本文目录一览:
闯入监测识别系统组成及其工作原理是什么?
据其采用的技术可以分为异常检测和特征检测。
(1)异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成 (2)特征检测:特征检测假设入侵者活动可以用一种模式来表示,然后将观察对象与之进行比较,判别是否符合这些模式。 (3)协议分析:利用网络协议的高度规则性快速探测攻击的存在。 根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。(1)基于主机的入侵检测系统:通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一,入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。 (2)基于网络的入侵检测系统:基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据,分析可疑现象。这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。 (3)分布式入侵检测系统:目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包,不同的是,它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的入侵检测系统,只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大,但对网络流量有一定的影响。 根据工作方式分为离线检测系统与在线检测系统。(1)离线检测系统:离线检测系统是非实时工作的系统,它在事后分析审计事件,从中检查入侵活动。事后入侵检测由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的,不具有实时性。 (2)在线检测系统:在线检测系统是实时联机的检测系统,它包含对实时网络数据包分析,实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。
什么是入侵检测,以及入侵检测的系统结构组成?
入侵检测是防火墙的合理补充。
入侵检测的系统结构组成:
1、事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
2、事件分析器:它经过分析得到数据,并产生分析结果。
3、响应单元:它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
4、事件数据库:事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
扩展资料:
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵。
后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
这两种模式的安全策略是完全不同的,而且,它们各有长处和短处:异常检测的漏报率很低,但是不符合正常行为模式的行为并不见得就是恶意攻击,因此这种策略误报率较高。
误用检测由于直接匹配比对异常的不可接受的行为模式,因此误报率较低。但恶意行为千变万化,可能没有被收集在行为模式库中,因此漏报率就很高。
这就要求用户必须根据本系统的特点和安全要求来制定策略,选择行为检测模式。现在用户都采取两种模式相结合的策略。
参考资料来源:百度百科—入侵检测
参考资料来源:百度百科—入侵检测系统
入侵检测系统IDS是什么,入侵检测系统的原理是什么?
入侵检测系统(IDS)是对网络传输进行实时监控的一种安全保障。不同于传统的网络安全设备,当检测到外星入侵者时,会立即报警并采取积极的应对措施。而且他内置了入侵知识库,对网络上的流量特征进行收集和分析,一旦在高合规或者大流量的情况下,会立即预警或者反击。
一、入侵检测系统的工作
入侵检测系统简称IDS。IDS主要分为两部分:检测引擎和控制中心。检测引擎用于分析和读取数据。当控制中心接收到一个来自伊宁的数据时,会对数据进行过滤,进行检测分析,如果有威胁会立即报警。一些正常用户的异常检测行为,偏离了正常的活动规律,也会被视为攻击企图,会立即产生状态信号。IDS就像是对金库的监控。一旦有人准备入侵监控,或者在门前做了什么,就会被自己的控制中心检测到。
二、入侵检测系统的原理
入侵检测系统IDS,首先是别人入侵检测系统的系统日志,会记录黑客或者未知访客的踪迹,他们做了什么,对文件和程序的一些改动,上传给上层进行分析。经过分析,如果出了问题,就会发现探测器本身的完整性。这是IDS事后做出的检测行为。如果不对,它会立即报警。
第三,入侵检测系统存在的问题
IDS本身无法检测新的入侵方式,对网络的限制导致了其自身的局限性。而且,它也不能把机密数据处理掉,直接放走。它受到服务器内存和硬盘的严重制约,因为一个它能记录的现象能及时发现,没有记录就发现不了。因为内存的原因,它能使用的内存是有限的。
以上就是有关于入侵检测系统IDS是什么,入侵检测系统的原理是什么?的相关回答了,你了解了吗
入侵检测技术的原理是什么啊 ???
这个问题比较大,入侵探测技术种类也很多。
目前用的较多的入侵探测器大致分以下几种:
1、微波:利用微波反射原理。多用于室内且宜受干扰。主要探测移动物体的形状,以防止小动物误报。
2、红外:分主动红外、被动红外。
主动红外:自带光源,两条以上的红外光束被遮挡即报警,干结点报警。报警光束可根据实际设置。有发
送端和接收端组成。多用于室外。
被动红外:不附加红外辐射光源。利用红外检测物体温度,通过菲涅尔透镜将各个方向的热量汇集至传
感器,干结点输出报警。有点式、线式、面式等。
3、磁开关:磁铁吸合两片金属触点,从而常开转常闭,触发报警。如门磁开关。
4、振动传感器:可视做一根空管中悬着一个吊锤,正常状况悬锤不接触管内壁(常开),一旦振动发生,悬
锤接触管壁(常闭状态),从而触发报警。
5、玻璃破碎传感器:通过检测玻璃破碎的尖锐声音、敲击玻璃产生的振动、玻璃损坏后室内外气压气流不同
产生的低频次声波信号等,产生报警,干节点输出。
当然了,上述只是常用的技术,目前实际应用中大多采用双技术、三技术探测器,实际应用的技术也越来越多,如电子脉冲围栏、泄流电缆。。。。
入侵报警技术必须与其他专业相配合,如电视监控、门禁,同时人防、物防、技防需兼备,不可偏科。
入侵探测系统一旦联网,将是项繁重的工作,必须优化网络结构。