入侵检测系统主要有什么功能
入侵检测系统冰之眼的优缺点?
入侵检测系统冰之眼的优缺点?
入侵检测系统的优点:
1.能够使现有的安防体系更完善。
2.能够更好地掌握系统的情况。
3.能够追踪攻击者的攻击线路。
4.界面友好,便于建立安防体系。
5.能够抓住肇事者。
入侵检测系统的缺点:
1. 不能够在没有用户参与的情况下对攻击行为展开调查。
2. 不能够在没有用户参与的情况下阻止攻击行为的发生。
3. 不能克服网络协议方面的缺陷。
4.不能克服设计原理方面的缺陷。
5. 响应不够及时,签名数据库更新得不够快。
6.经常是事后才检测到,适时性不好。
常见的危害信息安全的形式有哪些?
常见的信息安全产品主要有:计算机查毒软件、防火墙、网关、入侵检测系统、入侵防御系统、安全备份系统、安全加密软件、统一威胁安全管理系统等。
1.信息安全常见威胁有非授权访问、信息泄露、破坏数据完整性,拒绝服务攻击,恶意代码。
2.信息安全的实现可以通过物理安全技术,系统安全技术,网络安全技术,应用安全技术,数据加密技术,认证授权技术,访问控制技术,审计跟踪技术,防病毒技术,灾难恢复和备份技术。
入侵检测主要有哪三种方式?
1)特征检测
特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
2)统计检测
统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
3)专家系统
用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
4)文件完整性检查
文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则未发生变化。
文件的数字文摘通过Hash函数计算得到。不管文件长度如何,它的Hash函数计算结果是一个固定长度的数字。与加密算法不同,Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法,如MD5、SHA时,两个不同的文件几乎不可能得到相同的Hash结果。从而,当文件一被修改,就可检测出来。在文件完整性检查中功能最全面的当属Tripwire。