入侵檢測：通過收集操作系統、系統程序、應用程序、網絡包信息，發現系統中違背安全策略或危及系統安全的行為。

具有入侵檢測功能的系統稱為入侵檢測系統，簡稱為IDS。

通用入侵檢測模型

通用入侵檢測框架模型（CIDF）認為入侵檢測系統由事件產生器、事件分析器、響應單元、事件數據庫組成。

?

基于誤用的入侵檢測技術

檢測與已知的不可接受行為之間的匹配程度。

這種檢測模型誤報率率、漏報率高。對于已知的攻擊，它可以詳細、準確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且特征庫必須不斷更新。

?

基于異常的入侵檢測技術

檢測與可接受行為之間的偏差。

漏報率低，誤報率高。因為不需要對每鐘入侵行為進行定義，所以能有效檢測未知的入侵。

入侵檢測系統組成

以下功能快組成：

①數據采集模塊（數據采集）：為入侵分析引擎模塊提供分析用的數據。如操作系統的審計日志、應用程序的運行日志、網絡數據包；

②入侵分析引擎模塊（入侵檢測器）：依據輔助模塊提供的信息（如攻擊模式），根據算法對收集到的數據進行分析，判斷是否有入侵行為出現，產生入侵報警，是入侵檢測系統的核心模塊；

③應急處理模塊（應急措施）：發生入侵后，提供緊急響應服務，如關閉網絡服務、中斷網絡連接、啟動備份系統等；

④管理配置模塊（配置系統庫）：為其他模塊提供配置服務，是IDS系統中的模塊與用戶的接口；

⑤相關的輔助模塊（攻擊模式庫）：協助乳清分析引擎模塊工作，為它提供相應的信息，攻擊特征庫、漏洞信息等。

?

統一威脅管理（UTM）

統一威脅管理是指一個功能全面的安全產品，它將多種安全特性集成與一個硬件設備里，形成標準的統一威脅管理平臺，防范多種威脅。UTM產品通常包括防火墻，防病毒軟件，內容過濾和垃圾郵件過濾器。如H3C SecPath U200-CA。

UTM通常部署在內部網絡與外部網絡的邊界，對流出和進入內部網絡的數據進行保護和控制。UTM在實際網絡中的部署方式包括透明網橋、路由轉發和NAT網關。

高級持續威脅（APT）

高級持續威脅包括三要素：高級、長期、威脅。

①高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞；

②長期指某個外部力量會持續監控特定的目標，并從其獲取數據；

③威脅則指人為參與與策劃攻擊。

入侵檢測系統部署

IDS應當旁路部署在所有關注流量都必須流經的鏈路上。

IDS部署在盡可能靠近攻擊源或盡可能靠近受保護資源的位置，如：

①服務器區域的交換機上；

②Internet接入路由器之后的第一臺交換機上；

③重點保護網段的局域網交換機上。

?

或

?

?

總結

以上是生活随笔為你收集整理的信息安全工程师笔记-入侵检测技术原理与应用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。