

入侵檢測提供了用於發現入侵攻擊與合法用戶濫用特權的一種方法，它所基於的重要的前提是：非法行為和合法行為是可區分的，也就是說，可以通過提取行為的模式特徵來分析判斷該行為的性質。一個基本的入侵檢測系統需要解決兩個問題：
一是如何充分並可靠地提取描述行為特徵的數據；
二是如何根據特徵數據，高效並准確地判斷行為的性質。
入侵檢測系統主要包括三個基本模塊：數據採集與預處理、數據分析檢測和事件響應。系統體系結構如下圖所示。

數據採集與預處理。該模塊主要負責從網路或系統環境中採集數據，並作簡單的預處理，使其便於檢測模塊分析，然後直接傳送給檢測模塊。入侵檢測系統的好壞很大程度上依賴於收集信息的可靠性和正確性。數據源的選擇取決於所要檢測的內容。
數據分析檢測。該模塊主要負責對採集的數據進行數據分析，確定是否有入侵行為發生。主要有誤用檢測和異常檢測兩種方法。
事件響應。該模塊主要負責針對分析結果實施響應操作，採取必要和適當的措施，以阻止進一步的入侵行為或恢復受損害的系統。

異常入侵檢測的主要前提條件是入侵性活動作為異常活動的子集。理想狀況是異常活動集同入侵性活動集相等。在這種情況下，若能檢測所有的異常活動，就能檢測所有的入侵性活動。可是，入侵性活動集並不總是與異常活動集相符合。活動存在四種可能性：

• 入侵性而非異常；
• 非入侵性且異常；
• 非入侵性且非異常；
• 入侵且異常。

異常入侵檢測要解決的問題就是構造異常活動集並從中發現入侵性活動子集。異常入侵檢測方法依賴於異常模型的建立，不同模型就構成不同的檢測方法。異常入侵檢測通過觀測到的一組測量值偏離度來預測用戶行為的變化，並作出決策判斷。異常入侵檢測技術的特點是對於未知的入侵行為的檢測非常有效，但是由於系統需要實時地建立和更新正常行為特徵輪廓，因而會消耗更多的系統資源。

❼ 簡述入侵檢測的過程

1.信息收集入侵檢測的第一步是信息收集，內容包括網路流量的內容、用戶連接活動的狀態和行為。

2.信號分析對上述收集到的信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。

具體的技術形式如下所述：

1).模式匹配

模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字元串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得許可權）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

2).統計分析

分析方法首先給信息對象（如用戶、連接、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，目前正處於研究熱點和迅速發展之中。

3).完整性分析

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），能識別及其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。這種方式主要應用於基於主機的入侵檢測系統（HIDS）。

3.實時記錄、報警或有限度反擊

IDS根本的任務是要對入侵行為做出適當的反應，這些反應包括詳細日誌記錄、實時報警和有限度的反擊攻擊源。