入侵检测技术之不可忽视的社会工程学(2)

作者: 佚名 出处:黑基　 (  ) 砖  (  ) 好  评论 ( ) 条 　进入论坛

更新时间：2006-02-17 11:09
关 键 词：IDS  入侵检测  社会工程学
阅读提示：入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

一、入侵检测技术简介
1、什么是入侵检测
入侵检测是对传统安全产品的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：

　◆ 监视、分析用户及系统活动；
　◆ 系统构造和弱点的审计；
　◆ 识别反映已知进攻的活动模式并向相关人士报警；
　◆ 异常行为模式的统计分析；
　◆ 评估重要系统和数据文件的完整性；
　◆ 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

2、入侵检测系统功能构成　　
一个入侵检测系统的功能结构至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。

事件提取功能负责提取与被保护系统相关的运行数据或记录，并负责对数据进行简单的过滤。
入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹，将授权的正常访问行为和非授权的不正常访问行为区分开，分析出入侵行为并对入侵者进行定位。
入侵响应功能在分析出入侵行为后被触发，根据入侵行为产生响应。
由于单个入侵检测系统的检测能力和检测范围的限制，入侵检测系统一般采用分布监视集中管理的结构，多个检测单元运行于网络中的各个网段或系统上，通过远程管理功能在一台管理站点上实现统一的管理和监控。

二、入侵检测系统分类
入侵检测系统根据其检测数据来源分为两类[7]：基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统从单个主机上提取数据（如审计记录等）作为入侵分析的数据源，而基于网络的入侵检测系统从网络上提取数据（如网络链路层的数据帧）作为入侵分析的数据源。通常来说基于主机的入侵检测系统只能检测单个主机系统，而基于网络的入侵检测系统可以对本网段的多个主机系统进行检测，多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。

1、基于主机的入侵检测系统
基于主机的入侵检测系统将检测模块驻留在被保护系统上，通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。
基于主机的入侵检测系统可以有若干种实现方法：

检测系统设置以发现不正当的系统设置和系统设置的不正当更改。例如COPS（Computer Oracle and Password System）系统。
对系统安全状态进行定期检查以发现不正常的安全状态，例如Tripwire系统。
通过替换服务器程序，在服务器程序与远程用户之间增加一个中间层，在该中间层中实现跟踪和记录远程用户的请求和操作。例如TCPwrapper。
基于主机日志的安全审计，通过分析主机日志来发现入侵行为。

基于主机的入侵检测系统具有检测效率高，分析代价小，分析速度快的特点，能够迅速并准确地定位入侵者，并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是: 首先它在一定程度上依赖于系统的可靠性，它要求系统本身应该具备基本的安全功能并具有合理的设置，然后才能提取入侵信息；即使进行了正确的设置，对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去，从而不被发觉；并且主机的日志能够提供的信息有限，有的入侵手段和途径不会在日志中有所反映，日志系统对有的入侵行为不能作出正确的响应，例如利用网络协议栈的漏洞进行的攻击，通过ping命令发送大数据包，造成系统协议栈溢出而死机，或是利用ARP欺骗来伪装成其他主机进行通信，这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。

2、基于网络的入侵检测系统
基于网络的入侵检测系统通过网络监视来实现数据提取。在Internet中，局域网普遍采用IEEE 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式，任何一台主机发送的数据包，都会在所经过的子网中进行广播，也就是说，任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下，主机的网卡对每一个到达的数据包进行过滤，只将目的地址是本机的或广播地址的数据包放入接收缓冲区，而将其他数据包丢弃，因此，正常情况下网络上的主机表现为只关心与本机有关的数据包，但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略，使网卡能够接收经过本网段的所有数据包，无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式，目前绝大部分网卡都提供这种设置，因此，在需要的时候，对网卡进行合理的设置就能获得经过本网段的所有通信信息，从而实现网络监视的功能。在其他网络环境下，虽然可能不采用广播的方式传送报文，但目前很多路由设备或交换机都提供数据报文监视功能。

网络监视具有良好的特性：理论上，网络监视可以获得所有的网络信息数据，只要时间允许，可以在庞大的数据堆中提取和分析需要的数据；可以对一个子网进行检测，一个监视模块可以监视同一网段的多台主机的网络行为；不改变系统和网络的工作模式，也不影响主机性能和网络性能；处于被动接收方式，很难被入侵者发现；可以从低层开始分析，对基于协议攻击的入侵手段有较强的分析能力。网络监视的主要问题是监视数据量过于庞大并且它不能结合操作系统特征来对网络行为进行准确的判断。

由于基于网络的入侵检测方式具有较强的数据提取能力，因此目前很多入侵检测系统倾向于采用基于网络的检测手段来实现。

共4页: 上一页 [1] 2 [3] [4] 下一页

【内容导航】  第 1 页：安全产品现状分析  第 2 页：入侵检测技术简介  第 3 页：入侵检测分析技术  第 4 页：产品现状发展方向

滚动新闻　术语词典　问题悬赏

我也说两句