



下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高,曾經(jīng)作為最主要網(wǎng)絡(luò)安全防范手段的防火墻,已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。作為對(duì)防火墻有益補(bǔ)充的入侵檢測(cè)系統(tǒng)(IDS),能夠幫助網(wǎng)絡(luò)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS被認(rèn)為是防火墻之后的第二道安全閘門,它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽,從而提供對(duì)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵的實(shí)時(shí)保護(hù)。 入侵檢測(cè)的研究可以追溯到JamesP.Anderson在1980年的工作,他首次提出了“威脅”等術(shù)語,這里所指的“威脅”與入侵的含義基本相同,將入侵嘗試
2、或威脅定義為:潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問企圖,致使系統(tǒng)不可靠或無法使用。1987年DorothyE.Denning首次給出一個(gè)入侵檢測(cè)的抽象模型,并將入侵檢測(cè)作為一個(gè)新的安全防御措施提出。 在過去的20年里,網(wǎng)絡(luò)技術(shù)在不斷發(fā)展,攻擊者攻擊能力在不斷提高,攻擊工具與攻擊手法日趨復(fù)雜多樣,特別是以黑客為代表的攻擊者對(duì)網(wǎng)絡(luò)的威脅日益突出,他們不遺余力地與網(wǎng)絡(luò)安全進(jìn)行著斗爭(zhēng)。攻擊技術(shù)和手段的不斷發(fā)展,也促使IDS從一個(gè)簡(jiǎn)單單一的產(chǎn)品發(fā)展成為一種網(wǎng)絡(luò)安全防護(hù)的重要手段。 1、網(wǎng)絡(luò)安全面臨的挑戰(zhàn) 攻擊者可以從容地對(duì)那些沒有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵,如進(jìn)行拒絕服務(wù)攻擊、從事非授權(quán)的訪問、肆意竊取和
3、篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時(shí)獲得內(nèi)部信息、傳播計(jì)算機(jī)病毒、摧毀主機(jī)等。攻擊和入侵事件給這些機(jī)構(gòu)和企業(yè)帶來了巨大的經(jīng)濟(jì)損失,甚至直接威脅到國家的安全。攻擊者為什么能夠?qū)W(wǎng)絡(luò)進(jìn)行攻擊和入侵呢?原因在于計(jì)算機(jī)網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點(diǎn)、漏洞以及不安全的配置,主要表現(xiàn)在操作系統(tǒng)、協(xié)議、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等幾個(gè)方面。 攻擊者常用的入侵方法如下: (1)利用系統(tǒng)的內(nèi)部缺陷和漏洞 對(duì)于口令字的攻擊:口令字是一般安全系統(tǒng)所采取的最簡(jiǎn)單的安全措施。許多攻擊行為從突破口令字入手,有的采用程序強(qiáng)力攻擊的辦法登錄到遠(yuǎn)程網(wǎng)絡(luò),或采用口令字典進(jìn)行猜測(cè)的辦法,發(fā)現(xiàn)設(shè)置十分簡(jiǎn)單的口令字從而進(jìn)入到
4、系統(tǒng)。據(jù)美國國防部對(duì)1995年入侵行為統(tǒng)計(jì)表明,有約250000次攻擊是由于通過破解口令字造成的。 系統(tǒng)中協(xié)議的脆弱性:在網(wǎng)絡(luò)運(yùn)行的許多協(xié)議中,有一些協(xié)議存在著安全漏洞。如ICMP(InternetControlMessageProtocol),這種協(xié)議很容易被拒絕服務(wù)攻擊所利用。Ping是ICMP中常用的命令之一,它的連接請(qǐng)求可以被 攻擊者利用,發(fā)出許多無效的連接請(qǐng)求,可以造成經(jīng)由的中間主機(jī)和被攻擊的主機(jī)或系統(tǒng)崩潰。IMAP(Internet Message Access Protocol)是網(wǎng)絡(luò)上另一種常見協(xié)議,攻擊者可以通過IMAP和POP3取得UNIX系統(tǒng)下的根目錄權(quán)限,執(zhí)行各種命令,
5、獲取敏感信息和超級(jí)用戶的權(quán)限。TCP/IP握手協(xié)商協(xié)議也可以被拒絕服務(wù)攻擊所利用。 緩沖區(qū)溢出:這是對(duì)系統(tǒng)危害較大的攻擊手段,在許多系統(tǒng)中,應(yīng)用程序和緩沖區(qū)都不檢查數(shù)據(jù)的特性,它允許接受任意長的數(shù)據(jù),這可能造成系統(tǒng)的堆?;蚓彌_區(qū)溢出,造成系統(tǒng)癱瘓。 (2)利用合法的系統(tǒng)管理工具 許多系統(tǒng)為了方便管理員對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制,開發(fā)了許多系統(tǒng)工具,如果這些工具使用不當(dāng)就會(huì)給攻擊者以可乘之機(jī),危害網(wǎng)絡(luò)安全,如Packetsniffer、Portscan等。 (3)利用系統(tǒng)維護(hù)階段的疏忽 當(dāng)一些安全機(jī)構(gòu)公布出系統(tǒng)的安全漏洞后,網(wǎng)絡(luò)管理員應(yīng)該對(duì)系統(tǒng)及時(shí)地升級(jí)、更新。但當(dāng)系統(tǒng)升級(jí)時(shí),其中復(fù)雜的安全配置或安全
6、過濾規(guī)則設(shè)置不正確往往也是引進(jìn)安全漏洞的主要原因。 漏洞和不安全設(shè)置給了攻擊者以可乘之機(jī)。另外,由于大部分網(wǎng)絡(luò)缺少預(yù)警防護(hù)機(jī)制,即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò),并從事非法的操作,網(wǎng)管人員也很難察覺到。 2、IDS技術(shù)概述 IDS的出現(xiàn),緩解了以上的網(wǎng)絡(luò)安全問題。設(shè)置硬件防火墻,可以提高網(wǎng)絡(luò)的通過能力并阻擋一般性的攻擊行為;而采用IDS入侵檢測(cè)系統(tǒng),則可以對(duì)越過防火墻的攻擊行為以及來自網(wǎng)絡(luò)內(nèi)部的違規(guī)操作進(jìn)行監(jiān)測(cè)和響應(yīng)。在本質(zhì)上,入侵檢測(cè)系統(tǒng)是一個(gè)典型的“窺探設(shè)備”,它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽端口),無須轉(zhuǎn)發(fā)任何流量,而只需在網(wǎng)絡(luò)上收集所關(guān)心的報(bào)文即可。 入侵檢測(cè)模型如圖1所示。 圖1
7、入侵檢測(cè)模型 目前,IDS分析及檢測(cè)一般通過以下幾種技術(shù)手段進(jìn)行分析:特征庫匹配、基于統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè),而完整性分析則用于事后分析。 特征庫匹配(也叫特征檢測(cè))就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。該方法的優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)*,顯著減少系統(tǒng)負(fù)擔(dān),檢測(cè)準(zhǔn)確率和效率都相當(dāng)高;但弱點(diǎn)是需要不斷升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法。 統(tǒng)計(jì)分析(也叫異常檢測(cè))首先給信息對(duì)象(如用戶、連接、文件等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等)。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、
8、系統(tǒng)的行為進(jìn)行比較,觀察值在正常偏差之外時(shí),就認(rèn)為有 入侵發(fā)生。例如一個(gè)在晚九點(diǎn)至早五點(diǎn)不登錄的賬戶卻在凌晨?jī)牲c(diǎn)試圖登錄,或者針對(duì)某一特定站點(diǎn)的數(shù)據(jù)流量異常增大等。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵;缺點(diǎn)是誤報(bào)、漏報(bào)率高,且不適應(yīng)用戶正常行為的突然改變。 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?,包括文件和目錄的?nèi)容及屬性,它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制,能識(shí)別極其微小的變化。其優(yōu)點(diǎn)能夠發(fā)現(xiàn)文件或其他對(duì)象的任何改變;缺點(diǎn)是一般以批處理方式實(shí)現(xiàn),不用于實(shí)時(shí)響應(yīng)。 根據(jù)數(shù)據(jù)來源的不同,入侵檢測(cè)系統(tǒng)常被分為基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS
9、:Host-basedIntrusionDetectionSystem)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(Network-based Intrusion Detection System)。HIDS的數(shù)據(jù)源來自主機(jī),如日志文件、審計(jì)記錄等;而NIDS的數(shù)據(jù)源是網(wǎng)絡(luò)數(shù)據(jù)流。HIDS的檢測(cè)范圍很小,只限于1臺(tái)主機(jī)內(nèi);而NIDS的檢測(cè)范圍是整個(gè)網(wǎng)段。 根據(jù)網(wǎng)絡(luò)威脅原理(離被防護(hù)信息點(diǎn)越近,保護(hù)的作用就越有效),HIDS從空間滿足了網(wǎng)絡(luò)安全的先決條件;同時(shí)由于監(jiān)聽的是用戶的整個(gè)訪問行為,HIDS可以有效利用操作系統(tǒng)本身提供的功能,準(zhǔn)確快速報(bào)告攻擊行為。但由于HIDS安裝在被保護(hù)主機(jī)上,故所占用的資源不能太多,從而限制了所采用的檢測(cè)方法及處理性能,安全性也受其所在主機(jī)的操作系統(tǒng)的安全性限制。 NIDS最大的特點(diǎn)在于不需要改變服務(wù)器等主機(jī)的配置,不會(huì)影響這些機(jī)器的CPU、I/O)等資源的使用,也不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。因此,部署一個(gè)NIDS,比HIDS的風(fēng)險(xiǎn)與成本相對(duì)較低。但由于NIDS保護(hù)的主機(jī)和操作系統(tǒng)不盡相同,入侵者可利用不同系統(tǒng)的差異來進(jìn)行信息收集或進(jìn)行攻擊。(大偉編輯) 延伸閱讀:網(wǎng)絡(luò)安全技巧大全 打造E-mail鐵幕防線 “假癡不癲”意為凡有作為的人,一般都腹有良謀,籌劃于暗中,不露聲色而后發(fā)制人。在E-mail的安全防范中,我們同樣可以使用“假癡不癲
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 構(gòu)建人工智能企業(yè)治理結(jié)構(gòu)中的利益相關(guān)者平衡機(jī)制
- 高職院校勞動(dòng)教育課程設(shè)置與實(shí)踐路徑探索
- 產(chǎn)教融合模式在新工科人才培養(yǎng)中的意義與發(fā)展趨勢(shì)
- 2025至2030纖維水泥行業(yè)產(chǎn)業(yè)運(yùn)行態(tài)勢(shì)及投資規(guī)劃深度研究報(bào)告
- 2025至2030中國人才測(cè)評(píng)行業(yè)市場(chǎng)發(fā)展現(xiàn)狀分析及有效策略與實(shí)施路徑評(píng)估報(bào)告
- 招聘信息定制化設(shè)計(jì)與應(yīng)用推廣合同
- 固件升級(jí)安全保障:行業(yè)現(xiàn)狀與未來趨勢(shì)分析
- 民族樂器演奏用鼓風(fēng)機(jī)的創(chuàng)新研究
- 船舶制造行業(yè)市場(chǎng)分析及投資策略研究報(bào)告
- 張至順給中醫(yī)講課
- 護(hù)理核心制度考試試卷(附答案)
- 尾礦工安全培訓(xùn)
- 西安高新區(qū)管委會(huì)招聘筆試真題2024
- 2025年中國工商銀行招聘筆試備考題庫(帶答案詳解)
- 研發(fā)項(xiàng)目工時(shí)管理制度
- 浮選藥劑安全管理制度
- 原創(chuàng)領(lǐng)袖的風(fēng)采-易發(fā)久
- DB33∕642-2019 熱電聯(lián)產(chǎn)能效、能耗限額及計(jì)算方法
- 考試錄用公務(wù)員筆試監(jiān)考工作培訓(xùn)
- GM∕T 0036-2014 采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用指南
- 內(nèi)蒙古高中畢業(yè)生學(xué)籍表畢業(yè)生登記表學(xué)年評(píng)語表成績(jī)單身體健康檢查表完整版高中檔案文件
評(píng)論
0/150
提交評(píng)論