入侵檢測(cè)與網(wǎng)絡(luò)安全-_第1頁
入侵檢測(cè)與網(wǎng)絡(luò)安全-_第2頁
入侵檢測(cè)與網(wǎng)絡(luò)安全-_第3頁
入侵檢測(cè)與網(wǎng)絡(luò)安全-_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高,曾經(jīng)作為最主要網(wǎng)絡(luò)安全防范手段的防火墻,已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。作為對(duì)防火墻有益補(bǔ)充的入侵檢測(cè)系統(tǒng)(IDS),能夠幫助網(wǎng)絡(luò)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS被認(rèn)為是防火墻之后的第二道安全閘門,它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽,從而提供對(duì)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵的實(shí)時(shí)保護(hù)。 入侵檢測(cè)的研究可以追溯到JamesP.Anderson在1980年的工作,他首次提出了“威脅”等術(shù)語,這里所指的“威脅”與入侵的含義基本相同,將入侵嘗試

2、或威脅定義為:潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問企圖,致使系統(tǒng)不可靠或無法使用。1987年DorothyE.Denning首次給出一個(gè)入侵檢測(cè)的抽象模型,并將入侵檢測(cè)作為一個(gè)新的安全防御措施提出。 在過去的20年里,網(wǎng)絡(luò)技術(shù)在不斷發(fā)展,攻擊者攻擊能力在不斷提高,攻擊工具與攻擊手法日趨復(fù)雜多樣,特別是以黑客為代表的攻擊者對(duì)網(wǎng)絡(luò)的威脅日益突出,他們不遺余力地與網(wǎng)絡(luò)安全進(jìn)行著斗爭(zhēng)。攻擊技術(shù)和手段的不斷發(fā)展,也促使IDS從一個(gè)簡(jiǎn)單單一的產(chǎn)品發(fā)展成為一種網(wǎng)絡(luò)安全防護(hù)的重要手段。 1、網(wǎng)絡(luò)安全面臨的挑戰(zhàn) 攻擊者可以從容地對(duì)那些沒有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵,如進(jìn)行拒絕服務(wù)攻擊、從事非授權(quán)的訪問、肆意竊取和

3、篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時(shí)獲得內(nèi)部信息、傳播計(jì)算機(jī)病毒、摧毀主機(jī)等。攻擊和入侵事件給這些機(jī)構(gòu)和企業(yè)帶來了巨大的經(jīng)濟(jì)損失,甚至直接威脅到國家的安全。攻擊者為什么能夠?qū)W(wǎng)絡(luò)進(jìn)行攻擊和入侵呢?原因在于計(jì)算機(jī)網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點(diǎn)、漏洞以及不安全的配置,主要表現(xiàn)在操作系統(tǒng)、協(xié)議、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等幾個(gè)方面。 攻擊者常用的入侵方法如下: (1)利用系統(tǒng)的內(nèi)部缺陷和漏洞 對(duì)于口令字的攻擊:口令字是一般安全系統(tǒng)所采取的最簡(jiǎn)單的安全措施。許多攻擊行為從突破口令字入手,有的采用程序強(qiáng)力攻擊的辦法登錄到遠(yuǎn)程網(wǎng)絡(luò),或采用口令字典進(jìn)行猜測(cè)的辦法,發(fā)現(xiàn)設(shè)置十分簡(jiǎn)單的口令字從而進(jìn)入到

4、系統(tǒng)。據(jù)美國國防部對(duì)1995年入侵行為統(tǒng)計(jì)表明,有約250000次攻擊是由于通過破解口令字造成的。 系統(tǒng)中協(xié)議的脆弱性:在網(wǎng)絡(luò)運(yùn)行的許多協(xié)議中,有一些協(xié)議存在著安全漏洞。如ICMP(InternetControlMessageProtocol),這種協(xié)議很容易被拒絕服務(wù)攻擊所利用。Ping是ICMP中常用的命令之一,它的連接請(qǐng)求可以被 攻擊者利用,發(fā)出許多無效的連接請(qǐng)求,可以造成經(jīng)由的中間主機(jī)和被攻擊的主機(jī)或系統(tǒng)崩潰。IMAP(Internet Message Access Protocol)是網(wǎng)絡(luò)上另一種常見協(xié)議,攻擊者可以通過IMAP和POP3取得UNIX系統(tǒng)下的根目錄權(quán)限,執(zhí)行各種命令,

5、獲取敏感信息和超級(jí)用戶的權(quán)限。TCP/IP握手協(xié)商協(xié)議也可以被拒絕服務(wù)攻擊所利用。 緩沖區(qū)溢出:這是對(duì)系統(tǒng)危害較大的攻擊手段,在許多系統(tǒng)中,應(yīng)用程序和緩沖區(qū)都不檢查數(shù)據(jù)的特性,它允許接受任意長的數(shù)據(jù),這可能造成系統(tǒng)的堆?;蚓彌_區(qū)溢出,造成系統(tǒng)癱瘓。 (2)利用合法的系統(tǒng)管理工具 許多系統(tǒng)為了方便管理員對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制,開發(fā)了許多系統(tǒng)工具,如果這些工具使用不當(dāng)就會(huì)給攻擊者以可乘之機(jī),危害網(wǎng)絡(luò)安全,如Packetsniffer、Portscan等。 (3)利用系統(tǒng)維護(hù)階段的疏忽 當(dāng)一些安全機(jī)構(gòu)公布出系統(tǒng)的安全漏洞后,網(wǎng)絡(luò)管理員應(yīng)該對(duì)系統(tǒng)及時(shí)地升級(jí)、更新。但當(dāng)系統(tǒng)升級(jí)時(shí),其中復(fù)雜的安全配置或安全

6、過濾規(guī)則設(shè)置不正確往往也是引進(jìn)安全漏洞的主要原因。 漏洞和不安全設(shè)置給了攻擊者以可乘之機(jī)。另外,由于大部分網(wǎng)絡(luò)缺少預(yù)警防護(hù)機(jī)制,即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò),并從事非法的操作,網(wǎng)管人員也很難察覺到。 2、IDS技術(shù)概述 IDS的出現(xiàn),緩解了以上的網(wǎng)絡(luò)安全問題。設(shè)置硬件防火墻,可以提高網(wǎng)絡(luò)的通過能力并阻擋一般性的攻擊行為;而采用IDS入侵檢測(cè)系統(tǒng),則可以對(duì)越過防火墻的攻擊行為以及來自網(wǎng)絡(luò)內(nèi)部的違規(guī)操作進(jìn)行監(jiān)測(cè)和響應(yīng)。在本質(zhì)上,入侵檢測(cè)系統(tǒng)是一個(gè)典型的“窺探設(shè)備”,它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽端口),無須轉(zhuǎn)發(fā)任何流量,而只需在網(wǎng)絡(luò)上收集所關(guān)心的報(bào)文即可。 入侵檢測(cè)模型如圖1所示。 圖1

7、入侵檢測(cè)模型 目前,IDS分析及檢測(cè)一般通過以下幾種技術(shù)手段進(jìn)行分析:特征庫匹配、基于統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè),而完整性分析則用于事后分析。 特征庫匹配(也叫特征檢測(cè))就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。該方法的優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)*,顯著減少系統(tǒng)負(fù)擔(dān),檢測(cè)準(zhǔn)確率和效率都相當(dāng)高;但弱點(diǎn)是需要不斷升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法。 統(tǒng)計(jì)分析(也叫異常檢測(cè))首先給信息對(duì)象(如用戶、連接、文件等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等)。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、

8、系統(tǒng)的行為進(jìn)行比較,觀察值在正常偏差之外時(shí),就認(rèn)為有 入侵發(fā)生。例如一個(gè)在晚九點(diǎn)至早五點(diǎn)不登錄的賬戶卻在凌晨?jī)牲c(diǎn)試圖登錄,或者針對(duì)某一特定站點(diǎn)的數(shù)據(jù)流量異常增大等。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵;缺點(diǎn)是誤報(bào)、漏報(bào)率高,且不適應(yīng)用戶正常行為的突然改變。 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?,包括文件和目錄的?nèi)容及屬性,它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制,能識(shí)別極其微小的變化。其優(yōu)點(diǎn)能夠發(fā)現(xiàn)文件或其他對(duì)象的任何改變;缺點(diǎn)是一般以批處理方式實(shí)現(xiàn),不用于實(shí)時(shí)響應(yīng)。 根據(jù)數(shù)據(jù)來源的不同,入侵檢測(cè)系統(tǒng)常被分為基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS

9、:Host-basedIntrusionDetectionSystem)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(Network-based Intrusion Detection System)。HIDS的數(shù)據(jù)源來自主機(jī),如日志文件、審計(jì)記錄等;而NIDS的數(shù)據(jù)源是網(wǎng)絡(luò)數(shù)據(jù)流。HIDS的檢測(cè)范圍很小,只限于1臺(tái)主機(jī)內(nèi);而NIDS的檢測(cè)范圍是整個(gè)網(wǎng)段。 根據(jù)網(wǎng)絡(luò)威脅原理(離被防護(hù)信息點(diǎn)越近,保護(hù)的作用就越有效),HIDS從空間滿足了網(wǎng)絡(luò)安全的先決條件;同時(shí)由于監(jiān)聽的是用戶的整個(gè)訪問行為,HIDS可以有效利用操作系統(tǒng)本身提供的功能,準(zhǔn)確快速報(bào)告攻擊行為。但由于HIDS安裝在被保護(hù)主機(jī)上,故所占用的資源不能太多,從而限制了所采用的檢測(cè)方法及處理性能,安全性也受其所在主機(jī)的操作系統(tǒng)的安全性限制。 NIDS最大的特點(diǎn)在于不需要改變服務(wù)器等主機(jī)的配置,不會(huì)影響這些機(jī)器的CPU、I/O)等資源的使用,也不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。因此,部署一個(gè)NIDS,比HIDS的風(fēng)險(xiǎn)與成本相對(duì)較低。但由于NIDS保護(hù)的主機(jī)和操作系統(tǒng)不盡相同,入侵者可利用不同系統(tǒng)的差異來進(jìn)行信息收集或進(jìn)行攻擊。(大偉編輯) 延伸閱讀:網(wǎng)絡(luò)安全技巧大全 打造E-mail鐵幕防線 “假癡不癲”意為凡有作為的人,一般都腹有良謀,籌劃于暗中,不露聲色而后發(fā)制人。在E-mail的安全防范中,我們同樣可以使用“假癡不癲

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論