网络安全概论——入侵检测系统IDS
一、入侵检测的概念
1、入侵检测的概念
- 检测对计算机系统的非授权访问
- 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的保密性、完整性和可用性
- 识别针对计算机系统和网络系统或广义上的信息系统的非法攻击,包括检测外部非法入侵者的恶意攻击或探测,以及内部合法用户越权使用系统资源的非法行为。
所有能够执行入侵检测任务和实现入侵检测功能的系统都可称为入侵检测系统(IDS Intrusion Detection System)
入侵检测系统 IDS,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。能在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,这些都通过它执行以下任务来实现:
- 监视、分析用户及系统的活动
- 系统构造和弱点的审计
- 识别反映已知攻击的活动模式并向相关人员报警
- 异常行为模式的统计分析
- 评估重要系统和数据文件的完整性
- 操作系统的审计跟踪管理,并识别用户违反安全策略的行为
2、IDS系统模型的四个部分

- 数据收集器
- 检测器
- 知识库
- 控制器
3、IDS的任务
- 信息收集
- 信息分析:模式匹配(与已知网络入侵数据库比较,误报率低,但只能发现已知攻击),统计分析(观察值与正常值比较)、完整性分析(检查某个文件是否被修改)
- 安全响应:主动响应(系统本身自动执行,采取终止连接,修正系统环境),被动响应(发出告警信息和通知)
4、IDS的评价标准
- 性能检测
- 功能测试
- 用户可用性测试
二、入侵检测原理及主要方法
IDS通常使用两种基本的分析方法来分析事件、检测入侵行为,即异常检测(Anomaly Detection)和误用检测(Misuse Detection)
1、异常检测
假定所有入侵行为都是与正常行为不同的,如果建立系统正常行为轨迹,那么理论上可以通过统计那些不同于我们已建立的特征文件的所有系统状态的数量来识别入侵企图,把所有与正常轨迹不同的系统状态视为可疑企图。
2、误用检测(基于知识的检测技术)
假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配方法发现。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。
误用检测系统的关键问题是如何从已知入侵中提取金和编写特征,使得其能够覆盖该入侵的所有可能的变种,而同时不会匹配到非法入侵活动(把真正入侵与正常行为区分开来)
三、IDS的结构与分类
1、IDS的功能
IDS至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。

2、IDS的分类
按照数据来源分类:
①、基于网络的入侵检测系统(NIDS):数据来自于网络的数据流。
优缺点:侦测速度快,不容易受到攻击,对主机资源消耗少,//来自服务器本身的攻击不经过网络,误报率高
关键技术:蜜罐技术
工作原理:将入侵检测系统的产品放在比较重要的网段,如果数据包与产品内置的规则吻合就发出警报甚至直接切断连接
②、基于主机的入侵检测系统(HIDS):数据来自于审计记录和系统日志。
优缺点:不同操作系统捕获应用层入侵,误报少,//依赖与主机及其子系统,实时性差
工作原理:扫描操作系统和应用程序日志文件,查看敏感文件是否被篡改,检验进出主机的网络传输流,发现攻击。
监视用户和访问文件的活动
监视主要系统文件和可执行文件的改变
监视只有管理员才能实施的异常行为
③、分布式入侵检测系统(DIDS):数据来自于系统审计记录和网络的数据流。
克服了单一HIDS、NIDS的不足。
HIDS常安装于被保护的主机上,而NIDS常安装于网络入口处
按照入侵检测策略分类:
①、滥用检测
优缺点:只收集相关数据集合,减少系统负担,//需要不断升级
原理:将收集到的信息与已知网络入侵和数据库比对
②、异常检测
优缺点:可检测到未知的入侵和更复杂的入侵//误报,漏报率高,且不适用于用户正常行为的突然改变
原理:统计正常使用的测量属性,若观察值超过正常范围,则认为有入侵发生
③、完整性分析
优缺点:只要攻击导致某个文件的改变就可以被发现,//一般以批处理方式不容易实时响应。
原理:关注某个文件是否被修改
3、DIDS构件
数据采集构件、通信传输构件、入侵检测分析构件、应急处理构件、用户管理构件

4、IDS控制台
控制台的设计重点是
- 日志检索
- 探测器管理
- 规则管理
- 日志报表
- 用户管理

5、蜜罐技术
现代的IDS采用了蜜罐(Honeypot)技术的新思想。蜜罐是一个吸引潜在攻击者的陷阱,它的作用是:
把潜在入侵者的注意力从关键系统移开;
收集入侵者的动作信息
设法让攻击者停留一段时间,使管理员能检测到它并采取相应的措施。
潜在入侵者的信息可以通过检查蜜罐日志来获得
四、IDS的发展方向
- 宽带高速实时检测技术
- 大规模分布式的检测技术
- 数据挖掘技术
- 更先进的检测算法
- 入侵响应技术
相关文章:
网络安全概论——入侵检测系统IDS
一、入侵检测的概念 1、入侵检测的概念 检测对计算机系统的非授权访问对系统的运行状态进行监视,发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的保密性、完整性和可用性识别针对计算机系统和网络系统或广义上的信息系统的非法攻击,…...
Linux通信System V:消息队列 信号量
Linux通信System V:消息队列 & 信号量 一、信号量概念二、信号量意义三、操作系统如何管理ipc资源(2.36版本)四、如何对信号量资源进行管理 一、信号量概念 信号量本质上就是计数器,用来保护共享资源。多个进程在进行通信时&a…...
计算机网络基础图解
注:本文为来自 猿小许 的 “计算机网络” 相关系列文章合辑。 一、计算机网络概述 猿小许于 2021-06-03 18:39:47 发布 一、计算机网络的概念 1.1 计算机网络 概念 计算机网络: 是一个将分散的、具有独立功能的计算机系统,通过通信设备与…...
TDesign:NavBar 导航栏
NavBar 导航栏 左图,右标 appBar: TDNavBar(padding: EdgeInsets.only(left: 0,right: 30.w), // 重写左右内边距centerTitle:false, // 不显示标题height: 45, // 高度titleWidget: TDImage( // 左图assetUrl: assets/img/logo.png,width: 147.w,height: 41.w,),ba…...
hive注释comment中文乱码解决
问题描述 当使用以下命令查看表的元数据信息时出现中文乱码(使用的是idea连接hive) desc formatted test.t_archer; 解决 连接保存hive元数据的MySQL数据库,执行以下命令: use hive3; show tables;alter table hive3.COLUMNS_…...
电脑提示ntdll.d缺失是什么原因?不处理的话会怎么样?ntdll.dll文件缺失快速解决方案来啦!
电脑提示ntdll.dll缺失:原因、影响与解决方案 在日常的电脑使用中,我们偶尔会遇到一些令人困惑的系统错误,其中“ntdll.dll缺失”便是较为常见的一种。作为软件开发从业者,我深知这一错误给用户带来的不便,因此&#…...
MFC/C++学习系列之简单记录——序列化机制
MFC/C学习系列之简单记录——序列化机制 前言简述六大机制序列化机制使用反序列化总结 前言 MFC有六大机制,分别是程序启动机制、窗口创建机制、动态创建机制、运行时类信息机制、消息映射机制、序列化机制。 简述六大机制 程序启动机制:全局的应用程序…...
二十、服务发布Ingress
Ingress Kubernetes使用了一个Ingress策略定义和一个具体提供转发服务的Ingress Controller,两者结合,实现了基于灵活Ingress策略定义的服务路由功能。如果是对Kubernetes集群外部的客户端提供服务,那么IngressController实现的是类似于边缘路由器(Edge Router)的功能。需…...
计算机网络 八股青春版
什么是HTTP?HTTP和HTTPS的区别 HTTP HTTP是超文本运输协议,是一种无状态(每次请求都是独立的)的应用层协议。用于在客户端和服务器之间传输超文本数据(如HTML文件)。默认端口是80数据以明文形式传输&#…...
java全栈day18--Web后端实战(java操作数据库2)
前言:在上节入门程序当中我们见到了JDBC所提供的API,本节来详细说明一下。 一、JDBC--API详解 1.1DriverManager(驱动管理器) 回顾:作用获取连接,调用它里面的getConnection。即如下 作用 1.注册驱动解…...
electron-vite【实战】自定义标题栏【组件封装】(含异形标题栏,指定区域拖拽,窗口置顶,窗口最小化,窗口最大化,取消最大化,隐藏窗口到托盘等)
效果预览 技术要点 透明背景 src/main/index.ts 的 new BrowserWindow 中添加 transparent: true, // 设置窗口背景透明frame: false, // 隐藏窗口边框仅图标和标题部分可拖拽 仅图标和标题部分添加样式 drag .drag {-webkit-app-region: drag; }图标与标题栏的融合 标题栏的…...
vue2 项目webpack 4升5
项目背景 公司项目需要将进行微前端改造.主应用和子应用会需要共享依赖,考虑使用模块联邦进行依赖共享. 由于模块联邦要升级到webpack 5才能用,所以老项目要从webpack 4升级到webpack 5 实现思路 原来的项目用的是vue-cli 3,查了一下可以vue-cli 5用的就是webpack 5,所以可以…...
前端开发性能监控中的数据采集与性能调优方法
🌟 前端开发性能监控中的数据采集与性能调优方法 📖 前言 在现代 Web 应用中,性能是用户体验的关键因素之一。性能问题不仅会影响用户满意度,还可能导致业务损失。如何高效地监控前端性能并进行性能调优,成为每个开发…...
S32K324 Stack异常分析及解决方案
文章目录 前言正向排查尝试反向排查问题原因分析问题解决处理总结前言 在项目开发过程中,在一次软件变更时,调整了task优先级之后导致应用层软件中的float数据经常性的变为NAN,导致应用层功能失效。本文记录下这个bug的分析及解决过程。 正向排查尝试 由于问题复现的概率…...
[创业之路-202]:任正非管理华为的思想与毛泽东管理党、军队、国家的思想的相似性与差异性
目录 一、相似性 1、指导思想 2、管理策略 3、危机意识与自我否定 4、理想主义与奋斗精神 二、差异性 1、哲学基础与思想倾向 2、管理方法与策略 3、组织文化与价值观 一、相似性 任正非管理华为的思想与毛泽东管理党、军队、国家的思想在多个方面存在相似性。 以下…...
SAP PP ECN CSAP_MAT_BOM_MAINTAIN
刚开始的时候ECN总是加不上, 参考kimi给出的案例 点击链接查看和 Kimi 智能助手的对话 https://kimi.moonshot.cn/share/cth1ipmqvl7f04qkggdg 效果 加上了 FUNCTION ZPBOM_PLM2SAP. *"------------------------------------------------------------------…...
html中实用标签dl dt dd(有些小众的标签 但是很好用)
背景描述 html <dl> <dt> <dd>是一组合标签,他们与ol li、ul li标签很相似 但是他却是没有默认前缀并且有缩进的标签 使用方式与table表格的标签一致 使用方式 dt和dd是放于dl标签内,dt与dd处于dl下相同级。就是dt不能放入dd内&am…...
ONES 功能上新|ONES Copilot、ONES Wiki 新功能一览
ONES Copilot 可基于工作项的标题、描述、属性信息,对工作项产生的动态和评论生成总结。 针对不同类型的工作项,总结输出的内容有对应的侧重点。 应用场景: 在一些流程步骤复杂、上下游参与成员角色丰富的场景中,工作项动态往往会…...
实现Python将csv数据导入到Neo4j
目录 一、获取数据集 1.1 获取数据集 1.2 以“记事本”方式打开文件 1.3 另存为“UTF-8”格式文件 1.4 选择“是” 二、 打开Neo4j并运行 2.1 创建新的Neo4j数据库 2.2 分别设置数据库名和密码 编辑 2.3 启动Neo4j数据库 2.4 打开Neo4j数据库 2.5 运行查看该数据库…...
QML Rectangle组件
文章目录 前言主体**简单的矩形****渐变的矩形****带边框的矩形****圆角矩形****圆形 & 圆环** 总结 前言 在 QML 中,Rectangle 是一个常见且非常实用的元素,它允许开发者轻松创建矩形形状的图形。通过调整 Rectangle 的多种属性,我们不…...
docker详细操作--未完待续
docker介绍 docker官网: Docker:加速容器应用程序开发 harbor官网:Harbor - Harbor 中文 使用docker加速器: Docker镜像极速下载服务 - 毫秒镜像 是什么 Docker 是一种开源的容器化平台,用于将应用程序及其依赖项(如库、运行时环…...
《Qt C++ 与 OpenCV:解锁视频播放程序设计的奥秘》
引言:探索视频播放程序设计之旅 在当今数字化时代,多媒体应用已渗透到我们生活的方方面面,从日常的视频娱乐到专业的视频监控、视频会议系统,视频播放程序作为多媒体应用的核心组成部分,扮演着至关重要的角色。无论是在个人电脑、移动设备还是智能电视等平台上,用户都期望…...
shell脚本--常见案例
1、自动备份文件或目录 2、批量重命名文件 3、查找并删除指定名称的文件: 4、批量删除文件 5、查找并替换文件内容 6、批量创建文件 7、创建文件夹并移动文件 8、在文件夹中查找文件...
前端导出带有合并单元格的列表
// 导出async function exportExcel(fileName "共识调整.xlsx") {// 所有数据const exportData await getAllMainData();// 表头内容let fitstTitleList [];const secondTitleList [];allColumns.value.forEach(column > {if (!column.children) {fitstTitleL…...
全球首个30米分辨率湿地数据集(2000—2022)
数据简介 今天我们分享的数据是全球30米分辨率湿地数据集,包含8种湿地亚类,该数据以0.5X0.5的瓦片存储,我们整理了所有属于中国的瓦片名称与其对应省份,方便大家研究使用。 该数据集作为全球首个30米分辨率、覆盖2000–2022年时间…...
江苏艾立泰跨国资源接力:废料变黄金的绿色供应链革命
在华东塑料包装行业面临限塑令深度调整的背景下,江苏艾立泰以一场跨国资源接力的创新实践,重新定义了绿色供应链的边界。 跨国回收网络:废料变黄金的全球棋局 艾立泰在欧洲、东南亚建立再生塑料回收点,将海外废弃包装箱通过标准…...
页面渲染流程与性能优化
页面渲染流程与性能优化详解(完整版) 一、现代浏览器渲染流程(详细说明) 1. 构建DOM树 浏览器接收到HTML文档后,会逐步解析并构建DOM(Document Object Model)树。具体过程如下: (…...
【SSH疑难排查】轻松解决新版OpenSSH连接旧服务器的“no matching...“系列算法协商失败问题
【SSH疑难排查】轻松解决新版OpenSSH连接旧服务器的"no matching..."系列算法协商失败问题 摘要: 近期,在使用较新版本的OpenSSH客户端连接老旧SSH服务器时,会遇到 "no matching key exchange method found", "n…...
DBLP数据库是什么?
DBLP(Digital Bibliography & Library Project)Computer Science Bibliography是全球著名的计算机科学出版物的开放书目数据库。DBLP所收录的期刊和会议论文质量较高,数据库文献更新速度很快,很好地反映了国际计算机科学学术研…...
DeepSeek源码深度解析 × 华为仓颉语言编程精粹——从MoE架构到全场景开发生态
前言 在人工智能技术飞速发展的今天,深度学习与大模型技术已成为推动行业变革的核心驱动力,而高效、灵活的开发工具与编程语言则为技术创新提供了重要支撑。本书以两大前沿技术领域为核心,系统性地呈现了两部深度技术著作的精华:…...
