@深巷
1年前 提问
1个回答

入侵检测技术可以分为误用检测和什么两大类

一颗小胡椒
1年前

入侵检测技术可以分为误用检测和病毒检测两大类,误用检测一种基于模式匹配的网络入侵检测技术、病毒检测技术是一种基于病毒的匹配的入侵检测技术。入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。

IDS安全检测系统有以下优点

  • 强大的入侵检测和攻击处理能力:KIDS采用了独特的零拷贝技术,可以有效地降低网络数据包的处理开销,最大能支持百兆网络的数据流量。综合了最新的协议分析和攻击模式识别技术,在提高检测性能的同时也大大降低了误报率。KIDS可重组的最大的IP碎片数目为8192,同时监控的TCP连接数为10000,管理控制台同时能管理的传感器的数目也可以是多个(仅受计算机配置的影响)。这些性能最终形成了KIDS强大的入侵检测和攻击处理能力。

  • 全面的检测知识库:KIDS具备国内最为全面的检测知识库,包括扫描、嗅探、后门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异常和欺骗等11 大类的安全事件,目前共有检测规则1509条,安全报警事件1054条。检测知识库可以实现定期的更新和升级,用户完全不必担心最新黑客攻击方法的威胁。

  • 强大的响应能力:KIDS一旦发现了攻击入侵或可疑的行为,便可以采用多种实时的报警方式通知用户,如屏幕显示、发声报警、邮件通知、传呼通知、手机短消息、WinPop、SNMP Trap或用户自定义的响应方式等,并将所有的报警信息记录到日志中。同时KIDS对一些非法的连接也能够进行及时的阻断,如中断TCP会话、伪造ICMP应答、根据黑名单断开、阻塞HTTP请求、模拟SYN/ACK或通过防火墙阻塞等。

  • 方便的报表生成功能:KIDS的报表功能可以为用户提供全面细致的统计分析信息,它采用不同的统计分类来显示或输出报表,如按重要服务器、重点监测组、常用服务、常见攻击类型和攻击风险等级等进行统计。而对于每一类报表KIDS又提供了更为详细的子分类统计,包括今日事件、三日内事件、本周事件、Top 20个事件(威胁最大的事件)、Top 20个攻击源(攻击嫌疑网址)和Top 20个被攻击地址(有安全隐患的主机/服务器)等。最为方便的是用户完全可以根据自己的喜好或需要定制特殊形式的报表。

  • 开放式的插件结构:传感器采用了插件技术进行分析处理。传感器的核心引擎从网络上抓取数据包,并调用相应的处理插件对其进行分析处理,处理插件将获得的数据包特征与知识库进行比较。对网络高层协议的分析和数据的处理是由专门的插件来实现的,不同的应用层协议用不同的插件来处理。新的协议检测,只需要增加新的处理插件。系统在检测能力上的增强,只需增加和更新插件即可。KIDS包含包特征检测、端口扫描检测、流敏感内容监测器、HTTP检测、POP3分析器、SMTP分析器等多种插件。