论文部分内容阅读
摘要:随着信息安全受到威胁的情况越来越严重,入侵检测技术在信息安全保障中显的愈发的重要,伴随着入侵检测技术的不断发展,入侵检测系统被更多的运用到网络、计算机和信息系统安全防护中。入侵检测系统通常由传感器和控制台两个部分组合,在实际入侵检测过程中通常采取基于网络的入侵检测系统与基于终端的入侵检测系统两种。本文对于入侵检测系统的基本情况及基于网络与基于终端的入侵检测系统进行分析。
关键词:入侵检测;系统分类;工作原理
一、入侵检测系统概述
隨着信息安全受到威胁的情况越来越严重,入侵检测技术在信息安全保障中显的愈发的重要,入侵检测技术已被广泛的应用于入侵检测管理中,入侵检测技术的不断完善和发展,使得入侵检测技术向着分布式入侵检测、智能化入侵检测、应用层入侵检测、高速网络入侵检测及入侵检测系统标准化方向发展。入侵检测技术的不断发展,促进了入侵检测系统被更多的运用到网络、计算机和信息系统安全防护中。入侵检测系统通常由传感器和控制台两个部分组合,其中,传感器负责采集包括网络包、系统日志等数据信息,分析数据信息并生成安全事件。控制台主要是进行管理工作,图形化的界面控制条主要应用于商用。在实际入侵检测过程中通常采取基于网络的入侵检测系统与基于终端的入侵检测系统两种。随着信息技术的不断发展混合式入侵检测系统弥补了基于网络的入侵检测系统与基于终端的入侵检测系统的不足。此外,文件的完整性检测工作也可以看做一类入侵检测产品。
二、基于网络的入侵检测系统
随着信息安全受到威胁的情况越来越严重,入侵检测技术在信息安全保障中显的愈发的重要,伴随着入侵检测技术的不断发展,入侵检测系统被更多的运用到网络、计算机和信息系统安全防护中。在实际入侵检测过程中通常采取基于网络的入侵检测系统与基于终端的入侵检测系统两种。随着互联网的不断发展,目前主要使用的是基于网络的入侵检测系统,基于网络的入侵检测系统主要部署在比较重要的网段内,不间断地检测网段中的数据包情况,对每个数据包进行特定程序的特征分析。在数据包与系统内置的某些规则相似或相一致的情况发生时,入侵检测系统就会进行报警或切断电源等形式的防护。相对于基于终端的入侵检测系统而言,基于网络的入侵检测系统的优点主要体现在,一是成本低,基于网络的入侵检测系统可以在几个关键访问点进行策略配置,实现对多个系统的网络通信检测,所以不需要在多个终端进行安装及软件管理。二是弥补基于主机的入侵检测系统的漏查点,基于网络的入侵检测系统能够查看所有包的头部,实现对于恶意或可疑行为的检测,而基于主机的入侵检测系统无法查看包的头部,无法检测到恶意和可疑行为的攻击。三是能够较好的固定攻击的证据,基于网络的入侵检测系统使用正在发生的网络通信进行实时的攻击检测,能够及时发现并较好的固定证据。四是实现实时检测与及时防护,基于网络的入侵检测系统可以在恶意或可以行为发生时及时发现并进行相应的防护措施。五是检测未成功的攻击不良意图,基于网络的入侵检测系统增加了许多有价值的数据,用以判断不良意图,在防火墙防护的基础上,进行攻击意图的判定。但是,基于网络的入侵检测系统也存在一些不足,一是只能检测到固定网段的网络包,不能实现全覆盖的检测,二是基于网络的入侵检测系统对于复杂、计算量大与时间分析的攻击检测能够不足,三是基于网络入侵检测系统可能会将大量的数据传回分析系统,四是基于网络入侵检测系统加密的对话过程较为困难。
三、基于终端的入侵检测系统
基于终端的入侵检测系统通常安装在重点检测的终端上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。在主体活动发生可疑的情况下及时采取相应的防火措施。基于终端的入侵检测系统的优点主要体现在,一是确定攻击是否成功,基于终端的入侵检测系统使用含有已发生事件的信息,这就使基于终端入侵检测系统较之基于网络入侵检测系统更为准确的确定攻击是否成功。二是监视特定的系统活动,基于终端的入侵检测系统监视用户和访问文件的活动,包括文件访问、改变文件权限、试图建立新的可执行文件和试图访问特殊的设备。三是能够检查到基于网络的入侵检测系统检测不出来的攻击。四是使用被加密的和交换的环境,基于终端的入侵检测系统可以安装在需要检测的重要终端上,在交换的环境中具有更高的识别度。但是基于终端的入侵检测系统也存在一定缺陷,一是基于终端的入侵检测系统在需要保护的设备上,当数据库服务器需要保护时,还需要再次安装,降低了系统的使用率,二是基于终端的入侵检测系统依赖于服务器固有的日志和检测能力,使不可预见性增减,三是对于多终端具体入侵防护用户而言,全面部署基于终端的入侵检测系统成本较高,四是基于终端的入侵检测系统除了检测自身以外,检测不了网络运行情况。
四、结束语
随着信息安全被更多的关注和重视,入侵检测技术在信息安全保障中的应用更加多样和灵活,伴随着入侵检测技术的不断发展,入侵检测系统被更多的运用到网络、计算机和信息系统安全防护中。在实际入侵检测过程中要灵活运用基于网络的入侵检测系统与基于终端的入侵检测系统两种检测系统,结合信息系统实际安全需要,充分发挥其系统优点,规避系统不足。同时结合实际需要进行混合入侵检测系统的使用,其目的保障信息系统安全。
关键词:入侵检测;系统分类;工作原理
一、入侵检测系统概述
隨着信息安全受到威胁的情况越来越严重,入侵检测技术在信息安全保障中显的愈发的重要,入侵检测技术已被广泛的应用于入侵检测管理中,入侵检测技术的不断完善和发展,使得入侵检测技术向着分布式入侵检测、智能化入侵检测、应用层入侵检测、高速网络入侵检测及入侵检测系统标准化方向发展。入侵检测技术的不断发展,促进了入侵检测系统被更多的运用到网络、计算机和信息系统安全防护中。入侵检测系统通常由传感器和控制台两个部分组合,其中,传感器负责采集包括网络包、系统日志等数据信息,分析数据信息并生成安全事件。控制台主要是进行管理工作,图形化的界面控制条主要应用于商用。在实际入侵检测过程中通常采取基于网络的入侵检测系统与基于终端的入侵检测系统两种。随着信息技术的不断发展混合式入侵检测系统弥补了基于网络的入侵检测系统与基于终端的入侵检测系统的不足。此外,文件的完整性检测工作也可以看做一类入侵检测产品。
二、基于网络的入侵检测系统
随着信息安全受到威胁的情况越来越严重,入侵检测技术在信息安全保障中显的愈发的重要,伴随着入侵检测技术的不断发展,入侵检测系统被更多的运用到网络、计算机和信息系统安全防护中。在实际入侵检测过程中通常采取基于网络的入侵检测系统与基于终端的入侵检测系统两种。随着互联网的不断发展,目前主要使用的是基于网络的入侵检测系统,基于网络的入侵检测系统主要部署在比较重要的网段内,不间断地检测网段中的数据包情况,对每个数据包进行特定程序的特征分析。在数据包与系统内置的某些规则相似或相一致的情况发生时,入侵检测系统就会进行报警或切断电源等形式的防护。相对于基于终端的入侵检测系统而言,基于网络的入侵检测系统的优点主要体现在,一是成本低,基于网络的入侵检测系统可以在几个关键访问点进行策略配置,实现对多个系统的网络通信检测,所以不需要在多个终端进行安装及软件管理。二是弥补基于主机的入侵检测系统的漏查点,基于网络的入侵检测系统能够查看所有包的头部,实现对于恶意或可疑行为的检测,而基于主机的入侵检测系统无法查看包的头部,无法检测到恶意和可疑行为的攻击。三是能够较好的固定攻击的证据,基于网络的入侵检测系统使用正在发生的网络通信进行实时的攻击检测,能够及时发现并较好的固定证据。四是实现实时检测与及时防护,基于网络的入侵检测系统可以在恶意或可以行为发生时及时发现并进行相应的防护措施。五是检测未成功的攻击不良意图,基于网络的入侵检测系统增加了许多有价值的数据,用以判断不良意图,在防火墙防护的基础上,进行攻击意图的判定。但是,基于网络的入侵检测系统也存在一些不足,一是只能检测到固定网段的网络包,不能实现全覆盖的检测,二是基于网络的入侵检测系统对于复杂、计算量大与时间分析的攻击检测能够不足,三是基于网络入侵检测系统可能会将大量的数据传回分析系统,四是基于网络入侵检测系统加密的对话过程较为困难。
三、基于终端的入侵检测系统
基于终端的入侵检测系统通常安装在重点检测的终端上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。在主体活动发生可疑的情况下及时采取相应的防火措施。基于终端的入侵检测系统的优点主要体现在,一是确定攻击是否成功,基于终端的入侵检测系统使用含有已发生事件的信息,这就使基于终端入侵检测系统较之基于网络入侵检测系统更为准确的确定攻击是否成功。二是监视特定的系统活动,基于终端的入侵检测系统监视用户和访问文件的活动,包括文件访问、改变文件权限、试图建立新的可执行文件和试图访问特殊的设备。三是能够检查到基于网络的入侵检测系统检测不出来的攻击。四是使用被加密的和交换的环境,基于终端的入侵检测系统可以安装在需要检测的重要终端上,在交换的环境中具有更高的识别度。但是基于终端的入侵检测系统也存在一定缺陷,一是基于终端的入侵检测系统在需要保护的设备上,当数据库服务器需要保护时,还需要再次安装,降低了系统的使用率,二是基于终端的入侵检测系统依赖于服务器固有的日志和检测能力,使不可预见性增减,三是对于多终端具体入侵防护用户而言,全面部署基于终端的入侵检测系统成本较高,四是基于终端的入侵检测系统除了检测自身以外,检测不了网络运行情况。
四、结束语
随着信息安全被更多的关注和重视,入侵检测技术在信息安全保障中的应用更加多样和灵活,伴随着入侵检测技术的不断发展,入侵检测系统被更多的运用到网络、计算机和信息系统安全防护中。在实际入侵检测过程中要灵活运用基于网络的入侵检测系统与基于终端的入侵检测系统两种检测系统,结合信息系统实际安全需要,充分发挥其系统优点,规避系统不足。同时结合实际需要进行混合入侵检测系统的使用,其目的保障信息系统安全。