入侵检测系统的概念
入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。对于入侵检测而言的
网络攻击可以分为4类:
①检查单IP包(包括TCP、UDP)首部即可发觉的攻击,如winnuke、ping of death、land.c、部分OS detection、source routing等。
②检查单IP包,但同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞,缓存溢出攻击等。
③通过检测发生频率才能发觉的攻击,如
端口扫描、SYN Flood、smurf攻击等。
④利用分片进行的攻击,如teadrop,nestea,jolt等。此类攻击利用了分片组装算法的种种漏洞。若要检查此类攻击,必须提前(在IP层接受或转发时,而不是在向上层发送时)作组装尝试。分片不仅可用来攻击,还可用来逃避未对分片进行组装尝试的入侵检测系统的检测。
入侵检测通过对计算机网络或
计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的与硬件的组合就是入侵检测系统。
入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为3个步骤,依次为信息收集、
数据分析、响应(被动响应和主动响应)。本回答被提问者采纳