|
|
|
| |
| |
入侵检测系统 |
| |
IDS:(Intrusion Detection System),目前已经广为人知,它可以简单地定义为,监测计算机网络和系统以发现违反安全策略事件的过程的安全设施。而IMS则是IDS在实际应用中发展的方向,目前还鲜为人知。
IDS的概念诞生于1980年,这种理念来自于Anderson的报告:《计算机安全威胁的监察》(Computer Security Threat Monitoring and Surveillance)。而世界上第一个入侵则是手工的“系统异常行为审计”。IDS发展到目前,按照不同角度区分,已经出现了基于主机和网络的入侵检测系统;基于模式匹配、异常行为、协议分析等检测技术的系统;能够检测百兆、千兆甚至更高的网络流量的系统。
入侵检测技术发展到现在大致经历了四个阶段:
第一代入侵检测技术是基于协议解码和模式匹配,它的优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率很低,;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率很高。
第二代入侵检测技术是基于模式匹配+简单协议分析+异常统计,它的优点是能够分析处理一部分协议,可以进行重组,缺点是匹配效率较低,管理功能较弱,实际上是在第一代的基础上增加了部分对异常行为的分析;
第三代入侵检测技术是基于完全协议分析+模式匹配+异常统计,它的优点是误报率、漏报率、滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理,缺点是可视化程度不够,防范及管理功能较弱,也就是说,高端的产品可能因功能、操作等方面的不便而被束之高阁;
第四代入侵检测技术是基于安全管理+协议分析+模式匹配+异常统计,具有良好可视化、可控性、可管理性。它的优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,以它为核心,可以构造一个积极的动态防御体系,这个体系便是IMS——入侵管理系统。
|
|
|
|
| |
|
