入侵检测技术.pdf

。

重要章节：3、4、5、6、7、9

第一章入侵检测概述

1.入侵检测的概念：通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行

分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

2.传统安全技术的局限性：（1）防火墙无法阻止内部人员所做的攻击（2）防火墙对信息流

的控制缺乏灵活性（3）在攻击发生后，利用防火墙保存的信息难以调查和取证。

3.入侵检测系统的基本原理主要分为4个阶段：数据收集、数据处理、数据分析和响应处理。

4.入侵检测的分类：（1）按照入侵检测系统所采用的技术：误用入侵检测、异常入侵检测和

协议分析（2）按照数据来源可以分为：基于主机的IDS、基于网络的IDS、混合式IDS、文

件完整性检查式IDS

第二章常见的入侵方法与手段

1.漏洞的具体表现：（1）存储介质的不安全（2）数据的可访问性（3）信息的聚生性（4）

保密的困难性（5）介质的剩磁效应（6）电磁的泄露性（7）通信网络的脆弱性（8）软件的

漏洞

2.攻击的概念和分类：根据攻击者是否直接改变网络的服务，攻击可以分为被动攻击和主动

攻击。主动攻击会造成网络系统状态和服务的改变。被动攻击不直接改变网络的状态和服务。

3.攻击的一般流程：（1）隐藏自己（2）踩点或预攻击探测（3）采取攻击行为（4）清除痕

迹

第三章入侵检测系统模型

1.入侵检测系统模型的3个模块：信息收集模块、信息分析魔力和报警与响应模块

信息收集信息分析报警与响应

入侵检测系统的通用模型

2.入侵检测发展至今，先后出现了基于主机的和基于网络的入侵检测系统，基于模式匹配、

异常行为、协议分析等检测技术的入侵检测系统。第四代入侵检测系统是基于主机+网络+

安全管理+协议分析+模式匹配+异常统计的系统，它的优点在于入侵检测和多项技术协同工

作，建立全局的主动保障体系，误报率、漏报率较低，效率高，可管理性强，并实现了多级

的分布式监测管理，基于网络的和基于主机的入侵检测与协议分析和模式匹配以及异常统计

相结合，取长补短，可以进行更有效的入侵检测。

3.入侵检测信息的来源一般来自以下的4个方面：（1）系统和网路日志文件（2）目录和文

件中不期望的改变（3）程序执行中的不期望行为（4）物理形式的入侵

4.在入侵检测系统中，传感器和事件分析器之间的通信分为两层：OWL层和SSL层。OWL层

负责使用OWL语言将传感器收集到的信息转换成统一的OWL语言字符串。SSL层使用SSL协

议进行通信。

5.信息分析的技术手段：模式匹配、统计分析和完整性分析。

6.根据入侵检测系统处理数据的方式，可以将入侵检测系统分为分布式入侵检测系统和集中

式入侵检测系统。

分布式：在一些与受监视组件相应的位置对数据进行分析的入侵检测系统。

集中式：在一些固定且不受监视组件数量限制的位置对数据进行分析的入侵检测系统。

7.分布式入侵检测系统和集中式入侵检测系统的特点比较如下：

1.可靠性集中式：仅需运行较少的组件

分布式：需要运行较多的组件

2.容错性集中式：容易使系统从崩溃中恢复，但也容易被故障中断

分布式：由于分布特性，数据存储时很难保持一致性和可恢复性

。

1

。

3.增加额外的系集中式：仅在分析组件中增加了一些开销，那些被赋予了大量负载的主

统开销机专门用作分析

分布式：由于运行的组件不大，主机上增加的开销很小，但对大部分被

监视的主机增加了额外的开销

4.可扩充性集中式：入侵检测系统的组件数量被限定，当被监视主机的数量增加时，

需要更多的计算和存储资源处理新增的负载

分布式：分布式系统可以通过增加组件的数量来监视更多的主机，但扩

容将会受到新增的组件之间需要相互通信的制约

5.平缓地降低服集中式：如果有一个分析组件停止了工作