应知的网络知识与安全问题:[17]入侵检测

操作方法

  • 01

    入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络 系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭 击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络 进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实 现: · 监视、分析用户及系统活动; · 系统构造和弱点的审计; · 识别反映已知进攻的活动模式并向相关人士报警; · 异常行为模式的统计分析; · 评估重要系统和数据文件的完整性; · 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件 和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管 理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络 威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切 断网络连接、记录事件和报警等。 信息收集 入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且 ,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩 大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源 来的信息的不一致性却是可疑行为或入侵的最好标识。 当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道 的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换 被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一 样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编 辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要 保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防 止被篡改而收集到错误的信息。 入侵检测利用的信息一般来自以下四个方面: 1.系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测 入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指 出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很 快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例 如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息 等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望 的位置以及非授权的企图访问重要文件等等。 2.目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是 黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正 常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获 得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序 或修改系统日志文件。 3.程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例 如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限 的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它 运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文 件传输、设备和其它进程,以及与网络间其它进程的通讯。 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运 行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。 4. 物理形式的入侵信息 这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客 会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备 和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备 访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具 来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就 成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防 护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。 信号分析 对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技 术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完 整性分析则用于事后分析。 1. 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违 背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可 以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一 个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关 的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确 率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法 ,不能检测到从未出现过的黑客攻击手段。 2.统计分析 统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常 使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网 络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析 可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录 。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行 为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方 法,目前正处于研究热点和迅速发展之中。 3.完整性分析 完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在 发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消 息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方 法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一 般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要 手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫 描检查。 入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。它是计算机网 络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为,在 系统受到危害之前截取和响应安全漏洞和内部误用,从而最大程度地为企业网络提供安全。 入侵检测功能 ·监督并分析用户和系统的活动 ·检查系统配置和漏洞 ·检查关键系统和数据文件的完整性 ·识别代表已知攻击的活动模式 ·对反常行为模式的统计分析 ·对操作系统的校验管理,判断是否有破坏安全的用户活动。 ·入侵检测系统和漏洞评估工具的优点在于: ·提高了信息安全体系其它部分的完整性 ·提高了系统的监察能力 ·跟踪用户从进入到退出的所有活动或影响 ·识别并报告数据文件的改动 ·发现系统配置的错误,必要时予以更正 ·识别特定类型的攻击,并向相应人员报警,以作出防御反应 ·可使系统管理人员最新的版本升级添加到程序中 ·允许非专家人员从事系统安全工作 ·为信息安全策略的创建提供指导 ·必须修正对入侵检测系统和漏洞评估工具不切实际的期望:这些产品并不是无所不能的,它 们无法弥补力量薄弱的识别和确认机制 ·在无人干预的情况下,无法执行对攻击的检查 ·无法感知公司安全策略的内容 ·不能弥补网络协议的漏洞 ·不能弥补由于系统提供信息的质量或完整性的问题 ·它们不能分析网络繁忙时所有事务 ·它们不能总是对数据包级的攻击进行处理 ·它们不能应付现代网络的硬件及特性 入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保 护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入 侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随 着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检 测仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测 模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的 、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。

(0)

相关推荐

  • 应知的网络知识与安全问题:[28]木马

    操作方法 01 在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现哪些功能 ?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之一 冰河为例,向大家剖析木马的基本原 ...

  • 应知的网络知识与安全问题:[26]入侵FAQ

    操作方法 01 1.我刚刚上网,很喜欢黑客,请问我能当上黑客吗? 2.我上网的时候老被人炸,请问我如何反击? 3.听说上网的时候可以隐藏IP,最近我老被人骚扰,请问如何隐藏IP呢? 4.我想对某个拔号 ...

  • 应知的网络知识与安全问题:[31]域名系统

    操作方法 01 与IP地址相比,人们更喜欢使用具有一定含义的字符串来标识Internet网上的计 算机,因此,在Internet中,用户可以用各种各样的方式来命名自己的计算机, 这样就可能在Inter ...

  • 应知的网络知识与安全问题:[32]协议的攻击

    操作方法 01 ⒈Telnet ⑴虚拟终端 Telnet的魔力在于它在两个远隔千里的主机之间建立起了一条ASCII终端连接,其中成功地使用 了虚拟终端的技术. 一个虚拟终端至少在表现形式上等同于两台机 ...

  • 应知的网络知识与安全问题:[5]SQL语言

    操作方法 01 SQL全称是"结构化查询语言(Structured Query Language)",最早的是IBM的圣约瑟研究实验室为其关系数据库管理系统SYSTEM R开发的一 ...

  • 腾讯会议总是出现网络状态异常的提示如何检测

    今天给大家介绍一下腾讯会议总是出现网络状态异常的提示如何检测的具体操作步骤.1. 解锁手机后,找到桌面上的腾讯会议APP,打开.2. 进入主页面后,点击页面左上角的个人头像.3. 在打开的个人中心页面 ...

  • 应知应会的电脑硬件核心知识:[4]BIOS

    操作方法 01 计算机用户在使用计算机的过程中,都会接触到 BIOS,它在计算机系统中起着非常重要的作用 .一块主板性能优越与否,很大程度上取决于主板上的 BIOS 管理功能是否先进. BIOS(Ba ...

  • 应知应会的电脑硬件核心知识:[43]最大容量

    操作方法 01 主板所能支持内存的最大容量,是指最大能在该主板上插入多大容量的内存条.超过容量的内存 条,即便插在主板上,主板也不支持.主板支持的最大内存容量,理论上由芯片组所决定,北桥决 定了整个芯 ...

  • 应知应会的电脑硬件核心知识:[61]系列型号

    操作方法 01 CPU 厂商会给属于同一系列的 CPU 产品定一个系列型号,而系列型号是用于区分 CPU 性能的 重要标示. 英特尔公司的主要 CPU 系列型号有: Pentium Pentium P ...