什么是入侵檢測���?入侵檢測是對入侵行為的發覺�。它通過對物聯網或信息傳輸網中的若干關鍵點收集信息并對其進行分析�����,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象�。
入侵檢測的軟件與硬件的組合便是入侵檢測系統(Intrusion DetectionSystem���,IDS)�����。與其他安全產品不同的是���,入侵檢測系統需要更多的智能����,它必須可以將得到的數據進行分析���,并得出有用的結果�。入侵檢測一般分為3個步驟�����,依次為信息收集�����、數據分析����、響應(被動響應和主動響應)��。
物聯網入侵檢測的第一步是信息收集��,內容包括系統�、網絡���、數據及用戶活動的狀態和行為��。入侵檢測利用的信息一般來自以下4個方面:
1.系統和網絡日志文件
黑客經常在系統日志文件中留下他們的蹤跡�,因此�����,充分利用系統和網絡日志文件信息是檢測入侵的必要條件�����。通過查看日志文件���,能夠發現成功地入侵或入侵企圖�,并很快地啟動相應的應急響應程序�����。
2.目錄和文件中的不期望改變
網絡環境中的文件系統包含很多軟件和數據文件���,包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標���。為了隱藏系統中黑客的表現及活動痕跡���,黑客們都會盡力去替換系統程序或修改系統日志文件�。
3.程序執行中的不期望行為
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統��。黑客可能會將程序或服務的運行分解�,從而導致它失敗�,或者是以非用戶或管理員意圖的方式操作��。
4.物理形式的入侵信息
這包括兩個方面的內容����,一是未授權的對網絡硬件連接;二是對物理資源的未授權訪問�����。數據分析是入侵檢測的核心�����,它通過4類收集到的有關系統�����、網絡����、數據及用戶活動的狀態和行為等信息���,一般通過3種技術手段進行分析:模式匹配�����,統計分析和完整性分析���。其中前兩種方法用于實時的入侵檢測���,而完整性分析則用于事后分析���。
一個性能優異的入侵檢測系統�����,不僅可使系統管理員時刻了解網絡系統(包括程序�����、文件和硬件設備等)的任何變更��,還能給網絡安全策略的制訂提供依據�����,它應該管理配置簡單�,使非專業人員非常容易地獲得網絡安全�,入侵檢測的規模還應根據網絡規模����、系統構造和安全需求的改變而改變��,入侵檢測系統在發現入侵后����,會及時作出響應���,包括記錄事件和報警等�����。具體來說�,IDS的基本功能和作用如圖1所示�。
圖1 入侵檢測的作用
18922156670
