資源描述:
《網(wǎng)絡(luò)入侵檢測系統(tǒng)(ids)漫談》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)漫談~教育資源庫 隨著網(wǎng)絡(luò)安全風險系數(shù)不斷提高,曾經(jīng)作為最主要的安全防范手段的防火墻,已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求?! ∽鳛閷Ψ阑饓捌溆幸娴难a充,IDS(入侵檢測系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 IDS被認為是防火墻之后的第二道安全閘門,它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護?! “殡S著計算機網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)攻擊和入侵事件與日俱增,特別是近
2、兩年,政府部門、軍事機構(gòu)、金融機構(gòu)、企業(yè)的計算機網(wǎng)絡(luò)頻遭黑客襲擊。攻擊者可以從容地對那些沒有安全保護的網(wǎng)絡(luò)進行攻擊和入侵,如進行拒絕服務(wù)攻擊、從事非授權(quán)的訪問、肆意竊取和篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時獲得內(nèi)部信息、傳播計算機病毒、摧毀主機等等。攻擊和入侵事件給這些機構(gòu)和企業(yè)帶來了巨大的經(jīng)濟損失和形象的損害,甚至直接威脅到國家的安全?! ∫?、存在的問題 攻擊者為什么能夠?qū)W(wǎng)絡(luò)進行攻擊和入侵呢?原因在于,我們的計算機網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置,主要表現(xiàn)在操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、TCP/IP協(xié)議、應用程序(如數(shù)據(jù)庫
3、、瀏覽器等)、網(wǎng)絡(luò)設(shè)備等幾個方面。正是這些弱點、漏洞和不安全設(shè)置給攻擊者以可乘之機。另外,由于大部分網(wǎng)絡(luò)缺少預警防護機制,即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò),侵入到關(guān)鍵的主機,并從事非法的操作,我們的網(wǎng)管人員也很難察覺到。這樣,攻擊者就有足夠的時間來做他們想做的任何事情?! ∧敲矗覀?nèi)绾畏乐购捅苊庠馐芄艉腿肭帜??首先要找出網(wǎng)絡(luò)中存在的安全弱點、漏洞和不安全的配置;然后采用相應措施堵塞這些弱點、漏洞,對不安全的配置進行修正,最大限度地避免遭受攻擊和入侵;同時,對網(wǎng)絡(luò)活動進行實時監(jiān)測,一旦監(jiān)測到攻擊行為或違規(guī)操作,能夠及時做出反應,包括記錄日志、報警甚至阻斷非法
4、連接?! DS的出現(xiàn),解決了以上的問題。設(shè)置硬件防火墻,可以提高網(wǎng)絡(luò)的通過能力并阻擋一般性的攻擊行為;而采用IDS入侵防護系統(tǒng),則可以對越過防火墻的攻擊行為以及來自網(wǎng)絡(luò)內(nèi)部的違規(guī)操作進行監(jiān)測和響應?! 《DS日顯重要 目前,隨著IDS技術(shù)的逐漸成熟,在整個安全部署中的重要作用正在被廣大用戶所認可和接受。為了確保網(wǎng)絡(luò)安全,必須建立一整套的安全防護體系,進行多層次、多手段的檢測和防護。IDS就是安全防護體系中重要的一環(huán),它能夠及時識別網(wǎng)絡(luò)中發(fā)生的入侵行為并實時報警。IDS是繼防火墻、信息加密等傳統(tǒng)安全保護方法之后的新一代安全保障技術(shù)。它監(jiān)視計算機系統(tǒng)或
5、網(wǎng)絡(luò)中發(fā)生的事件,并對它們進行分析,以尋找危及機密性、完整性、可用性或繞過安全機制的入侵行為。IDS就是自動執(zhí)行這種監(jiān)視和分析過程的安全產(chǎn)品?! DS的主要優(yōu)勢是監(jiān)聽網(wǎng)絡(luò)流量,不會影響網(wǎng)絡(luò)的性能。雖然在理論上,IDS對用戶不是必需的,但它的存在確實減少了網(wǎng)絡(luò)的威脅。有了IDS,就像在一個大樓里安裝了監(jiān)視器一樣,可對整個大樓進行監(jiān)視,用戶感覺很踏實,用IDS對用戶來說是很值得的?! ∪肭謾z測系統(tǒng)作為一種積極主動的安全防護工具,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時防護,在計算機網(wǎng)絡(luò)和系統(tǒng)受到危害之前進行報警、攔截和響應。它具有以下主要作用:通過檢測和記錄
6、網(wǎng)絡(luò)中的安全違規(guī)行為,懲罰網(wǎng)絡(luò)犯罪,防止網(wǎng)絡(luò)入侵事件的發(fā)生;檢測其他安全措施未能阻止的攻擊或安全違規(guī)行為;檢測黑客在攻擊前的探測行為,預先給管理員發(fā)出警報;報告計算機系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅;提供有關(guān)攻擊的信息,幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點,利于其進行修補;在大型、復雜的計算機網(wǎng)絡(luò)中布置入侵檢測系統(tǒng),可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。 隨著用戶對IDS認識的加深,IDS在整個安全體系架構(gòu)中的地位也在不斷提高,正成為一種必不可少的安全產(chǎn)品,在實際使用中,發(fā)揮著越來越大的作用,就像交通燈、攝像頭一樣,對攻擊者起到了一種威懾的作用,能夠?qū)θ肭中袨?,特別是
7、常規(guī)的入侵行為做很好的監(jiān)測,對網(wǎng)絡(luò)安全有一定的保護作用?! ∪?、IDS是什么 在本質(zhì)上,入侵檢測系統(tǒng)是一個典型的窺探設(shè)備。它不跨接多個物理網(wǎng)段(通常只有一個監(jiān)聽端口),無須轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上被動地、無聲息地收集它所關(guān)心的報文即可。IDS處理過程分為數(shù)據(jù)采集階段、數(shù)據(jù)處理及過濾階段、入侵分析及檢測階段、報告以及響應階段等四個階段。數(shù)據(jù)采集階段是數(shù)據(jù)審核階段。入侵檢測系統(tǒng)收集目標系統(tǒng)中引擎提供的主機通訊數(shù)據(jù)包和系統(tǒng)使用等情況。數(shù)據(jù)處理及過濾階段是把采集到的數(shù)據(jù)轉(zhuǎn)換為可以識別是否發(fā)生入侵的階段。分析及檢測入侵階段通過分析上一階段提供的數(shù)據(jù)來判斷是否
8、發(fā)生入侵。這一階段是整個入侵檢測系統(tǒng)的核心階段,根據(jù)系統(tǒng)是以檢測異