Yachtqi
级别: 管理员
精华:
2
发帖: 391
威望: 398 点
金钱: 3776 RMB
贡献值: 0 点
注册时间:2006-10-09
最后登录:2008-10-13
|
入侵检测
什么是入侵检测?
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管
能理力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干个关键点收集信息,并分析这些信息,看看网络中是否有违
反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,
在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作
的实时保护。这些都通过它执行以下任务来实现:
· 系统构造和弱点的审计;
· 监视、分析用户及系统活动;
· 识别已知进攻的活动模式并向相关人士报警;
· 异常行为模式的统计分析;
· 评估重要系统和数据文件的完整性;
· 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程
序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的
一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入
侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发
现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
--------------------------------------------------------------------------------
信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态及其行
为。而且,还需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信
息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有
可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利
用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这
些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功
能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一
个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定 文件的文件(黑客
隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特
别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。
|
|
|
[楼 主]
|
Posted: 2007-02-09 03:52 |
| |
»
您尚未 登录
注册
| 社区服务
| 帮助
| 社区
| 无图版
承德互联 
