¿Cuál es la diferencia entre seguridad de la red y de la información y seguridad de la información?

La seguridad de la información se refiere a la protección del hardware, el software y los datos de la red de información en el sistema contra daños, alteraciones o fugas accidentales o maliciosas. El sistema opera de manera continua, confiable y normal sin interrumpir los servicios de información.

La seguridad de la información es una disciplina integral que involucra ciencias de la computación, tecnología de redes, tecnología de comunicación, tecnología de criptografía, tecnología de seguridad de la información, matemáticas aplicadas, teoría de números, teoría de la información y otras disciplinas.

En términos generales, todas las tecnologías y teorías relacionadas con la confidencialidad, integridad, disponibilidad, autenticidad y controlabilidad de la información en la red son las áreas de investigación de la seguridad de la red.

El objetivo de la seguridad de la información

Autenticidad: Determinar la fuente de información e identificar información de fuentes falsificadas.

◆Confidencialidad: asegúrese de que la información confidencial no sea escuchada a escondidas; de lo contrario, los espías no podrán comprender el verdadero significado de la información.

◆Integridad: garantice la coherencia de los datos y evite que usuarios ilegales manipulen los datos.

Disponibilidad: garantizar que a los usuarios legítimos no se les niegue de manera inapropiada el acceso a la información y los recursos.

No repudio: Es de suma importancia establecer un mecanismo de responsabilidad efectivo para evitar que los usuarios nieguen sus acciones.

Controlabilidad: Capacidad de controlar la difusión de la información y el contenido.

Inspectabilidad: proporciona bases y medios para investigar problemas de seguridad de red emergentes.

Principales amenazas a la seguridad de la información

◆Robo: Los usuarios ilegales obtienen información sensible mediante escuchas de datos.

◆Interceptación: los usuarios ilegales primero obtienen información y luego la envían al destinatario real.

◆Falsificación: Enviar información falsificada al destinatario.

◆Manipulación: los usuarios ilegales modifican la información de comunicación entre usuarios legítimos y luego la envían al destinatario.

Ataque de denegación de servicio: Ataque al sistema de servicio, provocando la parálisis del sistema e impidiendo que los usuarios legítimos obtengan servicios.

◆Denegación de conducta: Los usuarios legítimos niegan la conducta que se ha producido.

◆Acceso no autorizado: Uso de la red o recursos informáticos sin autorización del sistema.

◆Propagación de virus: Los virus informáticos que se propagan a través de Internet son muy destructivos y difíciles de prevenir para los usuarios.

Principales fuentes de amenazas a la seguridad de la información

◆Desastres naturales y accidentes;

◆Delincuencia informática;

◆Errores humanos, como Conciencia de seguridad deficiente e inadecuada;

◆ Comportamiento de "hacker";

◆Fuga interna;

◆Fuga externa;

◆Información Perdido;

Espionaje electrónico, como análisis de flujo de información, robo de información, etc. ;

◆Guerra de información;

◆Las fallas del protocolo de red en sí, como los problemas de seguridad del protocolo TCP/IP.

Estrategia de Seguridad de la Información

La política de seguridad de la información se refiere a las reglas que se deben seguir para garantizar un determinado nivel de protección de la seguridad. Lograr la seguridad de la información no solo depende de tecnología avanzada, sino que también requiere una gestión de seguridad estricta, restricciones legales y educación en seguridad:

La tecnología de seguridad de la información avanzada es la garantía fundamental de la seguridad de la red. Los usuarios evalúan las amenazas que enfrentan, deciden el tipo de servicios de seguridad que necesitan, seleccionan el mecanismo de seguridad correspondiente y luego integran tecnologías de seguridad avanzadas para formar un sistema de seguridad integral;

◆Gestión de seguridad estricta. Todos los usuarios, empresas y unidades de redes informáticas deben establecer las medidas correspondientes de gestión de la seguridad de la red, fortalecer la gestión interna, establecer sistemas apropiados de gestión de la seguridad de la red, fortalecer la gestión de usuarios y la gestión de autorizaciones, establecer sistemas de seguimiento y auditoría de seguridad y mejorar la conciencia general sobre la seguridad de la red < /; p>

◆Promulgar leyes y regulaciones estrictas. Las redes informáticas son algo nuevo. Muchos de sus comportamientos son ilegales y rebeldes, lo que lleva al desorden de los delitos informáticos en Internet. Ante los delitos cibernéticos cada vez más graves, es necesario establecer leyes y regulaciones relacionadas con la seguridad cibernética para que los delincuentes se sientan intimidados por la ley y no se atrevan a actuar precipitadamente.

Principales cuestiones involucradas en la seguridad de la información

◆Ataques a la red y problemas de detección y prevención de ataques

◆Vulnerabilidades de seguridad y contramedidas de seguridad

◆ Cuestiones de seguridad y confidencialidad de la información

◆La seguridad interna del sistema.

◆Problemas antivirus

◆Problemas de copia de seguridad y recuperación de datos y problemas de recuperación ante desastres.

Introducción a la tecnología de seguridad de la información

Los productos de seguridad que actualmente son populares en el mercado y que pueden representar la dirección de desarrollo futuro incluyen los siguientes tipos:

◆Firewall : Firewall En cierto sentido, se puede decir que es un producto de control de acceso. Establece una barrera entre la red interna y la red externa insegura para evitar el acceso ilegal a los recursos internos desde el exterior y el acceso inseguro desde el interior al exterior. Las principales tecnologías son: tecnología de filtrado de paquetes, tecnología de puerta de enlace de aplicaciones y tecnología de servicio de proxy. Los cortafuegos pueden impedir eficazmente que los piratas informáticos utilicen servicios inseguros para atacar la red interna y pueden monitorear, filtrar, registrar e informar flujos de datos para cortar mejor la conexión entre la red interna y la red externa. Pero puede tener sus propios problemas de seguridad y ser un posible cuello de botella.

◆Enrutador seguro: dado que la conexión WAN requiere un equipo de enrutador especializado, la transmisión de red se puede controlar a través del enrutador. La tecnología de lista de control de acceso se utiliza comúnmente para controlar el flujo de información de la red.

◆Red privada virtual (VPN): la red privada virtual (VPN) utiliza tecnología de cifrado de datos y tecnología de control de acceso para realizar la comunicación entre dos o más intranets confiables en una red de datos pública de Internet. La construcción de una VPN generalmente requiere el uso de un enrutador o firewall con capacidades de cifrado para lograr una transmisión confiable de datos a través de canales públicos.

◆Servidor de seguridad: El servidor de seguridad está dirigido principalmente a la seguridad del almacenamiento y transmisión de información dentro de una LAN. Sus funciones incluyen la gestión y control de los recursos de la LAN, la gestión de usuarios en la LAN y la gestión de los mismos. Auditoría y gestión de todos los eventos relacionados con la seguridad en la pista LAN.

Agencia de visas electrónicas: productos CA y PKI: La agencia de visas electrónicas (CA) actúa como un tercero para la comunicación y proporciona servicios de autenticación confiables para diversos servicios. CA puede emitir certificados de visa electrónicos a los usuarios y proporcionarles autenticación de membresía, administración de claves y otras funciones. Los productos PKI pueden proporcionar más funciones y mejores servicios y se convertirán en un componente central de la infraestructura informática para todas las aplicaciones.

◆Productos de autenticación de usuario: debido a la madurez y mejora de la tecnología de tarjetas IC, entre los productos de autenticación de usuarios, las tarjetas IC se utilizan más ampliamente para almacenar las claves privadas personales de los usuarios y se combinan con otras tecnologías como la dinámica. contraseñas, identifican efectivamente la identidad del usuario. Al mismo tiempo, el mecanismo de firma digital se puede realizar combinando la clave privada personal de la tarjeta IC con la tecnología de firma digital. Con el desarrollo de la tecnología de reconocimiento de patrones, también se utilizarán tecnologías de reconocimiento avanzadas como huellas dactilares, retinas y rasgos faciales. En combinación con tecnologías existentes como las firmas digitales, la autenticación e identificación de las identidades de los usuarios será más completa.

◆Centro de gestión de seguridad: dado que hay tantos productos de seguridad en Internet y están distribuidos en diferentes ubicaciones, es necesario establecer un mecanismo y equipo de gestión centralizado, es decir, un centro de gestión de seguridad. Se utiliza para distribuir claves a los equipos de seguridad de la red, monitorear el estado operativo de los equipos de seguridad de la red y recopilar información de auditoría de los equipos de seguridad de la red.

◆Sistema de detección de intrusiones (IDS): como complemento eficaz de los mecanismos de protección tradicionales (como control de acceso y reconocimiento de identidad), la detección de intrusiones forma una cadena de retroalimentación indispensable en los sistemas de información.

◆Base de datos segura: dado que una gran cantidad de información se almacena en bases de datos informáticas, parte de la información es valiosa y confidencial y debe protegerse. Una base de datos segura garantiza la integridad, confiabilidad, validez, confidencialidad, auditabilidad, control de acceso e identificación de los usuarios de la base de datos.

◆Sistema operativo seguro: proporciona una plataforma operativa segura para servidores clave en el sistema, formando servicios WWW seguros, servicios FTP seguros, servicios SMTP seguros, etc. y sirven como una base sólida para que varios productos de seguridad de red garanticen su propia seguridad.

Materiales de referencia:

/safemate/renshi.htm

/view/17249.htm

A través de lo anterior, comprenderá el Seguridad de la información, a continuación les hablaré sobre seguridad de redes y confianza, que es un tema profesional. Un amigo mío se especializa en seguridad de redes e información. (Solo se puede decir lo siguiente). Supongo que la seguridad de la información y las redes es una rama de la seguridad de la información.

Tecnologías clave para la seguridad de la información en la red (continuación)

En los últimos años, la tecnología de Internet se ha vuelto cada vez más madura y ha comenzado a evolucionar desde la Internet de primera generación cuyo principal objetivo es proporcionar y garantizar conexiones de red. Transición tecnológica a la segunda generación de tecnología de Internet caracterizada por la provisión de servicios de información y datos de red. Al mismo tiempo, después de años de vacilación y espera, decenas de miles de empresas comerciales y agencias gubernamentales se han dado cuenta de que el uso de la tecnología de Internet para hacer de las redes de comunicación de datos empresariales una extensión de Internet se ha convertido en una tendencia de desarrollo. Esto ha permitido que las redes de datos empresariales se transformen rápidamente desde la tecnología de segunda generación, caracterizada por líneas dedicadas cerradas y redes privadas, a la red de información empresarial de tercera generación basada en tecnología de interconexión a Internet. Estos han promovido el uso rápido y a gran escala de la tecnología de interconexión de redes informáticas.

Como todos sabemos, como la red de información más utilizada en el mundo, la apertura del protocolo de Internet ha facilitado enormemente la conexión en red de varias computadoras y ha ampliado * * * recursos. Sin embargo, debido a que se descuidaron las cuestiones de seguridad en el diseño de los primeros protocolos de red y a la anarquía en su uso y gestión, la seguridad de Internet misma se ha visto gradualmente seriamente amenazada y con frecuencia se han producido incidentes de seguridad relacionados. Las amenazas a la seguridad de la red incluyen principalmente: acceso no autorizado, hacerse pasar por usuarios legítimos, destruir la integridad de los datos, interferir con el funcionamiento normal del sistema, utilizar la red para propagar virus, interceptar líneas, etc. Esto requiere que prestemos suficiente atención a los problemas de seguridad que plantea la interconexión con Internet.

Firewall

- "Firewall" es una importante tecnología de seguridad desarrollada en los últimos años. Su característica es establecer un sistema de monitoreo de comunicación de red correspondiente en el límite de la red para lograr el propósito de garantizar. seguridad de la red. La tecnología de seguridad del firewall supone que la red protegida tiene límites y servicios claros, y que las amenazas a la seguridad de la red solo provienen de la red externa, y luego monitorea, restringe y cambia el flujo de datos que pasa a través del "firewall" para minimizar la información y la estructura del Red protegida Protegida de la red externa para lograr protección de seguridad de la red.

- La tecnología "Firewall" es un método para mejorar la seguridad de la red aislando la topología de la red y los tipos de servicios. Los objetos que protege son bloques de red con límites claros y cerrados en la red. El objetivo es evitar amenazas a la seguridad de la red desde fuera del bloque de red protegido. El llamado "firewall" es un sistema que rodea la red protegida y utiliza tecnologías apropiadas para aislar la red protegida de las redes externas. Se puede ver que la tecnología de firewall es más adecuada para su uso en redes privadas empresariales, especialmente cuando la red privada empresarial está interconectada con la red pública.

-La construcción de un "firewall" se basa en un análisis cuidadoso de las funciones y la topología del servicio de la red, y en la integración de software, hardware y medidas de administración especializados alrededor de la red protegida para monitorear y monitorear la información a través de los límites de la red. de control o incluso de modificación. Las principales tecnologías para implementar firewalls son el filtrado de paquetes, las puertas de enlace de aplicaciones y los servidores proxy. Sobre esta base, una topología de red razonable y el uso adecuado de las tecnologías relacionadas (en términos de ubicación y configuración) también son factores importantes para garantizar el uso eficaz de los cortafuegos.

Tecnología de seguridad de red cifrada

-En términos generales, la implementación de la seguridad del sistema de red se puede dividir en dos categorías: sistema de defensa pasiva representado por tecnología de firewall y cifrado de datos y basado en el usuario. Sistema de seguridad de red abierta con mecanismo de confirmación de autorización.

-La tecnología de seguridad abierta basada en el cifrado de datos y la confirmación del usuario es universalmente aplicable, tiene poco impacto en los servicios de red y se espera que se convierta en la solución integrada definitiva para los problemas de seguridad de la red. Esta tecnología se caracteriza por el uso de tecnología moderna de cifrado de datos para proteger todos los flujos de datos en el sistema de red, incluidos los datos del usuario.

Sólo los usuarios o dispositivos de red designados pueden interpretar datos cifrados, resolviendo así fundamentalmente las dos principales necesidades de seguridad de la red (disponibilidad de servicios de red e integridad de la información) sin imponer requisitos especiales para el entorno de red. Este tipo de tecnología generalmente no requiere el soporte de una topología de red especial, por lo que el costo de implementación se refleja principalmente en el desarrollo de software y la operación y mantenimiento del sistema. Este método no requiere la seguridad de la ruta de la red durante la transmisión de datos (por lo que no se verá afectada), logrando así verdaderamente una seguridad de extremo a extremo durante la comunicación de la red. Actualmente, existen bastantes sistemas de seguridad de este tipo implementados de diferentes maneras. Sin embargo, dado que la mayoría de los algoritmos de cifrado de datos se originaron en los Estados Unidos y están restringidos por las leyes de control de exportaciones de ese país, no se pueden utilizar a gran escala en Internet, que se caracteriza por la internacionalización. Por lo tanto, los sistemas implementados utilizando este método se limitan principalmente al nivel de software de aplicación. Las redes utilizadas e implementadas a nivel de red son generalmente relativamente pequeñas, lo que limita la aparición de soluciones integrales de seguridad de red basadas en ellas. Sin embargo, se prevé que este sistema de garantía de seguridad de la red se convertirá en la principal forma de lograr la seguridad de la red en los próximos 3 a 5 años.

-1. Clasificación

La tecnología de cifrado de datos se puede dividir en tres categorías, a saber, cifrado simétrico, cifrado asimétrico y cifrado irreversible.

El cifrado simétrico utiliza una única clave para cifrar o descifrar datos. Se caracteriza por una pequeña cantidad de cálculo y una alta eficiencia de cifrado. Sin embargo, este algoritmo es difícil de usar en sistemas distribuidos, principalmente debido a la dificultad en la administración de claves, el alto costo de uso y la dificultad en el desempeño de la seguridad. El representante de este tipo de algoritmo es el algoritmo DES (Digital Encryption Standard), que se utiliza ampliamente en sistemas de red específicos de computadoras.

-El algoritmo de cifrado asimétrico, también conocido como algoritmo de clave pública, se caracteriza por dos claves (es decir, clave pública y clave privada). Solo cuando los dos se usan juntos se puede completar todo el proceso de cifrado y descifrado. Dado que el algoritmo asimétrico tiene dos claves, es particularmente adecuado para el cifrado de datos en sistemas distribuidos y se ha utilizado ampliamente en Internet. Entre ellos, la clave pública se publica en Internet y la fuente de datos la utiliza para cifrar los datos, mientras que el destinatario de los datos conserva adecuadamente la clave privada correspondiente utilizada para descifrarlos.

-Otro uso del cifrado asimétrico se denomina "firma digital", donde la fuente de datos utiliza su clave para cifrar la suma de comprobación u otras variables relacionadas con el contenido de los datos mientras se reciben los datos. La parte utiliza el público correspondiente. clave para interpretar la "firma digital" y utiliza los resultados de la interpretación para comprobar la integridad de los datos. Los algoritmos de cifrado asimétrico utilizados en los sistemas de red incluyen el algoritmo RSA y el algoritmo DSA propuestos por la Oficina Nacional de Estándares. A lo que se debe prestar atención al aplicar cifrado asimétrico en sistemas distribuidos es a cómo gestionar y confirmar la legitimidad de la clave pública.

La característica del algoritmo de cifrado irreversible es que el proceso de cifrado no requiere una clave y los datos cifrados no se pueden descifrar. El mismo algoritmo de cifrado irreversible solo puede obtener los mismos datos de entrada. El algoritmo de cifrado irreversible no presenta el problema del almacenamiento y distribución de claves y es adecuado para su uso en sistemas de redes distribuidas. Sin embargo, su carga de trabajo de cálculo de cifrado es bastante grande, por lo que generalmente se usa para el cifrado cuando los datos son limitados, como contraseñas en sistemas informáticos. En los últimos años, con la mejora continua del rendimiento del sistema informático, la aplicación del cifrado irreversible ha aumentado gradualmente. El algoritmo MD5 inventado por RSA y el Estándar de cifrado seguro irreversible (SHS) propuesto por la Oficina Nacional de Estándares de Estados Unidos se utilizan ampliamente en redes informáticas.

-2. Aplicación

La tecnología de cifrado se utiliza generalmente para la seguridad de la red de dos formas: servicios orientados a la red o orientados a aplicaciones.

El primero suele funcionar en la capa de red o capa de transporte, utilizando la información requerida por los protocolos de red, como la transmisión de paquetes de datos cifrados y el enrutamiento de red autenticado, para garantizar que la conectividad y disponibilidad de la red no se vean comprometidas. Las técnicas de cifrado implementadas en la capa de red suelen ser transparentes para los usuarios de la capa de aplicación de red. Además, con mecanismos de gestión de claves adecuados, este método también se puede utilizar para establecer redes privadas virtuales en la Internet pública para garantizar la seguridad de la información en la red privada virtual. El protocolo SKIP es el resultado de los recientes esfuerzos del IETF en esta área.

-La tecnología de cifrado orientada a servicios para aplicaciones de red es actualmente la tecnología de cifrado más popular, como Telnet, NFS, Rlogin que utiliza el servicio Kerberos y PEM (Privacy Enhanced Mail) y PGP (equivalente) para el cifrado de correo electrónico. . buena privacidad). La ventaja de esta tecnología de cifrado es que es relativamente sencilla de implementar, no requiere requisitos especiales para el rendimiento de seguridad de la red a través de la cual pasa la información electrónica (paquetes de datos) y logra seguridad de extremo a extremo para los datos del correo electrónico.

Tecnología de escaneo de vulnerabilidades

El escaneo de vulnerabilidades es una tecnología que detecta automáticamente vulnerabilidades de seguridad del host local o remoto. Consulta el puerto TCP/IP, registra la respuesta del objetivo y recopila información útil sobre algunos proyectos específicos, como servicios en curso, usuarios propietarios de estos servicios, si se admite el inicio de sesión anónimo y si algunos servicios de red requieren autenticación. Las implementaciones específicas de esta tecnología son los escáneres de seguridad.

-Los primeros escáneres se escribieron específicamente para sistemas Unix, pero eso cambió más tarde. Muchos sistemas operativos ahora admiten TCP/IP, por lo que los escáneres aparecen en casi todas las plataformas. Los escáneres desempeñan un papel muy importante en la mejora de la seguridad en Internet.

-Existen cientos de vulnerabilidades de seguridad conocidas en cualquier plataforma existente. Probar manualmente un solo host para detectar estas vulnerabilidades llevaría días. Durante este tiempo, debe buscar, compilar o ejecutar el código constantemente. Este proceso debe repetirse cientos de veces, es lento, laborioso y propenso a errores. Estos esfuerzos sólo completaron la detección de un único host. Para empeorar las cosas, después de probar un host, una gran cantidad de datos quedan sin un formato unificado. Después de las pruebas manuales, se necesitan varios días para analizar los datos de estos cambios. El escáner puede solucionar estos problemas en muy poco tiempo. Los desarrolladores de escáneres utilizan los métodos de ataque comunes disponibles y los integran en el análisis general. Los resultados de salida están en un formato unificado para facilitar su referencia y análisis.

Como se puede ver en los hechos anteriores, un escáner es una herramienta poderosa que se puede utilizar para recopilar datos preliminares para una auditoría. Como una escopeta, puede encontrar de forma rápida y sencilla vulnerabilidades conocidas en un área amplia.

-En términos de desarrollo de programas de escaneo, existen docenas de programas de escaneo, algunos de los cuales son rápidos, de tamaño pequeño y pueden realizar muy bien una sola función, algunos de ellos tienen funciones completas; , interfaces amigables y una vez famoso. Los escáneres que todavía se utilizan ampliamente en la actualidad incluyen NSS, Strobe, Satan, Ballista, Jakal, IdentTCPscan, Ogre, WebTrends Security Scanner, CONNECT, FSPScan, XSCAN e ISS.

Tecnología de detección de intrusiones

Se ha descubierto que no basta con construir un sistema de seguridad desde una perspectiva de defensa. Por lo tanto, la gente comenzó a buscar otras formas de complementar la protección de la seguridad de la red, y los temas de investigación de evaluación de vulnerabilidades del sistema y detección de intrusiones surgieron a medida que los tiempos lo exigían. La detección de intrusiones se puede definir como el proceso de identificar y responder a usos maliciosos de los recursos informáticos y de red. No sólo detecta intrusiones desde el exterior, sino que también hace referencia a actividades no autorizadas por parte de usuarios internos. La detección de intrusiones aplica estrategias tanto ofensivas como defensivas, y los datos que proporciona no sólo pueden usarse para descubrir usuarios legítimos que abusan de sus permisos, sino que también pueden proporcionar evidencia efectiva hasta cierto punto para responsabilizar legalmente a los intrusos.

-Desde principios de la década de 1980, algunas instituciones y escuelas de investigación extranjeras han comenzado a estudiar la clasificación de la vulnerabilidad del sistema, como el Instituto de Ciencias de la Información, el Laboratorio Nacional Lawrence Livermore y la Universidad de California, la Universidad Davis de Southampton. Laboratorio de Seguridad Informática. La investigación sobre la vulnerabilidad de los sistemas se debe a la rápida expansión de Internet, por un lado, y al aumento de la detección de intrusos, por el otro. También hay muchas instituciones de investigación que realizan detección de intrusiones, incluido el Laboratorio de Ciencias de la Computación del Instituto de Investigación de Stanford (Sri/CSL). El grupo de investigación Coast (Auditoría de operaciones informáticas y tecnología de seguridad) de la Universidad Purdue y el Laboratorio Nacional Lawrence Livermore del Departamento de Energía de EE. UU. En la actualidad, la investigación sobre las vulnerabilidades del sistema aún no está madura, porque la cobertura de las vulnerabilidades del sistema es muy amplia y continúa aumentando. La clasificación de las vulnerabilidades también se desarrollará y complementará en consecuencia a medida que se descubran nuevas vulnerabilidades, por lo que es un proceso dinámico. .

Además, diferentes propósitos requieren diferentes métodos de clasificación. La investigación sobre detección de intrusiones, desde el análisis temprano de datos de seguimiento de auditoría hasta los sistemas de detección de intrusiones en tiempo real, se ha convertido básicamente en una disciplina con cierta escala y teorías correspondientes.

(1) Desde la perspectiva de los métodos de detección específicos, los sistemas de detección se dividen en dos categorías: basados ​​en el comportamiento y basados ​​en el conocimiento.

-La detección basada en el comportamiento se refiere a juzgar si se ha producido una intrusión en función del comportamiento del usuario o del nivel normal de uso de recursos, sin depender de si se ha producido un comportamiento específico, es decir, establecer la referencia A. Biblioteca que detecta el comportamiento normal del sistema y busca un comportamiento anormal que se desvíe de la biblioteca de referencia comparándolo con el comportamiento actual. Por ejemplo, si un usuario que normalmente usa una computadora durante el día de repente se registra e inicia sesión a medianoche, se considera un comportamiento anormal y puede ser aprovechado por intrusos. La detección basada en el comportamiento también se denomina detección de anomalías.

La detección basada en conocimiento se refiere al uso de métodos de ataque conocidos y basados ​​en patrones de intrusión definidos para determinar si estos patrones de intrusión ocurren. Dado que una gran parte de las intrusiones aprovechan la vulnerabilidad del sistema, los síntomas del comportamiento de la intrusión se describen en detalle analizando las características, condiciones, disposición de los eventos durante el proceso de intrusión y la relación entre los eventos. Estas señales no sólo ayudan a analizar la intrusión que ya ha ocurrido, sino que también sirven como advertencia para la próxima intrusión, porque siempre que estas señales se cumplan parcialmente, significa que puede haber una intrusión. La detección basada en el conocimiento también se denomina detección de uso indebido.

(2) Según la diferencia en los datos sin procesar analizados por el sistema de detección, la detección de intrusiones se puede dividir en dos tipos: registros del sistema y paquetes de red.

-El archivo de registro del sistema operativo contiene información detallada del usuario y datos de llamadas al sistema, a partir de los cuales se puede analizar información de auditoría, como si el sistema ha sido invadido y los rastros dejados por el intruso. Con la popularidad de Internet, los paquetes de datos de red se han convertido gradualmente en una fuente eficaz y directa de datos de detección, porque los paquetes de datos también contienen información del usuario. Las primeras investigaciones sobre detección de intrusiones se centraron principalmente en el análisis de archivos de registro de sistemas host. Dado que los objetos de usuario están limitados a usuarios locales, con la popularización de las redes distribuidas a gran escala, los usuarios pueden iniciar sesión desde diferentes clientes al azar y los hosts a menudo necesitan intercambiar información. Especialmente con el uso generalizado de Internet, según las estadísticas, la mayoría de las intrusiones se producen en la red. De esta manera, el alcance de los objetivos de detección de intrusiones también se amplía a toda la red.

-En los sistemas reales existentes, se puede dividir en detección en tiempo real y detección periódica según las características operativas del sistema. Se puede dividir en tipos activos y pasivos según se tomen las medidas correspondientes. después de detectar una intrusión. La clasificación de los sistemas de detección de intrusiones se puede representar mediante la siguiente figura:

-Lo anterior es sólo una breve introducción a algunas tecnologías de seguridad de la información de la red. De esto se desprende que la lucha contra los piratas informáticos es un proceso en el que "el camino es más alto y el diablo es más alto". Especialmente el año pasado, el comportamiento de los piratas informáticos se ha vuelto más organizado y a gran escala, y su nivel técnico en general ha mejorado mucho. Si desea mantenerse proactivo en esta lucha de compensaciones, debe mantener un equipo profesional, rastrear la tecnología de los piratas informáticos, estudiar sus características de comportamiento, proponer sus propias teorías y métodos anti-piratas informáticos y mejorar eficazmente la gestión y la gestión del sistema a través de Investigación en profundidad sobre el nivel de aplicación de la tecnología hacker.