入侵检测系统你了解多少?(入侵检测系统是什么)
经过多年的发展,20世纪80年代提出的入侵检测技术已进入理论模型的实际应用阶段。Dorothy Denning在1987年定义了入侵检测。收集网络数据包或信息以检测潜在的入侵行为,并在入侵发生或损坏之前发出警报和响应。
入侵检测系统的主要任务
入侵检测系统的主要任务是监测和分析主机和网络用户的行为,识别已知的攻击和未知的威胁,并对检测到的异常或攻击行为的系统日志做出响应,如警告或进程终止。系统,及时检测和报告系统中未经授权和异常情况,并及时应对威胁或安全事件。入侵检测系统的主要功能是识别入侵者和入侵行为,监控系统的安全状态,对可能或现有的攻击采取行动,并对已经发生并具有影响的攻击做出响应。
尽管入侵检测系统已经被广泛使用,但仍然存在一些问题,包括:生成警报的过程;也就是说,反映在入侵检测过程和警报的后期分析和处理中,如何有效、高效地分析这些警报并最终实现对攻击的处理和防御是核心主题,具体包括以下四个方面:
(1) 投标数量非常多。入侵检测系统和其他安全设备通常会生成相对大量的警报,例如100兆字节的连接,每天可以生成超过500000个警报。手动处理这么多警报数据是非常困难的。过度警报是正常的系统操作。干扰可能会给网络安全管理员带来困惑。因此,问题之一是提高入侵检测的准确性并减少警报的数量。
(2) 误报率高。在实际的入侵检测中,90%以上的警报都是由假警报处理的,这使得识别实际警报变得更加困难。同时,面对大量的报警数据,管理人员往往依赖专家处理经验,不利于发现新的攻击,降低报警中的虚警率,增加实际报警的比例。这是提高入侵检测系统效率的关键。
(3) 有关安全事件的信息是单独的。防盗警报系统中现有的警报信息通常是由单个攻击行为触发的单个警报,因此警报是独立的。相同的攻击可能会产生大量警报,但很难创建实际的攻击场景,从而导致多层次的攻击或复杂的网络球。分析网格并为分析网络威胁和网络状况提供有效信息是困难的。
(4) 入侵检测系统具有较低的通用性。不同的入侵检测系统使用不同的检测方法和数据格式。很难合并和分析来自不同来源的警报,也很难有效地进行交互和协作。同时,入侵检测系统的部署是复杂的,需要大量专业人员的参与。需要更多的数据分析和手动参与结果分析和规则部署。研究预警的通用性,对于促进不同入侵检测系统之间的合作,提高其通用性具有重要意义。
通过上述的诠释针对入侵检测系统你了解多少?(入侵检测系统是什么)这个问题你懂了吗?
