黑客常用系统攻击方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于网络的入侵检测系统以原始的网络数据包 作为数据源。它是利用网络适配器来实时地监 视并分析通过网络进行传输的所有通信业务的。 一旦检测到攻击,IDS的响应模块通过通知、 报警以及中断连接等方式来对攻击行为作出反 应。
基于网络的IDS优点
较之于基于主机的IDS,它有着自身明显的优势:
(1) 攻击者转移证据更困难 (2) 实时检测和应答 (3) 能够检测到未成功的攻击企图 (4) 操作系统无关性 (5) 较低的成本
(3)有些攻击在网络数据中很难发现,或者根本没 有通过网络而在本地进行。这时网络入侵检测系统 将无能为力,只能借助HIDS。
8.2.2 基于网络的IDS
部署于网络上,而不是 主机上
网络IDS
防火墙
监听网络上的数据包
邮件 服务器
WWW 服务器
域名 服务器
用以保护整个网段
基于网络的IDS
基于网络的IDS
IPS入侵防御系统
对于部署在数据转发路径上的IPS,可以根据预先 设定的安全策略,对流经的每个报文进行深度检 测(协议分析跟踪、特征匹配、流量统计分析、 事件关联分析等),如果一旦发现隐藏于其中网 络攻击,可以根据该攻击的威胁级别立即采取抵 御措施,这些措施包括(按照处理力度):向管 理中心告警;丢弃该报文;切断此次应用会话; 切断此次TCP连接。
“正常”行为特征轮廓,通过
比较当前的系统或用户的行为
是否偏离正常的行为特征轮廓Biblioteka Baidu
来判断是否发生了入侵行为。
与系统相对无关,通用性强
能检测出新的攻击方法
审计数据
误检率较高
异常检测是根据使用者的行为
或资源使用状况来判断是否入
侵,所以异常检测又称基于行
为的入侵检测。
更新
系统正常的统计分析 入侵 行 为 特 征 轮 廓偏 离 正 常 行 为
代理
域名 服务器
这种防护用以 监测系统上正 在运行的进程 是否合法
基于主机的IDS
基于主机的入侵检测系统通常以系统日志、应用 程序日志等审计记录文件作为数据源。它是通过 比较这些审计记录文件的记录与攻击签名 (Attack Signature,指用一种特定的方式来表示 已知的攻击模式)以发现它们是否匹配。如果匹配, 检测系统就向系统管理员发出入侵报警并采取相 应的行动。基于主机的IDS可以精确地判断入侵事 件,并可对入侵事件作出立即反应。
行为特征
动态产生新 的行为特征
异常检测
从异常检测的实现机理来看,异常检测所面临的关键 问题有:
(1) 特征量的选择 (2) 阈值的选定 (3) 比较频率的选取
从异常检测的原理我们可以看出,该方法的技术难点 在于:
“正常”行为特征轮廓的确定; 特征量的选取;特征轮廓的更新。 由于这几个因素的制约,异常检测的误报率会很高,但对 于未知的入侵行为的检测非常有效,同时它也是检测冒充 合法用户的入侵行为的有效方法。
服务器区域的交换机上; Internet接入路由器之后的第一台交换机上; 重点保护网段的局域网交换机上。
IDS的部署位置
内部局 域网
可以部署于网络内部
Snort
防火墙
Snort
DMZ
Internet
与防火墙一起承担安全责任
未部署IDS时的企业网络架构
Internet
WEBSrv 没有IDS系统的企业 网络是极不安全的
记入日志 实时报警
入侵检测系统的两个性能指标
一是漏报率,指攻击事件没有被IDS检测到,与其 相对的是检出率;
二是误报率,指把正常事件识别为攻击并报警。 误报率与检出率成正比例关系。
100%
误 报 率
检出率 100%
性能指标计算公式:
网络中发生的真实的攻击事件数量为M,IDS漏报 的事件数量为N,则
分布式的IDS将是今后人们研究的重点,它是一种相 对完善的体系结构,为日趋复杂的网络环境下的安全 策略的实现提供了最佳的解决方案。
8.3 IDS分析技术
异常检测(Anomaly Detection) 特征检测(Signature-based detection)
异常检测
原理:首先建立系统或用户的
第八章 入侵检测技术
2020/10/9
本章主要内容
8.1 入侵检测概述 8.2 入侵检测系统分类 8.3 入侵检测在企业网中的应用 8.4 入侵检测系统目前存在的问题 8.5 入侵检测的发展趋势
8.1 入侵检测概述
为什么要用入侵检测系统? 什么是入侵行为? 什么是入侵检测? 什么是入侵检测系统: 入侵检测系统工作原理 入侵检测系统的两个性能指标
只能依靠路由器的基本 防护功能来保护内网
显然远远不能满足 企业的安全需求
部署了IDS时的企业网络架构
Internet
DMZ
WEBSrv
基于主机的 IDS
邮件服务器
部署于主机上的IDS
IDS控制台
防火墙
文件服务器
对网络流量进行监 控的IDS
基于网络的 IDS
打印服务器
8.5 入侵检测系统目前存在的问题
IPS入侵防御系统位置
由此可以得出结论,办公网中,至少需要在以下区 域部署IPS,即:
(1)办公网与外部网络的连接部位(入口/出口); (2)重要服务器集群前端; (3)办公网内部接入层。
至于其它区域,可以根据实际情况与重要程度,酌情部署。
IPS与IDS的区别
IPS对于初始者来说,是位于防火墙和网络的设备 之间的设备。这样,如果检测到攻击,IPS会在这 种攻击扩散到网络的其它地方之前阻止这个恶意 的通信。而IDS只是存在于你的网络之外起到报警 的作用,而不是在你的网络前面起到防御的作用。
当然,对于基于网络的IDS来讲,同样有着一定的不足:
它只能监视通过本网段的活动,并且精确度较差;在交换网络环 境中难于配置;防欺骗的能力比较差,对于加密环境它就更是无
能为力了。
8.2.3 分布式的IDS
从以上对基于主机的IDS和基于网络的IDS的分析可以 看出:这两者各自都有着自身独到的优势,而且在某 些方面是很好的互补。如果采用这两者结合的入侵检 测系统,那将是汲取了各自的长处,又弥补了各自的 不足的一种优化设计方案。通常,这样的系统一般为 分布式结构,由多个部件组成,它能同时分析来自主 机系统的审计数据及来自网络的数据通信流量信息。
漏报率=N/M*100%
误报率的计算方法很多,各种算法之间最大的不同 都在分母的取值上,目前比较常见的IDS误报率的 计算方法是:
误报率=存在误报的事件数(X)/ 事件库总量(N) *100%(其中某IDS的事件总是为N,存在 误报的事件数为X)
例 子:
已知10个网络事件,其中6个正常事件,4个攻击 事件;现有一入侵检测系统检测到5个攻击事件的 发生,但其中有2个事件为正常事件被误判作为攻 击事件,则:
为什么要用入侵检测系统?
“防火墙”,是指一种将内部网和公众访问网(如 Internet)分开的方法,它实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种访问控制尺 度,它能允许你“同意”的人和数据进入你的网络, 同时将你“不同意”的人和数据拒之门外,最大限 度地阻止网络中的黑客来访问你的网络。换句话说, 如果不通过防火墙,公司内部的人就无法访问 Internet,Internet上的人也无法和公司内部的人 进行通信。
特征检测
主要局限性表现在:
(1) 不能检测未知的入侵行为。 (2) 与系统的相关性很强,即检测系统知识库中的入 侵攻击知识与系统的运行环境有关。对于不同的操作 系统,由于其实现机制不同,对其攻击的方法也不尽 相同,因而很难定义出统一的模式库。 (3) 对于系统内部攻击者的越权行为,由于他们没有 利用系统的缺陷,因而很难检测出来。
8.2 入侵检测系统分类
➢ 基于主机(Host-Based)的入侵检测系统 ➢ 基于网络(Network-Based)的入侵检测系统 ➢ 分布式入侵检测系统
8.2.1 基于主机的IDS
主机型入侵检
测系统保护的
防火墙
是主机系统
主机IDS
代理
代理
邮件 服务器
WWW 服务器
每台主机上安 装一个入侵检
测代理
通常对IDS的部署的唯一要求是:IDS应当挂接在 所有所关注的流量都必须流经的链路上。在这里, “所关注的流量”指的是来自高危网络区域的访 问流量和需要进行统计、监视的网络报文。
入侵检测系统工作原理
信息收集
信息分析
是否是
N
攻击
忽略
Y 记录/报警
收集流量的内容、用户连接的状态和行为 通过模式匹配,统计分析和完 整性分析三种手段进行分析
基于主机的IDS(HIDS)优点
(1)能够监视特定的系统行为。HIDS能够监视所有 的用户登录和退出,甚至用户所做的所有操作, 日志里记录的审计系统策略的改变,关键系统文 件和可执行文件的改变等。
(2)HIDS能够确定攻击是否成功。由于使用含有已 经发生事件的信息,它们可以比网络入侵检测系统 更加准确地判断攻击是否成功。
什么是入侵(Intrusion)行为?
入侵行为主要是指对系统资源的非授 权使用,不仅包括发起攻击的人取得超出 范围的系统控制权,也包括收集漏洞信息, 造成拒绝访问等对计算机造成危害的行为。
什么是入侵检测?
入侵检测是指通过从计算机网络系统 中的若干关键点收集信息,并分析这些信 息,从而发现网络或系统中是否有违反安 全策略的行为和遭到袭击的迹象的一种安 全技术。
特征检测
特征检测又称滥用检测Misuse detection,这一检 测假设所有入侵行为和手段都能够表达为一种模式 或特征,因而所有已知的入侵方法都可以用匹配的 方法发现,但对新的入侵方法无能为力。
基本前提是:假定所有可能的入侵行为都能被识别 和表示。
其难点在于如何设计模式既能够表达“入侵”现象 又不会将正常的活动包含进来。
为什么要用入侵检测系统?
防火墙的局限性
(1)防火墙防外不防内。 (2)防火墙一般不提供对内部的保护。 (3)防火墙不能防范不通过它的连接。 (4)防火墙不能防备全部的威胁。
因此为确保网络的安全,就要对网络内部进行实 时的检测,这就要用到IDS无时不在的防护!
8.1 入侵检测概述
为什么要用入侵检测系统? 什么是入侵行为? 什么是入侵检测? 什么是入侵检测系统: 入侵检测系统工作原理 入侵检测系统的两个性能指标
入侵检测系统
全称为Detection System,缩写为 IDS,可以是软件,也可以是一种进行入侵 检测的软件与硬件的组合。
与防火墙不同的是,IDS是一个旁路监听设备,无 须网络流量流经它便可以工作。IDS的运行方式有 两种,一种是在目标主机上运行以监测其本身的 通信信息,另一种是在一台单独的机器上运行以 监测所有网络设备的通信信息,比如Hub、路由 器。
采用两种技术混合的入侵检测
入侵检测的两种最常用技术在实现机理、处理 机制上存在明显的不同,而且各自都有着自身 无法逾越的障碍,使得各自都有着某种不足。 但是采用这两种技术混合的方案,将是一种理 想的选择,这样可以做到优势互补。
8.4 IDS在企业网中的应用——部署位置
IDS在交换式网络中的位置一般选择为:尽可能靠 近攻击源、尽可能靠近受保护资源。这些位置通 常是:
漏报率=[4-(5-2)]/4*100%=25%; 检出率=(5-2)/4*100%=75%; 误报率=2/10*100%=20%。
已知20个网络事件,其中15个正常事件,5个攻 击事件;现有一入侵检测系统检测到6个攻击事件 的发生,但其中有3个事件为正常事件被误判作为 攻击事件,则:
漏报率=[5-(6-3)]/5*100%=40%; 检出率=(6-3)/5*100%=60%; 误报率=3/20*100%=15%。
IPS是英文“Intrusion Prevention System”的缩 写,中文意思是入侵防御系统。
随着网络攻击技术的不断提高和网络安全漏洞的 不断发现,传统防火墙技术加传统的入侵检测技 术,已经无法应对一些安全威胁。在这种情况下, IPS技术应运而生,IPS技术可以深度感知并检测 流经的数据流量,对恶意报文进行丢弃以阻断攻 击,对滥用报文进行限流以保护网络带宽资源。
IPS检测攻击的方法也与IDS不同。一般来说,IPS 系统都依靠对数据包的检测。IPS将检查入网的数 据包,确定这种数据包的真正用途,然后决定是 否允许这种数据包进入你的网络。
1. 现有的入侵检测系统检测速度远小于网络传输速 度,导致误报率和漏报率;
2. 入侵检测产品和其它网络安全产品结合问题, 即 期间的信息交换,共同协作发现攻击并阻击攻击;
3. 基于网络的入侵检测系统对加密的数据流及交换 网络下的数据流不能进行检测,并且其本身构建 易受攻击。
8.6 入侵检测的发展趋势——IPS
基于网络的IDS优点
较之于基于主机的IDS,它有着自身明显的优势:
(1) 攻击者转移证据更困难 (2) 实时检测和应答 (3) 能够检测到未成功的攻击企图 (4) 操作系统无关性 (5) 较低的成本
(3)有些攻击在网络数据中很难发现,或者根本没 有通过网络而在本地进行。这时网络入侵检测系统 将无能为力,只能借助HIDS。
8.2.2 基于网络的IDS
部署于网络上,而不是 主机上
网络IDS
防火墙
监听网络上的数据包
邮件 服务器
WWW 服务器
域名 服务器
用以保护整个网段
基于网络的IDS
基于网络的IDS
IPS入侵防御系统
对于部署在数据转发路径上的IPS,可以根据预先 设定的安全策略,对流经的每个报文进行深度检 测(协议分析跟踪、特征匹配、流量统计分析、 事件关联分析等),如果一旦发现隐藏于其中网 络攻击,可以根据该攻击的威胁级别立即采取抵 御措施,这些措施包括(按照处理力度):向管 理中心告警;丢弃该报文;切断此次应用会话; 切断此次TCP连接。
“正常”行为特征轮廓,通过
比较当前的系统或用户的行为
是否偏离正常的行为特征轮廓Biblioteka Baidu
来判断是否发生了入侵行为。
与系统相对无关,通用性强
能检测出新的攻击方法
审计数据
误检率较高
异常检测是根据使用者的行为
或资源使用状况来判断是否入
侵,所以异常检测又称基于行
为的入侵检测。
更新
系统正常的统计分析 入侵 行 为 特 征 轮 廓偏 离 正 常 行 为
代理
域名 服务器
这种防护用以 监测系统上正 在运行的进程 是否合法
基于主机的IDS
基于主机的入侵检测系统通常以系统日志、应用 程序日志等审计记录文件作为数据源。它是通过 比较这些审计记录文件的记录与攻击签名 (Attack Signature,指用一种特定的方式来表示 已知的攻击模式)以发现它们是否匹配。如果匹配, 检测系统就向系统管理员发出入侵报警并采取相 应的行动。基于主机的IDS可以精确地判断入侵事 件,并可对入侵事件作出立即反应。
行为特征
动态产生新 的行为特征
异常检测
从异常检测的实现机理来看,异常检测所面临的关键 问题有:
(1) 特征量的选择 (2) 阈值的选定 (3) 比较频率的选取
从异常检测的原理我们可以看出,该方法的技术难点 在于:
“正常”行为特征轮廓的确定; 特征量的选取;特征轮廓的更新。 由于这几个因素的制约,异常检测的误报率会很高,但对 于未知的入侵行为的检测非常有效,同时它也是检测冒充 合法用户的入侵行为的有效方法。
服务器区域的交换机上; Internet接入路由器之后的第一台交换机上; 重点保护网段的局域网交换机上。
IDS的部署位置
内部局 域网
可以部署于网络内部
Snort
防火墙
Snort
DMZ
Internet
与防火墙一起承担安全责任
未部署IDS时的企业网络架构
Internet
WEBSrv 没有IDS系统的企业 网络是极不安全的
记入日志 实时报警
入侵检测系统的两个性能指标
一是漏报率,指攻击事件没有被IDS检测到,与其 相对的是检出率;
二是误报率,指把正常事件识别为攻击并报警。 误报率与检出率成正比例关系。
100%
误 报 率
检出率 100%
性能指标计算公式:
网络中发生的真实的攻击事件数量为M,IDS漏报 的事件数量为N,则
分布式的IDS将是今后人们研究的重点,它是一种相 对完善的体系结构,为日趋复杂的网络环境下的安全 策略的实现提供了最佳的解决方案。
8.3 IDS分析技术
异常检测(Anomaly Detection) 特征检测(Signature-based detection)
异常检测
原理:首先建立系统或用户的
第八章 入侵检测技术
2020/10/9
本章主要内容
8.1 入侵检测概述 8.2 入侵检测系统分类 8.3 入侵检测在企业网中的应用 8.4 入侵检测系统目前存在的问题 8.5 入侵检测的发展趋势
8.1 入侵检测概述
为什么要用入侵检测系统? 什么是入侵行为? 什么是入侵检测? 什么是入侵检测系统: 入侵检测系统工作原理 入侵检测系统的两个性能指标
只能依靠路由器的基本 防护功能来保护内网
显然远远不能满足 企业的安全需求
部署了IDS时的企业网络架构
Internet
DMZ
WEBSrv
基于主机的 IDS
邮件服务器
部署于主机上的IDS
IDS控制台
防火墙
文件服务器
对网络流量进行监 控的IDS
基于网络的 IDS
打印服务器
8.5 入侵检测系统目前存在的问题
IPS入侵防御系统位置
由此可以得出结论,办公网中,至少需要在以下区 域部署IPS,即:
(1)办公网与外部网络的连接部位(入口/出口); (2)重要服务器集群前端; (3)办公网内部接入层。
至于其它区域,可以根据实际情况与重要程度,酌情部署。
IPS与IDS的区别
IPS对于初始者来说,是位于防火墙和网络的设备 之间的设备。这样,如果检测到攻击,IPS会在这 种攻击扩散到网络的其它地方之前阻止这个恶意 的通信。而IDS只是存在于你的网络之外起到报警 的作用,而不是在你的网络前面起到防御的作用。
当然,对于基于网络的IDS来讲,同样有着一定的不足:
它只能监视通过本网段的活动,并且精确度较差;在交换网络环 境中难于配置;防欺骗的能力比较差,对于加密环境它就更是无
能为力了。
8.2.3 分布式的IDS
从以上对基于主机的IDS和基于网络的IDS的分析可以 看出:这两者各自都有着自身独到的优势,而且在某 些方面是很好的互补。如果采用这两者结合的入侵检 测系统,那将是汲取了各自的长处,又弥补了各自的 不足的一种优化设计方案。通常,这样的系统一般为 分布式结构,由多个部件组成,它能同时分析来自主 机系统的审计数据及来自网络的数据通信流量信息。
漏报率=N/M*100%
误报率的计算方法很多,各种算法之间最大的不同 都在分母的取值上,目前比较常见的IDS误报率的 计算方法是:
误报率=存在误报的事件数(X)/ 事件库总量(N) *100%(其中某IDS的事件总是为N,存在 误报的事件数为X)
例 子:
已知10个网络事件,其中6个正常事件,4个攻击 事件;现有一入侵检测系统检测到5个攻击事件的 发生,但其中有2个事件为正常事件被误判作为攻 击事件,则:
为什么要用入侵检测系统?
“防火墙”,是指一种将内部网和公众访问网(如 Internet)分开的方法,它实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种访问控制尺 度,它能允许你“同意”的人和数据进入你的网络, 同时将你“不同意”的人和数据拒之门外,最大限 度地阻止网络中的黑客来访问你的网络。换句话说, 如果不通过防火墙,公司内部的人就无法访问 Internet,Internet上的人也无法和公司内部的人 进行通信。
特征检测
主要局限性表现在:
(1) 不能检测未知的入侵行为。 (2) 与系统的相关性很强,即检测系统知识库中的入 侵攻击知识与系统的运行环境有关。对于不同的操作 系统,由于其实现机制不同,对其攻击的方法也不尽 相同,因而很难定义出统一的模式库。 (3) 对于系统内部攻击者的越权行为,由于他们没有 利用系统的缺陷,因而很难检测出来。
8.2 入侵检测系统分类
➢ 基于主机(Host-Based)的入侵检测系统 ➢ 基于网络(Network-Based)的入侵检测系统 ➢ 分布式入侵检测系统
8.2.1 基于主机的IDS
主机型入侵检
测系统保护的
防火墙
是主机系统
主机IDS
代理
代理
邮件 服务器
WWW 服务器
每台主机上安 装一个入侵检
测代理
通常对IDS的部署的唯一要求是:IDS应当挂接在 所有所关注的流量都必须流经的链路上。在这里, “所关注的流量”指的是来自高危网络区域的访 问流量和需要进行统计、监视的网络报文。
入侵检测系统工作原理
信息收集
信息分析
是否是
N
攻击
忽略
Y 记录/报警
收集流量的内容、用户连接的状态和行为 通过模式匹配,统计分析和完 整性分析三种手段进行分析
基于主机的IDS(HIDS)优点
(1)能够监视特定的系统行为。HIDS能够监视所有 的用户登录和退出,甚至用户所做的所有操作, 日志里记录的审计系统策略的改变,关键系统文 件和可执行文件的改变等。
(2)HIDS能够确定攻击是否成功。由于使用含有已 经发生事件的信息,它们可以比网络入侵检测系统 更加准确地判断攻击是否成功。
什么是入侵(Intrusion)行为?
入侵行为主要是指对系统资源的非授 权使用,不仅包括发起攻击的人取得超出 范围的系统控制权,也包括收集漏洞信息, 造成拒绝访问等对计算机造成危害的行为。
什么是入侵检测?
入侵检测是指通过从计算机网络系统 中的若干关键点收集信息,并分析这些信 息,从而发现网络或系统中是否有违反安 全策略的行为和遭到袭击的迹象的一种安 全技术。
特征检测
特征检测又称滥用检测Misuse detection,这一检 测假设所有入侵行为和手段都能够表达为一种模式 或特征,因而所有已知的入侵方法都可以用匹配的 方法发现,但对新的入侵方法无能为力。
基本前提是:假定所有可能的入侵行为都能被识别 和表示。
其难点在于如何设计模式既能够表达“入侵”现象 又不会将正常的活动包含进来。
为什么要用入侵检测系统?
防火墙的局限性
(1)防火墙防外不防内。 (2)防火墙一般不提供对内部的保护。 (3)防火墙不能防范不通过它的连接。 (4)防火墙不能防备全部的威胁。
因此为确保网络的安全,就要对网络内部进行实 时的检测,这就要用到IDS无时不在的防护!
8.1 入侵检测概述
为什么要用入侵检测系统? 什么是入侵行为? 什么是入侵检测? 什么是入侵检测系统: 入侵检测系统工作原理 入侵检测系统的两个性能指标
入侵检测系统
全称为Detection System,缩写为 IDS,可以是软件,也可以是一种进行入侵 检测的软件与硬件的组合。
与防火墙不同的是,IDS是一个旁路监听设备,无 须网络流量流经它便可以工作。IDS的运行方式有 两种,一种是在目标主机上运行以监测其本身的 通信信息,另一种是在一台单独的机器上运行以 监测所有网络设备的通信信息,比如Hub、路由 器。
采用两种技术混合的入侵检测
入侵检测的两种最常用技术在实现机理、处理 机制上存在明显的不同,而且各自都有着自身 无法逾越的障碍,使得各自都有着某种不足。 但是采用这两种技术混合的方案,将是一种理 想的选择,这样可以做到优势互补。
8.4 IDS在企业网中的应用——部署位置
IDS在交换式网络中的位置一般选择为:尽可能靠 近攻击源、尽可能靠近受保护资源。这些位置通 常是:
漏报率=[4-(5-2)]/4*100%=25%; 检出率=(5-2)/4*100%=75%; 误报率=2/10*100%=20%。
已知20个网络事件,其中15个正常事件,5个攻 击事件;现有一入侵检测系统检测到6个攻击事件 的发生,但其中有3个事件为正常事件被误判作为 攻击事件,则:
漏报率=[5-(6-3)]/5*100%=40%; 检出率=(6-3)/5*100%=60%; 误报率=3/20*100%=15%。
IPS是英文“Intrusion Prevention System”的缩 写,中文意思是入侵防御系统。
随着网络攻击技术的不断提高和网络安全漏洞的 不断发现,传统防火墙技术加传统的入侵检测技 术,已经无法应对一些安全威胁。在这种情况下, IPS技术应运而生,IPS技术可以深度感知并检测 流经的数据流量,对恶意报文进行丢弃以阻断攻 击,对滥用报文进行限流以保护网络带宽资源。
IPS检测攻击的方法也与IDS不同。一般来说,IPS 系统都依靠对数据包的检测。IPS将检查入网的数 据包,确定这种数据包的真正用途,然后决定是 否允许这种数据包进入你的网络。
1. 现有的入侵检测系统检测速度远小于网络传输速 度,导致误报率和漏报率;
2. 入侵检测产品和其它网络安全产品结合问题, 即 期间的信息交换,共同协作发现攻击并阻击攻击;
3. 基于网络的入侵检测系统对加密的数据流及交换 网络下的数据流不能进行检测,并且其本身构建 易受攻击。
8.6 入侵检测的发展趋势——IPS