入侵检测技术

摘要:入侵检测(Intrusion Detection),顾名思义,即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须能将得到的数据进行分析,并得出有用的结果。

关键词:入侵;检测;入侵检测系统;ISS RealSecure

中***分类号:TP393文献标识码:A文章编号:1009-3044(2008)22-626-02

Intrusion Detection Technology

LI Peng-cheng

(Gaoyou Radio and Television Situation,Yangzhou 225600,China)

Abstract:Intrusion Detection (Intrusion Detection), as its name suggests, that is, the invasion of that. Its computer network or computer systems in a number of key points to collect information, through the analysis of such information to identify the network or system whether there is a breach of security policy and the conduct of the signs of being attacked. For intrusion detection software and hardware combination is the Intrusion Detection System (Intrusion Detection System, called IDS). And other security products different is that the intrusion detection system needs more intelligence, it must be able to get the data for analysis and draw useful results.

Key words:invasion;detection;Intrusion Detection System;ISS RealSecure

1 前言

早期的IDS模型设计用来监控单一服务器,是基于主机的入侵检测系统;近期的更多模型则集中用于监控通过网络互连的多个服务器。

2 IDS的任务和作用

1) 监视、分析用户及系统活动;

2) 对系统构造和弱点的审计;

3) 识别和反应已知进攻的活动模式并向相关人士报警;

4) 异常行为模式的统计分析;

5) 评估重要系统和数据文件的完整性;

6) 操作系统的审计跟踪管理,识别用户违反安全策略的行为。

3 入侵检测过程

3.1 对信息的收集

1) 系统和网络日志文件

2) 目录和文件中的不期望的改变

3) 程序执行中的不期望行为

4) 物理形式的入侵信息

3.2 信号分析

1) 模式匹配的方法:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。这种分析方法也称为误用检测。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级模式库以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。

2) 统计分析的方法:统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。这种分析方法也称为异常检测。例如,统计分析时发现一个在晚八点至早六点从不登录的账户却在凌晨两点突然试***登录,系统认为该行为是异常行为。统计分析的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法有:基于专家系统的、基于模型推理的和基于神经网络的分析方法。

3) 完整性分析的方法:完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性的变化。完整性分析在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制(如:消息摘要函数),能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还是网络安全产品的重要组成部分。可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。

4 入侵检测系统

4.1 基于主机的入侵检测系统(***1)

这种类型的系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵,则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下,单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。

■ ■

***1基于主机的入侵检测系统 ***2 基于网络的入侵检测系统

这主要表现在以下四个方面:一是主机的审计信息弱点,如易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制。

4.2 基于网络的入侵检测系统(***2)

基于网络的IDS的优点是:

1) 服务器平立:基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。

2) 配置简单:基于网络的IDS环境只需要一个普通的网络访问接口。

3) 检测多种攻击:基于网络的IDS探测器可以监视多种多样的攻击包括协议攻击和特定环境的攻击,长于识别与网络低层操作有关的攻击。

4.3 分布式入侵检测技术(***3)

典型的入侵检测系统是一个统一集中的代码块,它位于系统内核或内核之上,监控传送到内核的所有请求。但是,随着网络系统结构复杂化和大型化,系统的弱点或漏洞将趋于分布化。另外,入侵行为不再是单一的行为,而是表现出相互协作的入侵特点,在这种背景下,产生了基于分布式的入侵检测系统。

5 入侵检测工具介绍

5.1 ISS BlackICE

BlackICE Server Protection 软件(以下简称BlackICE)是由ISS安全公司出品的一款著名的基于主机的入侵检测系统。该软件在九九年曾获得了PC Magazine的技术卓越大奖。专家对它的评语是:“对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络,它又增加了一层保护措施--它并不是要取代防火墙,而是阻止企***穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎,可以识别多种入侵技巧,给予用户全面的网络检测以及系统的保护。而且该软件还具有灵敏度及准确率高,稳定性出色,系统资源占用率极少的特点。

5.2 ISS RealSecure

RealSecure 2.0 for Windows NT是一种领导市场的攻击检测方案,它提供了分布式的安全体系结构。多个检测引擎可以监控不同的网络并向中央管理控制台报告。控制台与引擎之间的通信可以通过128bit RSA进行认证和加密。

RealSecure可以在NT、Solaris、SunOS和Linux上运行,并可以在混合的操作系统或匹配的操作系统环境下使用。对于一个小型的系统,可以将引擎和控制台放在同一台机器上运行。一个引擎可以向多个控制台报告,一个控制台也可以管理多个引擎。还可以对CheckPoint Software的Firewall-1重新进行配置。ISS还计划使其能对Cisco的路由器进行重新配置。RelSecure的优势在于其简洁性和低价格,引擎价格1万美元,控制台是免费的。

参考文献:

[1] 中国IT认证实验室.IDS入侵检测系统[EB/OL].(2002-12-13) [2008-03-10]./www/special/ciwids.asp.

[2] 能信世界. 入侵检测技术[EB/OL].(2005-06-03)./security/zhuanti/ids/.

入侵检测技术

转载请注明出处学文网 » 入侵检测技术

学习

煤制油技术发展综述

阅读(40)

众所周知,我国作为能源消耗的大国,随着社会经济的快速发展,对石油的消耗量每年与之俱增,导致国内石油供应紧张的局面出现,面对此现象,我国已通过多种多种渠道来解决此问题,其中煤制油就是很好的解决措施,既可以利用起来我国丰富的煤炭资源,一场不

学习

重阳节的由来

阅读(27)

本文为您介绍重阳节的由来,内容包括重阳节的由来幼儿园,重阳节的由来的。“九月九,饮菊酒,人共醉重阳。”重阳节是中华民族的传统节日。几千年来,历史赋予重阳节以深厚的文化底蕴。关于重阳节,民间有流传久远的神话传说。在重阳节,人们有赏菊

学习

英语角对英语学习的促进作用

阅读(24)

[摘要]随着世界经济的不断发展,经济全球化的速度越来越快,作为全世界的通用语言,英语的国际地位越来越高,人们对于英语的重视程度也在逐渐增高,它成为了人们生活和工作中必不可少的交流工具。英语是一门需要练习的语言,学习起来需要良好的语言

学习

威廉与凯特的秘密恋情

阅读(17)

引文一位是极具魅力的王子,有朝一日将会加冕为英格兰国王;一位是出身劳工阶层的平民,拥有绝世美貌,早早便赢得了他的心。然而他们却一直没有公开恋情。2003年1月,凯特在巴寇伯理的家中举办了一场规模很小的家庭聚会,以此来庆祝她的21岁生日。

学习

黄阳光 梦想的翅膀不会折断

阅读(44)

从无臂舞者成长为足画艺术家,他的人生充满了挑战和惊喜舞蹈《秧苗青青》,讲述的是一个无臂青年用双脚自力更生的真实故事:辽阔的田野被搬上了彩灯绚丽的舞台,舞台没有秧苗,一群象征秧苗的俏丽姑娘,围绕着这个从田间走来的小伙子,在他的照料下“

学习

富士康的触角

阅读(20)

5月7日,乐视董事长兼CEO贾跃亭一身黑衣,在北京召开了乐视TV的产品会。此次会,贾着重强调了“夏普、高通、CNTV及富士康”共同定制的概念。无疑,这种IT厂商惯用的做法一方面凸显了乐视TV的配置;另一方面,背后的大佬们也为乐视这个电视新兵做了

学习

黑衣壮:壮族民歌的“活化石”

阅读(24)

本文为您介绍黑衣壮:壮族民歌的“活化石”,内容包括壮族活化石的民歌,民间流传壮族民歌100首。“唱山歌,这边唱来那边合……”当这首《山歌好比春江水》在耳边响起时,大家可能都会随口哼上几句。广西是山歌的海洋,这首那坡过山腔山歌可谓是

学习

国世平:人民币FDI可缓解通胀压力

阅读(31)

(嘉宾介绍:深圳大学经济学院国际金融研究所所长)近日刊载于央行营业管理部(北京)网页上的《中国人民银行关于明确跨境人民币业务相关问题的通知》显示,外商直接投资人民币结算业务(即人民币FDI)已进入试点阶段。人民币FDI的试点工作会产生什么样

学习

学习型家庭有助于孩子成长

阅读(39)

家庭教育科学研究者发现,学习型的家庭对培养孩子的学习兴趣和学习能力很有帮助。父母热衷于学习,不仅可以提高自己的综合素质,而且对孩子有直接作用。即是说:学习型的家庭有助于孩子成长。请看几个个案:个案一:陈先生,个体经营者。我在旅游点开

学习

亲亲八宝粥市场现状分析

阅读(27)

[摘要]随着经济的快速增长,一些八宝粥品牌迅速崛起,有的老品牌逐渐淡出人们的视线。扬州欣欣食品有限公司所生产的亲亲八宝粥曾是国内八宝粥市场的第一品牌,在江苏省内有很高的知名度、美誉度。但是由于欣欣集团安于现状,导致亲亲八宝粥止

学习

土建施工中的资料管理

阅读(32)

工程资料是对于工程施工进行记载的重要记录,也是工程管理工作中的重要文件基础。真实、科学的工程资料,可以为工程日后的维修、扩建、管理等工作提供良好的依据。工程资料可以对于工程结构以及各种参数进行记录,可以有效的提高工程管理水平

学习

困难补助申请书范文

阅读(24)

困难补助申请书范文第1篇敬爱的校领导:您好,我是___班的___,出生在一个贫穷而落后的村庄。当我从村里怀着梦想走进这所学校时,我觉得一切都是那么美好,充满期待,很有动力,因为我可以通过自己的努力去赢得自己想要的,实现自己的人生价值。可一踏

学习

初中语文新课程标准创新

阅读(25)

新课程改革之后,初中语文教学也发生了较大的变化,传统的教育教学也不再适合语文教学,语文教学的创新和发展迫在眉睫。那么,在语文教学中该如何围绕新课程标准创新呢?本文笔者将从多个角度探讨初中语文教学方法的创新,以求更好的提升语文教学质

学习

诸时健 励志橙香漫橙园

阅读(56)

要问当下什么水果畅销到要从第一波预定排到下一次,非“褚橙”莫属——个头不算大,来头却不小。要想成为柳传志、王石、王健林这些顶级大腕口中令人折服的人,也许也只有他能荣登。他就是从“烟草大王”逆袭为“励志橙王”的诸时健。75岁二次

学习

浅析剩余电流保护器的原理及应用

阅读(17)

本文简单分析了剩余电流动作保护器的原理及作用,说明在建筑电气设计中不同用电场所如何正确的选择剩余电流保护器及采取与之相结合的等电位联结安全措施。关键词:剩余电流动作保护器;原理;选择;等电位联结一、剩余电流动作保护器(RCD)许多建筑

学习

声光控延时开关的工作原理及其应用分析

阅读(29)

本文为您介绍声光控延时开关的工作原理及其应用分析,内容包括声光控延时电路工作原理,声光控灯延时原理。结合自身多年的电气工程设计施工管理经验,对目前推出应用的声光控延时开关工作原理及应用进行了深入分析,提出了自己的一些见解,仅供

学习

液压冲击机械测试原理与方法及试验研究

阅读(47)

液压冲击器是液压冲击机械(如液压凿岩机、液压碎石机等)的关键部件,液压冲击器系统运动规律的研究与探索一直是人们关注的焦点。本文将分析液压冲击机械的几种工作性能参数的测试原理和测试方法,根据某一典型液压冲击机械液压控制系统原理,设

学习

浅谈精馏原理

阅读(43)

本文为您介绍浅谈精馏原理,内容包括高效旋转精馏机原理,精馏机原理。精馏是分离过程中的重要单元操作之一。所用设备主要包括精馏塔及再沸器和冷凝,利用混合物中各组分挥发能力的差异,通过液相和气相的回流,使气、液两相逆向多级接触,在热能

学习

燃气管道检测技术研究

阅读(21)

本文为您介绍燃气管道检测技术研究,内容包括燃气管道的完整性检测方法,工程燃气管道检测方法。进行燃气管道的相关检测有很多种不同的途径,因燃气管道需在特定时期内对其腐蚀度进行相关检测,从而对燃气管道潜存的风险与安全状态进行系统性

学习

数字签名原理及实现

阅读(43)

本文为您介绍数字签名原理及实现,内容包括数字签名的原理和作用,数字签名技术的实现过程。摘要:计算机和网络技术的迅猛发展使信息化成为现实的同时,也引入了信息安全问题。数字签名技术在身份认证、数据完整性等方面具有其它技术所无法

学习

硅片清洗原理与方法综述

阅读(33)

本文为您介绍硅片清洗原理与方法综述,内容包括硅片清洗机工作原理,硅片清洗研究现状。【摘要】文中首先就硅片清洗原理的硅片的表面状态与洁净度问题和吸附理论进行了探讨,在硅片清洗的常用方法与技术中分析了湿法化学清洗、干法清洗技术

学习

搜索引擎工作原理

阅读(25)

本文为您介绍搜索引擎工作原理,内容包括全文搜索引擎的工作原理,各大搜索引擎排名原理。■全文搜寻引擎在搜寻引擎分类部份咱们提到过全文搜寻引擎从网站提守信息树立网页数据库的概念。搜寻引擎的自动信息收集功能分两种。1种是按期搜