首頁
排行
完本
足跡

第十八章 數據通信(四)(1 / 3)

通信網絡與信息技術2007(全4冊) 劉恒臣;夏明;宋開強主編

2.1基於主機的入侵檢測係統

基於主機的入侵檢測係統出現在20世紀80年代初期,那時網絡還沒有像今天這樣普遍和複雜,網絡之間也沒有完全連通。由於入侵在當時是相當少見的,對攻擊進行的事後分析就可以防止今後的攻擊了。

基於主機的係統檢測分析所需數據來自主機係統,通常是係統日誌和審計記錄。保護的一般是所在的係統。防火牆內部的WEB,DNS和Email等服務器是大部分攻擊的目標,這些服務器應該安裝基於主機的IDS以提高整體安全性。它可以精確地判斷針對本主機的入侵事件,並可以立即對入侵事件做出反應,但同時也會占用主機寶貴的資源。

2.2基於網絡的入侵檢測係統

基於網絡的入侵檢測係統使用原始網絡上的數據包作為數據源。它通常將某台主機的網卡設於混雜模式,實時監聽並分析所有本網段內的數據包,或直接在路由設備上放置入侵檢測模塊。一旦檢測到了攻擊行為,IDS的響應模塊就提供多種選項以通知、報警並對攻擊采取相應的反應。一般網絡入侵檢測係統擔負著保護整個網段的任務。這種入侵檢測係統容易丟包,因而精確度較差,並且在交換網絡環境中難於配置,導致防範入侵欺騙的能力下降,但是它可以提供實時的細粒度的網絡監控手段。

3.入侵檢測的檢測方法

對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測係統的核心功能。從技術上,入侵檢測分為兩類:基於異常行為的入侵檢測和基於特征的入侵檢測。其中,基於特征的入侵檢測又叫誤用檢測。

3.1基於異常行為的入侵檢測

基於異常行為的入侵檢測首先給係統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、係統的行為進行比較,任何觀察值在正常值範圍之外時,就認為有入侵發生。其優點是可檢測到未知的入侵和更為複雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家係統的、基於模型推理的和基於神經網絡的分析方法,目前正處於研究熱點和迅速發展之中。

3.2基於特征的入侵檢測

基於特征的入侵檢測是指將收集到的信息與已知的網絡入侵和係統誤用模式數據庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很複雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是隻需收集相關的數據集合,顯著減少係統負擔,且技術已相當成熟。它與防病毒軟件采用的方法類似,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。

2.1基於主機的入侵檢測係統

基於主機的入侵檢測係統出現在20世紀80年代初期,那時網絡還沒有像今天這樣普遍和複雜,網絡之間也沒有完全連通。由於入侵在當時是相當少見的,對攻擊進行的事後分析就可以防止今後的攻擊了。

基於主機的係統檢測分析所需數據來自主機係統,通常是係統日誌和審計記錄。保護的一般是所在的係統。防火牆內部的WEB,DNS和Email等服務器是大部分攻擊的目標,這些服務器應該安裝基於主機的IDS以提高整體安全性。它可以精確地判斷針對本主機的入侵事件,並可以立即對入侵事件做出反應,但同時也會占用主機寶貴的資源。

2.2基於網絡的入侵檢測係統

基於網絡的入侵檢測係統使用原始網絡上的數據包作為數據源。它通常將某台主機的網卡設於混雜模式,實時監聽並分析所有本網段內的數據包,或直接在路由設備上放置入侵檢測模塊。一旦檢測到了攻擊行為,IDS的響應模塊就提供多種選項以通知、報警並對攻擊采取相應的反應。一般網絡入侵檢測係統擔負著保護整個網段的任務。這種入侵檢測係統容易丟包,因而精確度較差,並且在交換網絡環境中難於配置,導致防範入侵欺騙的能力下降,但是它可以提供實時的細粒度的網絡監控手段。

3.入侵檢測的檢測方法

對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測係統的核心功能。從技術上,入侵檢測分為兩類:基於異常行為的入侵檢測和基於特征的入侵檢測。其中,基於特征的入侵檢測又叫誤用檢測。

3.1基於異常行為的入侵檢測

基於異常行為的入侵檢測首先給係統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、係統的行為進行比較,任何觀察值在正常值範圍之外時,就認為有入侵發生。其優點是可檢測到未知的入侵和更為複雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家係統的、基於模型推理的和基於神經網絡的分析方法,目前正處於研究熱點和迅速發展之中。

3.2基於特征的入侵檢測

基於特征的入侵檢測是指將收集到的信息與已知的網絡入侵和係統誤用模式數據庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很複雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是隻需收集相關的數據集合,顯著減少係統負擔,且技術已相當成熟。它與防病毒軟件采用的方法類似,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。

上一章 書頁/目錄 下一頁