入侵检测和入侵容忍的区别.docx

入侵检测和入侵容忍的区别入侵检测入侵检测(IntrusionDetection)是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测技术是一种利用入侵者留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测与控制为技术本质，起着主动防御的作用，是网络安全中极其重要的部分。本文将简要介绍入侵检测技术的工作原理、分类、功能结构以及发展现状。入侵检测可分为实时入侵检测和事后入侵检测两种入侵检测系统能够增强网络的安全性，它的优点：1.能够使现有的安防体系更完善；2.能够更好地掌握系统的情况；3.能够追踪攻击者的攻击线路；4.界面友好，便于建立安防体系5.能够抓住肇事者。入侵检测系统不是万能的，它同样存在许多不足之处：1.不能够在没有用户参与的情况下对攻击行为展开调查；2.不能够在没有用户参与的情况下阻止攻击行为的发生；3.不能克服网络协议方面的缺陷；4.不能克服设计原理方面的缺陷；5.响应不够及时，签名数据库更新得不够快。经常是事后才检测到，适时性不好。入侵容忍入侵容忍技术(IntrusionToleranceTechnology),是国际上流行的第三代网络安全技术，隶属于信息生存技术的范畴，卡耐基梅隆大学的学者给这种生存技术下了一个定义：所谓“生存技术”就是系统在攻击、故障和意外事故已发生的情况下，在限定时间内完成使命的能力。它假设我们不能完全正确地检测对系统的入侵行为，当入侵和故障突然发生时，能够利用“容忍”技术来解决系统的“生存”问题，以确保信息系统的保密性、完整性、真实性、可用性和不可否认性。无数的网络安全事件告诉我们，网络的安全仅依靠“堵”和“防”是不够的。入侵容忍技术就是基于这一思想，要求系统中任何单点的失效或故障不至于影响整个系统的运转。由于任何系统都可能被攻击者占领，因此，入侵容忍系统不相信任何单点设备。入侵容忍可通过对权力分散及对技术上单点失效的预防，保证任何少数设备、任何局部网络、任何单一场点都不可能做出泄密或破坏系统的事情，任何设备、任何个人都不可能拥有特权。因而，入侵容忍技术同样能够有效地防止内部犯罪事件发生。入侵容忍技术的实现主要有两种途径。第一种方法是攻击响应，通过检测到局部系统的失效或估计到系统被攻击，而加快反应时间，调整系统结构，重新分配资源，使信息保障上升到一种在攻击发生的情况下能够继续工作的系统。可以看出，这种实现方法依赖于“入侵判决系统”是否能够及时准确地检测到系统失效和各种入侵行为。另一种实现方法则被称为“攻击遮蔽”，技术。就是待攻击发生之后，整个系统好像没什么感觉。该方法借用了容错技术的思想，就是在设计时就考虑足够的冗余，保证当部分系统失效时，整个系统仍旧能够正常工作。区别入侵容忍系统的主要实现机制有：安全通信机制、入侵检测机制、入侵遏制机制、错误处理机制和数据转移机制。其中入侵检测机制是对网络中潜在的或正在进行的攻击进行实时监测、相应。主要有异常检测和滥用检测两种检测方法，目前已经发展到分布式入侵检测阶段，可用来检测大规模网络环境下的协同攻击。入侵容忍基本思想不是设法阻止错误，而是容忍错误、使系统维持生存。而入侵检测系统则是在错误发生之前检测到，并防止错误的发生。在复杂的网络环境下，越来越多的入侵及攻击是通过跨越多个终端或工作站协同发生的，因此在这种情况下，单一的入侵检测则往往显得束手无策。以往入侵检测系统有对法有效识别分布式协同攻击以及在入侵后无法提供恢复系统线索的弊端，而基于入侵容忍的入侵检测系统的提出，克服了这些弊端，能及时预测、发现复杂攻击，并在容忍攻击的情况下，保证系统能最低限度的提供关键性服务，边服务边修复系统。