***检测系统简介
2007-02-25 20:20
183 查看
***检测(Intrusion Detection),顾名思义,是对***行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被***的迹象。进行***检测的软件与硬件的组合便是***检测系统(Intrusion Detection System,简称IDS)。
与其他安全产品不同的是,***检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的***检测系统能大大的简化管理员的工作,保证网络安全的运行。因此,***检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部***、外部***和误操作的实时保护。这些都通过它执行以下任务来实现:
·监视、分析用户及系统活动;
·系统构造和弱点的审计;
·识别反映已知进攻的活动模式并向相关人士报警;
·异常行为模式的统计分析;
·评估重要系统和数据文件的完整性;
·操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
下面,我将从***检测系统的功能、分类以及***检测技术这三个方面,来对此系统进行简单的介绍。
***检测系统的主要功能
对一个成功的***检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,***检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。***检测系统在发现***后,会及时作出响应,包括切断网络连接、记录事件和报警等。具体来说,***检测系统的主要功能有:
·监测并分析用户和系统的活动;
·核查系统配置和漏洞;
·评估系统关键资源和数据文件的完整性;
·识别已知的***行为;
·统计分析异常行为;
·操作系统日志管理,并识别违反安全策略的用户活动。
***检测系统的分类
一般来说,***检测系统可分为主机型和网络型。
主机型***检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型***检测系统保护的一般是所在的系统。
网络型***检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式(promisc mode),监听所有本网段内的数据包并进行判断。一般网络型***检测系统担负着保护整个网段的任务。
不难看出,网络型IDS的优点主要是简便:一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用,不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及,这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。
而尽管主机型IDS的缺点显而易见:必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告***行为。
***检测技术
对各种事件进行分析,从中发现违反安全策略的行为是***检测系统的核心功能。
***检测技术从时间上,可分为实时***检测和事后***检测两种。
实时***检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现***迹象立即断开***者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。
而事后***检测由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断用户是否具有***行为,如果有就断开连接,并记录***证据和进行数据恢复。事后***检测是管理员定期或不定期进行的,不具有实时性,因此防御***的能力不如实时***检测系统。
从技术上,***检测也可分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被***的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知得***,它可以详细、准确的报告报告出***类型,但是对未知***却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出***的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的***。
如果条件允许,两者结合的检测会达到更好的效果。
小结
***检测作为一种积极主动地安全防护技术,提供了对内部***、外部***和误操作的实时保护,在网络系统受到危害之前拦截和响应***。从网络安全立体纵深、多层次防御的角度出发,***检测理应受到人们的高度重视,这从国外***检测产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的***检测产品。
未来的***检测系统将会结合其它网络管理软件,形成***检测、网络管理、网络监控三位一体的工具。强大的***检测软件的出现极大的方便了网络的管理,其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题,但正如***技术不断发展一样,***的检测也会不断更新、成熟。同时,网络安全需要纵深的、多样的防护。即使拥有当前最强大的***检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
与其他安全产品不同的是,***检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的***检测系统能大大的简化管理员的工作,保证网络安全的运行。因此,***检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部***、外部***和误操作的实时保护。这些都通过它执行以下任务来实现:
·监视、分析用户及系统活动;
·系统构造和弱点的审计;
·识别反映已知进攻的活动模式并向相关人士报警;
·异常行为模式的统计分析;
·评估重要系统和数据文件的完整性;
·操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
下面,我将从***检测系统的功能、分类以及***检测技术这三个方面,来对此系统进行简单的介绍。
***检测系统的主要功能
对一个成功的***检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,***检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。***检测系统在发现***后,会及时作出响应,包括切断网络连接、记录事件和报警等。具体来说,***检测系统的主要功能有:
·监测并分析用户和系统的活动;
·核查系统配置和漏洞;
·评估系统关键资源和数据文件的完整性;
·识别已知的***行为;
·统计分析异常行为;
·操作系统日志管理,并识别违反安全策略的用户活动。
***检测系统的分类
一般来说,***检测系统可分为主机型和网络型。
主机型***检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型***检测系统保护的一般是所在的系统。
网络型***检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式(promisc mode),监听所有本网段内的数据包并进行判断。一般网络型***检测系统担负着保护整个网段的任务。
不难看出,网络型IDS的优点主要是简便:一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用,不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及,这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。
而尽管主机型IDS的缺点显而易见:必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告***行为。
***检测技术
对各种事件进行分析,从中发现违反安全策略的行为是***检测系统的核心功能。
***检测技术从时间上,可分为实时***检测和事后***检测两种。
实时***检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现***迹象立即断开***者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。
而事后***检测由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断用户是否具有***行为,如果有就断开连接,并记录***证据和进行数据恢复。事后***检测是管理员定期或不定期进行的,不具有实时性,因此防御***的能力不如实时***检测系统。
从技术上,***检测也可分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被***的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知得***,它可以详细、准确的报告报告出***类型,但是对未知***却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出***的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的***。
如果条件允许,两者结合的检测会达到更好的效果。
小结
***检测作为一种积极主动地安全防护技术,提供了对内部***、外部***和误操作的实时保护,在网络系统受到危害之前拦截和响应***。从网络安全立体纵深、多层次防御的角度出发,***检测理应受到人们的高度重视,这从国外***检测产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的***检测产品。
未来的***检测系统将会结合其它网络管理软件,形成***检测、网络管理、网络监控三位一体的工具。强大的***检测软件的出现极大的方便了网络的管理,其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题,但正如***技术不断发展一样,***的检测也会不断更新、成熟。同时,网络安全需要纵深的、多样的防护。即使拥有当前最强大的***检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- android自动化测试工具简介
- 网络开发中socket简介
- socket通信简介
- 80X86简介及寄存器详解
- .NET 指南:设计指导方针简介
- MySQL引擎简介
- Linux系统启动过程简介
- boost库简介
- Red Gate的SQL Source Control工具简介
- start_armboot函数简介
- eMMC 原理 2 :eMMC 简介
- java基础-反射1(类型信息,Class对象简介,Class对象初始化)
- XML简介
- 双绞线接法简介
- TCP—定时器简介
- GNU C 扩展之__attribute__ 机制简介
- 【STL源码剖析读书笔记】【第1章】STL概论与版本简介
- socket通信简介
- 贝叶斯原理及其推断简介
- web框架简介