入侵检测关键点是检测什么
入侵的检测的关键点包括独占资源、恶意使用者,试图闯入或成功闯入、冒充其他用户的攻击者,违反安全策略的合法用户或者导致信息泄露的合法用户等都是入侵检测进行检测的主要内容和关键点。入侵检测作为防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
IDS安全检测系统有以下优点
强大的入侵检测和攻击处理能力:KIDS采用了独特的零拷贝技术,可以有效地降低网络数据包的处理开销,最大能支持百兆网络的数据流量。综合了最新的协议分析和攻击模式识别技术,在提高检测性能的同时也大大降低了误报率。KIDS可重组的最大的IP碎片数目为8192,同时监控的TCP连接数为10000,管理控制台同时能管理的传感器的数目也可以是多个(仅受计算机配置的影响)。这些性能最终形成了KIDS强大的入侵检测和攻击处理能力。
全面的检测知识库:KIDS具备国内最为全面的检测知识库,包括扫描、嗅探、后门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异常和欺骗等11 大类的安全事件,目前共有检测规则1509条,安全报警事件1054条。检测知识库可以实现定期的更新和升级,用户完全不必担心最新黑客攻击方法的威胁。
强大的响应能力:KIDS一旦发现了攻击入侵或可疑的行为,便可以采用多种实时的报警方式通知用户,如屏幕显示、发声报警、邮件通知、传呼通知、手机短消息、WinPop、SNMP Trap或用户自定义的响应方式等,并将所有的报警信息记录到日志中。同时KIDS对一些非法的连接也能够进行及时的阻断,如中断TCP会话、伪造ICMP应答、根据黑名单断开、阻塞HTTP请求、模拟SYN/ACK或通过防火墙阻塞等。
方便的报表生成功能:KIDS的报表功能可以为用户提供全面细致的统计分析信息,它采用不同的统计分类来显示或输出报表,如按重要服务器、重点监测组、常用服务、常见攻击类型和攻击风险等级等进行统计。而对于每一类报表KIDS又提供了更为详细的子分类统计,包括今日事件、三日内事件、本周事件、Top 20个事件(威胁最大的事件)、Top 20个攻击源(攻击嫌疑网址)和Top 20个被攻击地址(有安全隐患的主机/服务器)等。最为方便的是用户完全可以根据自己的喜好或需要定制特殊形式的报表。
开放式的插件结构:传感器采用了插件技术进行分析处理。传感器的核心引擎从网络上抓取数据包,并调用相应的处理插件对其进行分析处理,处理插件将获得的数据包特征与知识库进行比较。对网络高层协议的分析和数据的处理是由专门的插件来实现的,不同的应用层协议用不同的插件来处理。新的协议检测,只需要增加新的处理插件。系统在检测能力上的增强,只需增加和更新插件即可。KIDS包含包特征检测、端口扫描检测、流敏感内容监测器、HTTP检测、POP3分析器、SMTP分析器等多种插件。