入侵檢測(cè)與網(wǎng)絡(luò)安全-

1、隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高，曾經(jīng)作為最主要網(wǎng)絡(luò)安全防范手段的防火墻，已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。作為對(duì)防火墻有益補(bǔ)充的入侵檢測(cè)系統(tǒng)（IDS），能夠幫助網(wǎng)絡(luò)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對(duì)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵的實(shí)時(shí)保護(hù)。 入侵檢測(cè)的研究可以追溯到JamesP.Anderson在1980年的工作，他首次提出了“威脅”等術(shù)語，這里所指的“威脅”與入侵的含義基本相同，將入侵嘗試

2、或威脅定義為：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問企圖，致使系統(tǒng)不可靠或無法使用。1987年DorothyE.Denning首次給出一個(gè)入侵檢測(cè)的抽象模型，并將入侵檢測(cè)作為一個(gè)新的安全防御措施提出。 在過去的20年里，網(wǎng)絡(luò)技術(shù)在不斷發(fā)展，攻擊者攻擊能力在不斷提高，攻擊工具與攻擊手法日趨復(fù)雜多樣，特別是以黑客為代表的攻擊者對(duì)網(wǎng)絡(luò)的威脅日益突出，他們不遺余力地與網(wǎng)絡(luò)安全進(jìn)行著斗爭(zhēng)。攻擊技術(shù)和手段的不斷發(fā)展，也促使IDS從一個(gè)簡(jiǎn)單單一的產(chǎn)品發(fā)展成為一種網(wǎng)絡(luò)安全防護(hù)的重要手段。 1、網(wǎng)絡(luò)安全面臨的挑戰(zhàn) 攻擊者可以從容地對(duì)那些沒有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵，如進(jìn)行拒絕服務(wù)攻擊、從事非授權(quán)的訪問、肆意竊取和

3、篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時(shí)獲得內(nèi)部信息、傳播計(jì)算機(jī)病毒、摧毀主機(jī)等。攻擊和入侵事件給這些機(jī)構(gòu)和企業(yè)帶來了巨大的經(jīng)濟(jì)損失，甚至直接威脅到國家的安全。攻擊者為什么能夠?qū)W(wǎng)絡(luò)進(jìn)行攻擊和入侵呢?原因在于計(jì)算機(jī)網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點(diǎn)、漏洞以及不安全的配置，主要表現(xiàn)在操作系統(tǒng)、協(xié)議、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等幾個(gè)方面。 攻擊者常用的入侵方法如下： （1）利用系統(tǒng)的內(nèi)部缺陷和漏洞 對(duì)于口令字的攻擊：口令字是一般安全系統(tǒng)所采取的最簡(jiǎn)單的安全措施。許多攻擊行為從突破口令字入手，有的采用程序強(qiáng)力攻擊的辦法登錄到遠(yuǎn)程網(wǎng)絡(luò)，或采用口令字典進(jìn)行猜測(cè)的辦法，發(fā)現(xiàn)設(shè)置十分簡(jiǎn)單的口令字從而進(jìn)入到

4、系統(tǒng)。據(jù)美國國防部對(duì)1995年入侵行為統(tǒng)計(jì)表明，有約250000次攻擊是由于通過破解口令字造成的。 系統(tǒng)中協(xié)議的脆弱性：在網(wǎng)絡(luò)運(yùn)行的許多協(xié)議中，有一些協(xié)議存在著安全漏洞。如ICMP（InternetControlMessageProtocol），這種協(xié)議很容易被拒絕服務(wù)攻擊所利用。Ping是ICMP中常用的命令之一，它的連接請(qǐng)求可以被 攻擊者利用，發(fā)出許多無效的連接請(qǐng)求，可以造成經(jīng)由的中間主機(jī)和被攻擊的主機(jī)或系統(tǒng)崩潰。IMAP（Internet Message Access Protocol）是網(wǎng)絡(luò)上另一種常見協(xié)議，攻擊者可以通過IMAP和POP3取得UNIX系統(tǒng)下的根目錄權(quán)限，執(zhí)行各種命令，

5、獲取敏感信息和超級(jí)用戶的權(quán)限。TCP/IP握手協(xié)商協(xié)議也可以被拒絕服務(wù)攻擊所利用。 緩沖區(qū)溢出：這是對(duì)系統(tǒng)危害較大的攻擊手段，在許多系統(tǒng)中，應(yīng)用程序和緩沖區(qū)都不檢查數(shù)據(jù)的特性，它允許接受任意長的數(shù)據(jù)，這可能造成系統(tǒng)的堆?；蚓彌_區(qū)溢出，造成系統(tǒng)癱瘓。 （2）利用合法的系統(tǒng)管理工具 許多系統(tǒng)為了方便管理員對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制，開發(fā)了許多系統(tǒng)工具，如果這些工具使用不當(dāng)就會(huì)給攻擊者以可乘之機(jī)，危害網(wǎng)絡(luò)安全，如Packetsniffer、Portscan等。 （3）利用系統(tǒng)維護(hù)階段的疏忽 當(dāng)一些安全機(jī)構(gòu)公布出系統(tǒng)的安全漏洞后，網(wǎng)絡(luò)管理員應(yīng)該對(duì)系統(tǒng)及時(shí)地升級(jí)、更新。但當(dāng)系統(tǒng)升級(jí)時(shí)，其中復(fù)雜的安全配置或安全

6、過濾規(guī)則設(shè)置不正確往往也是引進(jìn)安全漏洞的主要原因。 漏洞和不安全設(shè)置給了攻擊者以可乘之機(jī)。另外，由于大部分網(wǎng)絡(luò)缺少預(yù)警防護(hù)機(jī)制，即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò)，并從事非法的操作，網(wǎng)管人員也很難察覺到。 2、IDS技術(shù)概述 IDS的出現(xiàn)，緩解了以上的網(wǎng)絡(luò)安全問題。設(shè)置硬件防火墻，可以提高網(wǎng)絡(luò)的通過能力并阻擋一般性的攻擊行為；而采用IDS入侵檢測(cè)系統(tǒng)，則可以對(duì)越過防火墻的攻擊行為以及來自網(wǎng)絡(luò)內(nèi)部的違規(guī)操作進(jìn)行監(jiān)測(cè)和響應(yīng)。在本質(zhì)上，入侵檢測(cè)系統(tǒng)是一個(gè)典型的“窺探設(shè)備”，它不跨接多個(gè)物理網(wǎng)段（通常只有一個(gè)監(jiān)聽端口），無須轉(zhuǎn)發(fā)任何流量，而只需在網(wǎng)絡(luò)上收集所關(guān)心的報(bào)文即可。 入侵檢測(cè)模型如圖1所示。 圖1

7、入侵檢測(cè)模型 目前，IDS分析及檢測(cè)一般通過以下幾種技術(shù)手段進(jìn)行分析：特征庫匹配、基于統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。 特征庫匹配（也叫特征檢測(cè)）就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該方法的優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)*，顯著減少系統(tǒng)負(fù)擔(dān)，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高；但弱點(diǎn)是需要不斷升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法。 統(tǒng)計(jì)分析（也叫異常檢測(cè)）首先給信息對(duì)象（如用戶、連接、文件等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、

8、系統(tǒng)的行為進(jìn)行比較，觀察值在正常偏差之外時(shí)，就認(rèn)為有 入侵發(fā)生。例如一個(gè)在晚九點(diǎn)至早五點(diǎn)不登錄的賬戶卻在凌晨?jī)牲c(diǎn)試圖登錄，或者針對(duì)某一特定站點(diǎn)的數(shù)據(jù)流量異常增大等。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵；缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，能識(shí)別極其微小的變化。其優(yōu)點(diǎn)能夠發(fā)現(xiàn)文件或其他對(duì)象的任何改變；缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。 根據(jù)數(shù)據(jù)來源的不同，入侵檢測(cè)系統(tǒng)常被分為基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS

9、：Host-basedIntrusionDetectionSystem）和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Network-based Intrusion Detection System）。HIDS的數(shù)據(jù)源來自主機(jī)，如日志文件、審計(jì)記錄等；而NIDS的數(shù)據(jù)源是網(wǎng)絡(luò)數(shù)據(jù)流。HIDS的檢測(cè)范圍很小，只限于1臺(tái)主機(jī)內(nèi)；而NIDS的檢測(cè)范圍是整個(gè)網(wǎng)段。 根據(jù)網(wǎng)絡(luò)威脅原理（離被防護(hù)信息點(diǎn)越近，保護(hù)的作用就越有效），HIDS從空間滿足了網(wǎng)絡(luò)安全的先決條件；同時(shí)由于監(jiān)聽的是用戶的整個(gè)訪問行為，HIDS可以有效利用操作系統(tǒng)本身提供的功能，準(zhǔn)確快速報(bào)告攻擊行為。但由于HIDS安裝在被保護(hù)主機(jī)上，故所占用的資源不能太多，從而限制了所采用的檢測(cè)方法及處理性能，安全性也受其所在主機(jī)的操作系統(tǒng)的安全性限制。 NIDS最大的特點(diǎn)在于不需要改變服務(wù)器等主機(jī)的配置，不會(huì)影響這些機(jī)器的CPU、I/O）等資源的使用，也不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。因此，部署一個(gè)NIDS，比HIDS的風(fēng)險(xiǎn)與成本相對(duì)較低。但由于NIDS保護(hù)的主機(jī)和操作系統(tǒng)不盡相同，入侵者可利用不同系統(tǒng)的差異來進(jìn)行信息收集或進(jìn)行攻擊。(大偉編輯） 延伸閱讀：網(wǎng)絡(luò)安全技巧大全 打造E-mail鐵幕防線 “假癡不癲”意為凡有作為的人，一般都腹有良謀，籌劃于暗中，不露聲色而后發(fā)制人。在E-mail的安全防范中，我們同樣可以使用“假癡不癲