| 词条 | 特征检测 |
| 释义 | 特征检测又称Misuse detection(误用检测),这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其检测方法上与计算机病毒的检测方式类似。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 基本简介IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet 进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应。在本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。 IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。 IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。现在市场上的IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包,形成DoS攻击。 技术特点大多数入侵检测系统都是采用特征检测这种技术,它的主要优点有:1 :容易实现:基于特征的入侵检测的计算模型比较容易实现。主要的匹配算法也都是成熟算法。因此实现上技术难点比较少。 2: 检测精确:对入侵特征的精确描述使入侵检测系统可以很容易将入侵辨别出来。同时,因为检测结果有明显的参照,可以帮助系统管理员采取相应的措施来防止入侵。 3:升级容易:不少基于特征检测的入侵检测系统都提供了自己的规则定义语言,当新的攻击或漏洞出现时,厂商或用户只要根据该攻击或漏洞的特征编写对应的规则,就可以升级系统。 发展历程随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经 不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。 IDS与网络交换设备联动,是指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,由此即产生了入侵防御系统(IPS)的概念。 IDS虽然存在一些缺陷,但换个角度我们看到,各种相关网络安全的黑客和病毒都是依赖网络平台进行的,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地保证安全。这样,网络设备与IDS设备联动就应运而生了。 简单地理解,可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能,力求做到一旦发现有攻击行为,立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中。除了IPS,也有厂商提出了IMS(入侵管理系统)。IMS是一个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。 发展方向检测和访问控制技术将共存共荣 以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。 防火墙是网关形式,要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通(传输)和断(阻隔)两个功能,所以其传输要求是非常高的。从这个意义上来讲,检测和访问控制技术将在一个较长的时期内更加关注其自身的特点,各自提高性能和可靠性,既不会由一方取代另一方,也不会简单的形成融合火狐技术。而IDS是一个以检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低。其对性能的追求主要在:抓包不能漏、分析不能错,而不是微秒级的快速结果。IDS由于较高的技术特征,所以其计算复杂度是非常高的。 检测和访问控制的协同是必然趋势 虽然检测技术和访问控制技术存在着一定程度的差异,但是两个技术的协同工作和在应用上的融合又是一个迫切的要求和必然趋势。安全产品的融合、协同、集中管理是网络安全的发展方向。大型企业需要一体化的安全解决方案,需要细力度的安全控制手段。中小企业一边希望能够获得切实的安全保障,一边又不可能对信息安全有太多的投入。从早期的主动响应入侵检测系统到入侵检测系统与防火墙联动,再到IPS和IMS,形成了一个不断完善的解决安全需求的过程。 如何进行技术融 合全局性的检测可以有效解决检测的准确率问题,但是同时带来的就是检测过程变长,局部速度不够快的问题。所以,面对一些局部事件和可以准确地判断出的问题,阻断后带来的负面效应相对较少,针对其检测可以比较快速的时候,IPS就是一个比较好的方案了。“集中检测,分布控制”这个观点对于如何看待检测技术和访问控制技术的走向是非常重要的。一个准确度不能完全令人满意的IDS,经过人工的分析可以变得准确。同样,经过大规模的IDS部署后的集中分析以及和其他检测类技术关联分析,可以获得更加精确的结果。这样局部的事件检测就向全局性的事件检测方向发展。根据全局性的检测结果就可以进行全局性的响应和控制。 因此,单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的,提高企业的网络安全意识,加大整体防范网络入侵和攻击的能力,并在此基础上形成一支高素质的网络安全管理专业队伍,及时准确地应对各式各样的网络安全事件,才能从根本上解决我们面临的威胁和困扰。 不可否认的是,人的因素仍然是网络安全管理的决定因素,网络安全最薄弱的环节也并不是系统漏洞,而是人的漏洞。安全问题的核心问题就是人的问题。因为一切不安全的因素全来自人(或者说一部分人)。那么我们与信息网络安全威胁的斗争,实际上是与人(或者说一部分人)的斗争,这样性质的斗争,自不待言,注定了它的艰巨性、复杂性和持久性。 相关检测方法一、无损检测内窥镜 /声发射 /x射线机 /超声波测厚仪 /超声波探伤仪 /涡流探伤仪 /应力测定仪 /荧光渗透检测 /磁粉探伤机 /磁记忆探伤 /CT检测视觉检测 /超声波检测仪 /热波检测 /水份探测仪 /测厚仪 /电磁探伤仪 /管道检测仪 /焊缝外观检测 /黑白密度计 /钢丝绳探伤仪 /金属分选仪 /金属探测仪 /裂纹检测仪 /散斑探伤仪 /紫外线灯 /其它NDT /探头 /退磁机 /射线防护 /射线剂量报警 /洗片机 /X射线选矿机 /γ射线机 二、物理测试铁素体测定仪 /镶嵌机 /制样机 /金相图像分析 /磨抛机 /切割机 /核子密度 /灰份仪 /金相显微镜 /晶体分析仪 /平震测试系统 /磁场测试仪 /中子水份仪 /衍射仪 /张力仪 /折光仪 /探矿磁力仪 三、力学测试布氏硬度计 /里氏硬度计 /邵氏硬度计 /显微硬度计 /洛氏硬度计 /测力仪 /超声硬度计 /肖氏硬度计 /扭矩测试仪 /张力计 /型砂硬度计 /药片硬度计 /齿轮硬度计 /多用硬度计 /内孔硬度计 /UCI硬度计 /合棉硬度试验 /韦氏硬度计 /维氏硬度计 /土壤硬度计 /应变计 四、化学分析RoSH指令 /碳硫分析仪 /元素分析仪 /分光光度计 /光谱仪 /合金分析仪 /气体分析仪 /测氧仪 /测油仪 /TOC分析仪 /能谱仪 /制样设备 /质谱仪 /浊度仪 /农药检测仪 /浓度计 /荧光光度计 /氨/氯胺分析 /氨氮分析仪 /比表面仪 /波谱仪 /测氡仪 /测汞仪 /测磷仪 /测氯仪 /测氢仪 /灰熔融性测定 /胶质层测定仪 /酒精检测仪 /镁稀土分析仪 /锰磷硅分析仪 /BOD测定仪 /热处理油测定 /熔点仪 /色谱仪 /闪点仪 /摄谱仪 检测类型1、实验测试:尽可能按照当地建筑规范标准的要求由第三方检测机构独立进行测试 2、现场检测:由第三方检测机构派遣自己的检察人员进行检测 3、工厂生产控制:按照 ISO的标准和企业的产品标准以及当地建筑规范标准 验厂检测 即为按照一定的标准对工厂进行审核或评估。一般分为人权、品质、反恐验厂等等,企业“验厂”活动已经在中国的出口企业中铺开,接受跨国公司和中介机构“验厂”对我国出口生产企业,尤一、人权验厂 官方称为社会责任审核、社会责任稽核、社会责任工厂评估等等。其又分为企业社会责任标准认证和客户方标准审核。这种“验厂”主要通过两种方式推行。 其中还包括服装,家纺,玩具,电子,文具,等各种检测验厂,也可以称作认证检测。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。