互聯(lián)網(wǎng)技術(shù)教程精講之入侵檢測(cè)系統(tǒng)分類

       >>>>>>2017年通信工程師沖刺班，考前突擊，快速備考！

       離2017年通信互聯(lián)網(wǎng)技術(shù)考試不到一個(gè)月的時(shí)間了，大家需抓緊時(shí)間備考。下面希賽小編為大家整理了些通信互聯(lián)網(wǎng)技術(shù)的考試知識(shí)點(diǎn)，下文是入侵檢測(cè)系統(tǒng)分類。希望能幫助大家！

       入侵檢測(cè)系統(tǒng)分類：

       從技術(shù)上看，基本上分為以下幾類：基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。混合入侵檢測(cè)系統(tǒng)可以彌補(bǔ)一些基于網(wǎng)絡(luò)與基于主機(jī)的片面性缺陷。有時(shí)候，文件的完整性檢査工具也可看做是一類入侵檢測(cè)產(chǎn)品。

       1.基于網(wǎng)絡(luò)的入侵檢測(cè)

       基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS)放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出聱報(bào)甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的。典型的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)有Snort、NFR,Shadow等。

       (1)優(yōu)點(diǎn)

       NIDS能夠檢測(cè)那些來自網(wǎng)絡(luò)的攻擊，它能夠檢測(cè)到超過授權(quán)的非法訪問。

       一個(gè)N1DS不需要改變服務(wù)器等主機(jī)的配置。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤等資源的使用，不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。

       由于NIDS不像路由器、防火墻等關(guān)鍵設(shè)備方式工作，它不會(huì)成為系統(tǒng)中的關(guān)鍵路徑。NIDS發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。部署一個(gè)NIDS的風(fēng)險(xiǎn)比主機(jī)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)少得多。

       NIDS近年內(nèi)有向?qū)ｉT的設(shè)備發(fā)展的趨勢(shì)，安裝這樣的一個(gè)NIDS非常方便，只需將定制的設(shè)備接上電源，做很少一些配置，將其連到網(wǎng)絡(luò)上即可。

       (2)弱點(diǎn)

       NIDS只檢査它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限。而安裝多臺(tái)NIDS的傳感器會(huì)使部署整個(gè)系統(tǒng)的成本大大增加。

       NIDS為了性能目標(biāo)通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)。

       NIDS可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流景。一些系統(tǒng)在實(shí)現(xiàn)時(shí)采用一定方法來減少回傳的數(shù)據(jù)撒，對(duì)入侵判斷的決策由傳感器實(shí)現(xiàn)，而中央控制臺(tái)成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。

       NIDS處理加密的會(huì)話過程較困難，目前通過加密通道的攻擊還不多，但隨著IPv6的普及，這個(gè)問題會(huì)越來越突出。

       2.基于主機(jī)的入侵檢測(cè)

       基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS〉通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑（特征或違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。

       (1)優(yōu)點(diǎn)

       HIDS對(duì)分析“可能的攻擊行為”非常有用。它除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外，還能分辨出入侵者做了什么事，運(yùn)行了什么程序，打開了哪些文件，執(zhí)行了哪些系統(tǒng)調(diào)用。HIDS與NIDS相比通常能夠提供更詳盡的相關(guān)信息。

       因?yàn)闄z測(cè)在主機(jī)上運(yùn)行的命令序列比檢測(cè)網(wǎng)絡(luò)流更簡單，系統(tǒng)的復(fù)雜性也少得多，所以在通常情況下HIDS比N1DS誤報(bào)率要低。

       HIDS可部署在那些不需要廣泛的入侵檢測(cè)、傳感器與控制臺(tái)之間的通信帶寬不足的情況下。

       (2)弱點(diǎn)

       HIDS安裝在霈要保護(hù)的設(shè)備上，這會(huì)降低應(yīng)用系統(tǒng)的效率，也會(huì)帶來一些額外的安全問題。HIDS依賴于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒有配置日志功能，則必須重新配置。HIDS只監(jiān)測(cè)自身的主機(jī)，不監(jiān)測(cè)網(wǎng)絡(luò)上的情況。

       3.混合入侵檢測(cè)

       基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi).則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

       4.文件完整性檢査

       文件完整性檢查系統(tǒng)檢査計(jì)算機(jī)中自上次檢査后文件變化情況。文件完整性檢査系統(tǒng)保存有每個(gè)文件的信息摘要數(shù)據(jù)庫，每次檢査時(shí)，重新計(jì)算文件的信息摘要并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改；若相同，文件則未發(fā)生變化。

       文件的信息摘要通過Hash由數(shù)計(jì)算得到。通常采用安全性高的Hash算法，如MD5、SHA時(shí)，兩個(gè)不同的文件幾乎不可能得到相同的Hash結(jié)果。

       (1)優(yōu)點(diǎn)

       從數(shù)學(xué)上分析，攻克文件完整性檢查系統(tǒng)，無論是時(shí)間上還是空間上都是不可能的。

       文件完整性檢査系統(tǒng)具有相當(dāng)?shù)撵`活性，可以配置成為監(jiān)測(cè)系統(tǒng)中所有文件或某些重要文件。

       入侵者攻擊系統(tǒng)時(shí)，首先，他要掩蓋他的蹤跡，即要通過更改系統(tǒng)中的可執(zhí)行文件、庫文件或日志文件來隱藏他的活動(dòng)；其次，他要做一些改動(dòng)保證下次能夠繼續(xù)入侵。這兩種活動(dòng)都能夠被文件完整性檢查系統(tǒng)檢測(cè)出》

       (2)弱點(diǎn)

       文件完整性檢查系統(tǒng)依賴于本地的信息摘要數(shù)據(jù)庫。與日志文件一樣，這些數(shù)據(jù)可能被入侵者修改。當(dāng)一個(gè)入侵者取得管理員權(quán)限后，在完成破壞活動(dòng)后，可以運(yùn)行文件完整性檢查系統(tǒng)更新數(shù)據(jù)庫，從而瞞過系統(tǒng)管理員。當(dāng)然，可以將信息摘要數(shù)據(jù)庫放在只讀的介質(zhì)上，但這樣的配置不夠靈活性。

       做一次完整的文件完整性檢查是一個(gè)非常耗時(shí)的工作。

       系統(tǒng)有些正常的更新操作可能會(huì)帶來大量的文件更新，從而產(chǎn)生比較繁雜的檢查與分析工作。例如，在WindowsNT操作系統(tǒng)中升級(jí)MicrosoftOutlook將會(huì)引起1800多個(gè)文件變化

       >>>>>>點(diǎn)擊進(jìn)入了解更多中級(jí)通信工程師（綜合能力）備考知識(shí)點(diǎn)集錦

       希賽網(wǎng)，擁有8年的通信工程師考試培訓(xùn)經(jīng)驗(yàn)，希賽網(wǎng)一直堅(jiān)持自主研發(fā)，將豐富的培訓(xùn)經(jīng)驗(yàn)有效融入教程研發(fā)過程，自成體系的在線題庫（歷年真題）、培訓(xùn)教材和視頻教程，多樣的培訓(xùn)方式包括面授、和網(wǎng)絡(luò)課堂，使考生的學(xué)習(xí)更具系統(tǒng)性，輔輔更具針對(duì)性。采用全程督學(xué)機(jī)制，幫助學(xué)員順利通過考試。