入侵检测系统采用网络数据作为信息源有什么优势
入侵检测系统采用网络数据作为信息源有以下优势:
可以用独立的主机进行检测,网络数据的收集和分析不会影响业务主机的运作性能。
以被动监听的方式获取数据包,不降低网络性能。例如,包过滤防火墙在处理数据包时要先按照安全规则实施过滤,再进行转发,这样必然延长数据包的传输时间,而入侵检测系统的被动监听不存在此问题。
这种入侵检测系统本身不容易遭受攻击,因为其对于网络用户而言完全透明,攻击者难以判断网络中是否存在入侵检测系统,入侵检测系统位于何处。
以网络数据作为信息源的入侵检测系统,相对于以主机数据作为信息源的入侵检测系统而言,可以更快速、有效地检测很多类型的网络攻击活动,如ARP欺骗、拒绝服务攻击等。
网络数据包遵循统一的通信协议,标准化程度高,可以便捷地将此类入侵检测系统移植到不同的系统平台上。
入侵检测的特征检测有以下实现方式:
模式匹配法:模式匹配法是一种最基本的特征检测方法。采用这种检测方法,需要将收集到的入侵特征转换成模式,存放在模式数据库中。在检测过程中将收集到的数据信息与模式数据库进行匹配,从而发现攻击行为。模式匹配的具体实现手段多种多样,可以是通过字符串匹配寻找特定的指令数据,也可以是采用正规的数学表达式描述数据负载内容。模式匹配技术非常成熟,检测的准确率和效率都很高。
专家系统法:在此类入侵检测系统中,入侵活动被编码成专家系统的规则。规则采用“If条件Then动作”的形式,其中的条件是判定入侵发生的条件,其中的动作指的是在入侵条件满足时检测系统采取的应对措施。入侵检测系统根据收集到的数据,通过条件匹配判断是否出现了入侵并采取相应的动作。采用专家系统法的入侵检测系统在实现上较为简单,其缺点主要是处理速度比较慢,原因在于专家系统采用的是说明性的表达方式,要求用解释系统来实现,而解释器比编译器的处理速度慢。另外,维护规则库也需要大量的人力和精力,由于规则之间具有联系性,更改任何一个规则都要考虑对其他规则的影响。
状态迁移法:攻击者在实施攻击的过程中往往执行一系列的动作,这些动作将使系统从初始状态逐步迁移到系统安全受到破坏的某个状态。其中,初始状态为攻击开始前的系统状态,而系统安全被破坏的状态是攻击成功实现的系统状态,在这两个状态之间可能有一个或者多个中间状态。系统的状态信息可以用系统的一些属性描述,体现系统在特定时间点的特征。采用状态迁移法进行入侵检测就是利用状态转换图描述并检测已知的入侵模式。此类入侵检测系统保存入侵相关的状态转换图表,并对系统的状态信息进行监控,当用户动作驱动系统状态向入侵状态迁移时触发入侵警告。状态迁移法能够检测出多方协同的慢速攻击,但是如果攻击场景复杂的话,要精确描述系统状态非常困难。因此,状态迁移法通常与其他的入侵检测法结合使用。