入侵检测复习知识点归纳(信息安全).pdf

gilbert

256

26页

0次

2021-02-07

5墨值下载

Ch1:

1.入侵检测:

是指发现或检测（ discover or detect）网络系统和计算机系统中出现各种的入侵活动

（intrusion activities, namely attack ），或者说是对所有企图穿越被保护的安全边界的活动或

者对违反系统的安全策略的行为的识别。

2、入侵检测系统:

用来监视计算机系统或者网络系统的中的恶意活动的系统,它可以是硬件，软件或者组合。

当 IDS 检测出入侵时，还能对入侵做出响应：被动方式的报警或主动方式的终止入侵活动。

入侵检测系统的准确性可以用误报率（False positive rate）和漏报率（False negative rate）衡

量，这个是一个重要的评价指标。

误报（False positive）是当一个正常活动或者合法的网络流（包）触发 IDS 报警。

漏报（False negative）是一个恶意的活动或网络流（包）却没有触发 IDS 报警。

3.入侵检测系统常见的分类方法.

采集数据来源，检测方法（数据分析方法），从响应方式，体系结构和实现。

4.入侵检测系统主要组成部件和各部件的功能

感应器（Sensor）:完成网络，主机和应用程序相关数据（网络包或流，主机审计日志与系统

调用，以及具体应用程序相关的日志）采集，并转化成分析器所要求的格式。

分析器（Analyzer）：完成数据的分析，并寻找入侵特征。称为 (基于）特征入侵检（signature

detection or signature-based ），也有文献称为误用检测（misuse detection ）。或者通过一些

统计指标判断行为是否异常，称为 ( 基于 ) 异常入侵检测（ anomaly detection or

anomaly-based ）。最后做出判断是正常还是攻击。

报警器（Alarm）：若检测到攻击，报警器除了要报告网络或系统管理员外（由控制台界面发

出声色警报，同时邮件或短信息通知），若是被动响应方式，则有管理员去处理；若是主动

响应方式，则会自动查表找与攻击对应的具体响应，即采取相应的响应动作：或者通知防火

墙更新过滤规则，中断连接；或者通知主机系统中断某个恶意的进程或用户。

5.入侵防御系统(IPS): 能够预先对入侵活动或攻击性网络流量进行拦截，终止攻击继续发

生，以免造成损失。

6.IPS 出现的主要原因有哪些?IPS 的主要功能是什么?

7.IDS 与 IPS 主要区别有哪些?（cf ch12)

（1）主要功能不同 IDS 入侵检测，IPS 入侵防御

（2）工作模式不同 IPS 工作模式是 inline mode ：Detection and Action（检测和动

作），是主动防御。而 IDS 是 sniffer mode：Detection，是被动侦听，而当发生入侵时，通知

防火墙更新规则，同时 TCP reset 中断连接。

（3）部署位置不同（基于网络的 IDS 和 IPS）： IDS 部署在防火墙后，接入交换机的侦听

端口上（将所有流经交换机的信息包复制一份给 IDS），实时性差，只能间接通过防火墙采

取行动。 IPS 部署在防火墙外，所有实时流量都流经 IPS，实时处理，可以直接采取行动（丢

包，断连等）。

IDS

IPS

Active

in-line

mode

丟弃恶意

包

中断连线

防御

方式

Passive

sniffer mode

防御

动作

通知防火墙更新规则，

同时 TCP reset

中断连线

防火墙（Firewall）不能完全替代 IDS，防火墙像门卫（在大门入口处），一般通过过滤网络

流量，允许或者阻止对系统和资源的访问，而 IDS 一般是用来监视计算机系统和网络中的

活动和事件，检测恶意活动的。IDS 就像是房屋的安防报警系统，有多个传感器，放在各个

检测点（各个网络和主机的关键点），与报警主机相连，通过报警主机发出声音警报或者拨

号到接警中心。而防火墙一般只布置在网络的入口处。

Firewall vs IDS:

防火墙只能分析包的网络层和传输层，只能基于端口号和Ip 地址进行简单过滤；而 IDS 可

以分析到应用层，不仅能够检测能够检测利用网络层和传输层的知识的攻击，还能检测利用

数据包中恶意内容（应用层）而产生的各种攻击。

8、什么是入侵活动?

入侵活动主要分为哪几类? 发生入侵活动的原因有哪些?

of 26

5墨值下载

ips

关注

评论