摘要:視頻教程在線輔導(dǎo)面授招生考試大綱指定教材報(bào)名時(shí)間9.6.1入侵檢測(cè)系統(tǒng)類型從技術(shù)上看,基本上分為以下幾類:基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。混合入侵檢測(cè)系統(tǒng)可以彌補(bǔ)一些基于網(wǎng)絡(luò)與基于主機(jī)的片面性缺陷。有時(shí)候,文件的完整性檢査工具也可看做是一類入侵檢測(cè)產(chǎn)品。1.基于網(wǎng)絡(luò)的入侵檢測(cè)基于網(wǎng)絡(luò)的入侵檢測(cè)
在線輔導(dǎo) 面授招生 考試大綱 指定教材 報(bào)名時(shí)間
9.6.1 入侵檢測(cè)系統(tǒng)類型
從技術(shù)上看,基本上分為以下幾類:基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)?;旌先肭謾z測(cè)系統(tǒng)可以彌補(bǔ)一些基于網(wǎng)絡(luò)與基于主機(jī)的片面性缺陷。有時(shí)候,文件的完整性檢査工具也可看做是一類入侵檢測(cè)產(chǎn)品。
1.基于網(wǎng)絡(luò)的入侵檢測(cè)
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)放置在比較重要的網(wǎng)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與內(nèi)置的某些規(guī)則吻合,入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出聱報(bào)甚至直接切斷網(wǎng)絡(luò)連接。目前,大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的。典型的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)有Snort、NFR,Shadow等。
(1)優(yōu)點(diǎn)
NIDS能夠檢測(cè)那些來自網(wǎng)絡(luò)的攻擊,它能夠檢測(cè)到超過授權(quán)的非法訪問。
一個(gè)N1DS不需要改變服務(wù)器等主機(jī)的配置。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件,從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤等資源的使用,不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。
由于NIDS不像路由器、防火墻等關(guān)鍵設(shè)備方式工作,它不會(huì)成為系統(tǒng)中的關(guān)鍵路徑。NIDS發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。部署一個(gè)NIDS的風(fēng)險(xiǎn)比主機(jī)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)少得多。
NIDS近年內(nèi)有向?qū)iT的設(shè)備發(fā)展的趨勢(shì),安裝這樣的一個(gè)NIDS非常方便,只需將定制的設(shè)備接上電源,做很少一些配置,將其連到網(wǎng)絡(luò)上即可。
(2)弱點(diǎn)
NIDS只檢査它直接連接網(wǎng)段的通信,不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限。而安裝多臺(tái)NIDS的傳感器會(huì)使部署整個(gè)系統(tǒng)的成本大大增加。
NIDS為了性能目標(biāo)通常采用特征檢測(cè)的方法,它可以檢測(cè)出普通的一些攻擊,而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)。
NIDS可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流景。一些系統(tǒng)在實(shí)現(xiàn)時(shí)采用一定方法來減少回傳的數(shù)據(jù)撒,對(duì)入侵判斷的決策由傳感器實(shí)現(xiàn),而中央控制臺(tái)成為狀態(tài)顯示與通信中心,不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。
NIDS處理加密的會(huì)話過程較困難,目前通過加密通道的攻擊還不多,但隨著IPv6的普及,這個(gè)問題會(huì)越來越突出。
2.基于主機(jī)的入侵檢測(cè)
基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS〉通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上,主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律),入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。
(1)優(yōu)點(diǎn)
HIDS對(duì)分析“可能的攻擊行為”非常有用。它除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外,還能分辨出入侵者做了什么事,運(yùn)行了什么程序,打開了哪些文件,執(zhí)行了哪些系統(tǒng)調(diào)用。HIDS與NIDS相比通常能夠提供更詳盡的相關(guān)信息。
因?yàn)闄z測(cè)在主機(jī)上運(yùn)行的命令序列比檢測(cè)網(wǎng)絡(luò)流更簡(jiǎn)單,系統(tǒng)的復(fù)雜性也少得多,所以在通常情況下HIDS比N1DS誤報(bào)率要低。
HIDS可部署在那些不需要廣泛的入侵檢測(cè)、傳感器與控制臺(tái)之間的通信帶寬不足的情況下。
(2)弱點(diǎn)
HIDS安裝在霈要保護(hù)的設(shè)備上,這會(huì)降低應(yīng)用系統(tǒng)的效率,也會(huì)帶來一些額外的安全問題。HIDS依賴于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒有配置日志功能,則必須重新配置。HIDS只監(jiān)測(cè)自身的主機(jī),不監(jiān)測(cè)網(wǎng)絡(luò)上的情況。
3.混合入侵檢測(cè)
基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有不足之處,單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi).則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系,既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息,也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。
4.文件完整性檢査
文件完整性檢查系統(tǒng)檢査計(jì)算機(jī)中自上次檢査后文件變化情況。文件完整性檢査系統(tǒng)保存有每個(gè)文件的信息摘要數(shù)據(jù)庫(kù),每次檢査時(shí),重新計(jì)算文件的信息摘要并將它與數(shù)據(jù)庫(kù)中的值相比較,如不同,則文件已被修改;若相同,文件則未發(fā)生變化。
文件的信息摘要通過Hash由數(shù)計(jì)算得到。通常采用安全性高的Hash算法,如MD5、SHA時(shí),兩個(gè)不同的文件幾乎不可能得到相同的Hash結(jié)果。
(1)優(yōu)點(diǎn)
從數(shù)學(xué)上分析,攻克文件完整性檢查系統(tǒng),無論是時(shí)間上還是空間上都是不可能的。
文件完整性檢査系統(tǒng)具有相當(dāng)?shù)撵`活性,可以配置成為監(jiān)測(cè)系統(tǒng)中所有文件或某些重要文件。
入侵者攻擊系統(tǒng)時(shí),首先,他要掩蓋他的蹤跡,即要通過更改系統(tǒng)中的可執(zhí)行文件、庫(kù)文件或日志文件來隱藏他的活動(dòng);其次,他要做一些改動(dòng)保證下次能夠繼續(xù)入侵。這兩種活動(dòng)都能夠被文件完整性檢查系統(tǒng)檢測(cè)出》
(2)弱點(diǎn)
文件完整性檢查系統(tǒng)依賴于本地的信息摘要數(shù)據(jù)庫(kù)。與日志文件一樣,這些數(shù)據(jù)可能被入侵者修改。當(dāng)一個(gè)入侵者取得管理員權(quán)限后,在完成破壞活動(dòng)后,可以運(yùn)行文件完整性檢查系統(tǒng)更新數(shù)據(jù)庫(kù),從而瞞過系統(tǒng)管理員。當(dāng)然,可以將信息摘要數(shù)據(jù)庫(kù)放在只讀的介質(zhì)上,但這樣的配置不夠靈活性。
做一次完整的文件完整性檢查是一個(gè)非常耗時(shí)的工作。
系統(tǒng)有些正常的更新操作可能會(huì)帶來大量的文件更新,從而產(chǎn)生比較繁雜的檢查與分析工作。例如,在WindowsNT操作系統(tǒng)中升級(jí)MicrosoftOutlook將會(huì)引起1800多個(gè)文件變化。
返回目錄:通信工程師互聯(lián)網(wǎng)技術(shù)培訓(xùn)網(wǎng)絡(luò)安全匯總
編輯相關(guān)推薦:
互聯(lián)網(wǎng)技術(shù)考試局域網(wǎng)和城域網(wǎng)匯總
通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點(diǎn)匯總
通信工程師備考資料免費(fèi)領(lǐng)取
去領(lǐng)取
共收錄117.93萬道題
已有25.02萬小伙伴參與做題