IDS缺乏正确定位和处理机制,IDS存在的问题
发布时间:2025-07-30 点击:6
主机入侵检测系统分析对象为主机审计日志,所以需 要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和不乱性造成影响,目前在海内应用较少。
1、ids存在的问题
入侵检测系统(intrusion detect system),目前基本上分为以下两种:主机入侵检测系统(hids);网络入侵检测系统(nids)。目前最好综合使用多种检测技术,而不只是依赖传统的统计分析和模式匹配技术。
网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前海内使用较为广泛。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。而利用协议分析。利用此技术,有效的降低了误报和漏报。
2、缺乏正确定位和处理机制
ids技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新老是落后于攻击手段的更新。
3、机能普遍不足
ids仅能识别ip地址,无法定位ip地址,不能识别数据来源。好比异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。但目前因为算法处理和规则制定的难度很大,目前还不长短常成熟,但却是入侵检测技术发展的趋势。而这些检测方式都存在缺陷。假设此特征泛起在mail里,由于不符合协议,就不会报警。而在协议分析的检测方式中,一般的ids只简朴地处理了常用的如http、ftp、smtp等,其余大量的协议报文完全可能造成ids漏报,假如考虑支持尽量多的协议类型分析,网络的本钱将无法承受。则只在符合的协议(http)检测到此事件才会报警。
入侵检测误报和漏报的解决终极依赖分析技术的改进。
统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。
行为分析技术不仅简朴分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的高境界。因而其缺乏更有效的响应处理机制。另外,规则库是否及时更新也和检测的正确程度相关。 ids系统在发现攻击事件的时候,只能封闭网络出口和服务器等少数端口,但这样封闭同时会影响其他正常用户的使用。
4、入侵检测技术的发展趋势
现在市场上的ids产品大多采用的是特征检测技术,这种ids产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多ip分片情况下都可能造成ids的瘫痪或丢包,形成dos攻击。
协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明攻击。数据重组是对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
5、没有主动防备能力
ids常用的检测方法有特征检测、异常检测、状态检测、协议分析等。例如:某个基于http协议的攻击含有abc特征,假如此数据分散在若干个数据包中,如:一个数据包含a,另外一个包含b,另外一个包含c,则单纯的模式匹配就无法检测,只有基于数据流重组才能完整检测。目前入侵检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。
最好的香港空间
如何增强网站的吸引力?根据功能定位来进行网站结构搭建的建议
服务器杀毒软件是不是一定要装?
浅谈网站外链建设中的一些技巧
做好广州网站设计要考虑哪些因素?
网站模板:公司建站要做好目标定位
SEO优化如何才能很好的稳定关键词排名?
SEOers成长记:四疗程
1、ids存在的问题
入侵检测系统(intrusion detect system),目前基本上分为以下两种:主机入侵检测系统(hids);网络入侵检测系统(nids)。目前最好综合使用多种检测技术,而不只是依赖传统的统计分析和模式匹配技术。
网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前海内使用较为广泛。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。而利用协议分析。利用此技术,有效的降低了误报和漏报。
2、缺乏正确定位和处理机制
ids技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新老是落后于攻击手段的更新。
3、机能普遍不足
ids仅能识别ip地址,无法定位ip地址,不能识别数据来源。好比异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。但目前因为算法处理和规则制定的难度很大,目前还不长短常成熟,但却是入侵检测技术发展的趋势。而这些检测方式都存在缺陷。假设此特征泛起在mail里,由于不符合协议,就不会报警。而在协议分析的检测方式中,一般的ids只简朴地处理了常用的如http、ftp、smtp等,其余大量的协议报文完全可能造成ids漏报,假如考虑支持尽量多的协议类型分析,网络的本钱将无法承受。则只在符合的协议(http)检测到此事件才会报警。
入侵检测误报和漏报的解决终极依赖分析技术的改进。
统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。
行为分析技术不仅简朴分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的高境界。因而其缺乏更有效的响应处理机制。另外,规则库是否及时更新也和检测的正确程度相关。 ids系统在发现攻击事件的时候,只能封闭网络出口和服务器等少数端口,但这样封闭同时会影响其他正常用户的使用。
4、入侵检测技术的发展趋势
现在市场上的ids产品大多采用的是特征检测技术,这种ids产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多ip分片情况下都可能造成ids的瘫痪或丢包,形成dos攻击。
协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明攻击。数据重组是对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
5、没有主动防备能力
ids常用的检测方法有特征检测、异常检测、状态检测、协议分析等。例如:某个基于http协议的攻击含有abc特征,假如此数据分散在若干个数据包中,如:一个数据包含a,另外一个包含b,另外一个包含c,则单纯的模式匹配就无法检测,只有基于数据流重组才能完整检测。目前入侵检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。
最好的香港空间
如何增强网站的吸引力?根据功能定位来进行网站结构搭建的建议
服务器杀毒软件是不是一定要装?
浅谈网站外链建设中的一些技巧
做好广州网站设计要考虑哪些因素?
网站模板:公司建站要做好目标定位
SEO优化如何才能很好的稳定关键词排名?
SEOers成长记:四疗程