返回
入侵检测系统原理、实践与选购

入侵检测系统原理、实践与选购

ID:9738370

大小:59.50 KB

页数:8页

时间:2018-05-07

入侵检测系统原理、实践与选购_第1页
入侵检测系统原理、实践与选购_第2页
入侵检测系统原理、实践与选购_第3页
入侵检测系统原理、实践与选购_第4页
入侵检测系统原理、实践与选购_第5页
资源描述:

《入侵检测系统原理、实践与选购》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、入侵检测系统原理、实践与选购~教育资源库  自从计算机以网络方式被连接开始,网络安全就成为一个重大问题,随着INTER的发展,安全系统的要求也与日俱增,其要求之一就是入侵检测系统。  本文旨在介绍几种常见的入侵检测系统及其理论和实践,需要指出的是,本文仅仅是一篇介绍性的文章,即使我推荐了许多可能的系统,在你相信其可靠性前,还需要深入的研究做更近一步研究。  一、什么是入侵检测  入侵检测是指监视或者在可能的情况下,阻止入侵或者试图控制你的系统或者网络资源的那种努力。  简而言之,它的工作方式是这样的:你有台机器,被连接到网络上,也许就是被连到了INTER上

2、,出于可以理解的原因,你也愿意为被授权者设置从网络上访问你的系统的许可。比如,你有以台连接到INTER上的和UNIX的/ETC/PASSB协议下的NT文件共享加以限制、使用SSH取代UNIX环境下的TEL连接。  (4)ID还有进一步的作用,由于被放置在防火墙和被保护的系统之间,ID等于是在系统之上增加了以层保护。比如,通过ID对敏感端口的监测就可以判断防火墙是否已经被攻破,或者防护措施已经被灭了。  三、ID有哪些种类呢  ID可以分为两大类,  (1)基于网络的系统:这种ID放置于网络之上,靠近被检测的系统,它们监测网络流量并判断是否正常。  (2)基

3、于主机的系统:这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。我还想补充最近出现的一种ID:位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。   基于网络的ID  简介  基于网络的IDS是指监测整个网络流量的系统,一块网卡就可能会有两种用途:  普通模式:受数据包里面所包含的MAC地址决定,数据被发送到目的主机。  任意模式(Promiscuousmode):所有可以被监测到的信息均被主机接收。  网卡可以在普通模式和任意模式之间进行切换,同样,使用操作系统的低级功能就可以完成这种变换。基于

4、网络的IDS一般是需要把网卡设置成后以种模式。   包嗅探和网络监测  包嗅探和网络监测最初是为了监测以太网的流量而设计的,最初的代表性产品就是NOVEL的LANALYSER和MS的ONITOR。  这些产品一般会拦截它们在网络上可疑拦截的一切数据包,当一个数据包被拦截后,可能会有以下几种情况:  对包进行累加,在截取的时间段内对数据包进行累加,用以确定该时间段内网络的负载,LANALYSER和MS的NM都在网络负载的表示界面方面有很好的表现。  对数据包进行分析:比如,当你想对抵达一个SNM都可以对数据包进行详尽的分析。  最后罗嗦以句(NND,洋人就是

5、P多):工具本身无善恶,全在人心,通过对连接到UNIX的TEL连接进行包嗅探,就可能可以截取用户的密码,任何一个入侵者一旦得手,首先的事情就是会安装包嗅探器(NND,那是说高手,象俺最多在自己的机器上装个嗅探器,嘿嘿)   包嗅探与任意模式  所有包嗅探都需要网卡被设置为任意模式,因为仅在此模式下,所有通过网卡的数据可以被传送到嗅探器,包嗅探的使用前提是安装他的机器上使用者具有管理员权限  还有一点需要引起注意的是交换机的使用,请注意,不是HUB(NND,当我们中国人没见过交换机啊!),在交换机内,一个接口所接收的数据并不是一定会转发到另一个接口,所以,在

6、这种情况下,包嗅探器并不一定可以发挥其作用。   基于网络的ID:嗅探器的发展  不幸的是,从安全的角度来看,包嗅探器好处有限。要去捕获每一个数据包,然后是分析、手工采取行动,实在是一件烦琐之至的事情,但是,如果用软件来代替我们的劳动呢?  这就是基于网络的ID要干的活。比如经常使用的ISSRealSecureEngine和NetP时)以截断数据发送方和接收方之间的连接。  在这种情况下,RealSecure可以在防火墙后建立起以个有效的阻止系统,当然,也有在防火墙的位置直接使用RS的,而我(原-不是土鳖我啊!)不建议大伙采用这种方法。  基于网络的ID还

7、有一些别的功能,比如:   监测明显的端口扫描。在攻陷系统之前,攻击者一般会扫描系统以发现系统的缺陷,一般说来,INTER上来自以台主机的端口扫描往往是有人开始攻击的先兆。  对常见的攻击方式加以监测。通过80端口连接到以台D5或者其他的加密、校验和等手段,将这些设置储存进数据库,当文件变化时,校验和也会发生变化。  注意所有文件的创建和修改时间,以及它们的时戳。  对SUID命令的使用加以监控,任何变化或者新的SUID命令被安装、删除,都可能会是问题的征兆。  不管Tripwire,Fcheck,AIDE玩得怎么花,它们的工作原理就是上面那些东西,它们的

8、作用是保证那些数据库和加密的校验和没出问题。因为不排除这样一种可能

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。