返回
入侵检测系统的理论和实践

入侵检测系统的理论和实践

ID:9743413

大小:56.50 KB

页数:6页

时间:2018-05-07

入侵检测系统的理论和实践_第1页
入侵检测系统的理论和实践_第2页
入侵检测系统的理论和实践_第3页
入侵检测系统的理论和实践_第4页
入侵检测系统的理论和实践_第5页
资源描述:

《入侵检测系统的理论和实践》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、入侵检测系统的理论和实践~教育资源库  自从计算机以网络方式被连接开始,网络安全就成为一个重大问题,随着INTER的发展,安全系统的要求也与日俱增,其要求之一就是入侵检测系统。  本文旨在介绍几种常见的入侵检测系统及其理论和实践,需要指出的是,本文仅仅是一篇介绍性的文章,即使我推荐了许多可能的系统,在你相信其可靠性前,最好还是深入的研究一下他们。(NND,烦死我了,要敲4个字,以后我就简称ID得了。入侵检测系统就是IDS:-))  一、什么是入侵检测。  入侵检测是指监视或者在可能的情况下,阻止入侵或者试图控制你的系

2、统或者网络资源的那种努力。  简而言之,它的工作方式是这样的:你有台机器,被连接到网络上,也许就是被连到了INTER上,出于可以理解的原因,你也愿意为被授权者设置从网络上访问你的系统的许可。比如,你有以台连接到INTER上的和UNIX的/ETC/PASSB协议下的NT文件共享加以限制、使用SSH取代UNIX环境下的TEL连接。  (4)ID还有进一步的作用,由于被放置在防火墙和被保护的系统之间,ID等于是在系统之上增加了以层保护。比如,通过ID对敏感端口的监测就可以判断防火墙是否已经被攻破,或者防护措施已经被灭了。 

3、 三、ID有哪些种类呢?  ID可以分为两大类,  (1)基于网络的系统:这种ID放置于网络之上,靠近被检测的系统,它们监测网络流量并判断是否正常。  (2)基于主机的系统:这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。我还想补充最近出现的一种ID:位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。  基于网络的ID  简介  基于网络的IDS是指监测整个网络流量的系统,一块网卡就可能会有两种用途:  普通模式:受数据包里面所包含的MAC地址决定,数据被

4、发送到目的主机。  任意模式(Promiscuousmode):所有可以被监测到的信息均被主机接收。  网卡可以在普通模式和任意模式之间进行切换,同样,使用操作系统的低级功能就可以完成这种变换。基于网络的IDS一般是需要把网卡设置成后以种模式。  包嗅探和网络监测  包嗅探和网络监测最初是为了监测以太网的流量而设计的,最初的代表性产品就是NOVEL的LANALYSER和MS的ONITOR。  这些产品一般会拦截它们在网络上可疑拦截的一切数据包,当一个数据包被拦截后,可能会有以下几种情况:  对包进行累加,在截取的时间

5、段内对数据包进行累加,用以确定该时间段内网络的负载,LANALYSER和MS的NM都在网络负载的表示界面方面有很好的表现。  对数据包进行分析:比如,当你想对抵达一个SNM都可以对数据包进行详尽的分析。  最后罗嗦以句(NND,洋人就是P多):工具本身无善恶,全在人心,通过对连接到UNIX的TEL连接进行包嗅探,就可能可以截取用户的密码,任何一个入侵者一旦得手,首先的事情就是会安装包嗅探器(NND,那是说高手,象俺最多在自己的机器上装个嗅探器,嘿嘿)  包嗅探与任意模式  所有包嗅探都需要网卡被设置为任意模式,因为仅

6、在此模式下,所有通过网卡的数据可以被传送到嗅探器,包嗅探的使用前提是安装他的机器上使用者具有管理员权限  还有一点需要引起注意的是交换机的使用,请注意,不是HUB(NND,当我们中国人没见过交换机啊!),在交换机内,一个接口所接收的数据并不是一定会转发到另一个接口,所以,在这种情况下,包嗅探器并不一定可以发挥其作用。  基于网络的ID:嗅探器的发展  不幸的是,从安全的角度来看,包嗅探器好处有限。要去捕获每一个数据包,然后是分析、手工采取行动,实在是一件烦琐之至的事情,但是,如果用软件来代替我们的劳动呢?  这就是基

7、于网络的ID要干的活。比如经常使用的ISSRealSecureEngine和NetP时)以截断数据发送方和接收方之间的连接。  这种情况下,RealSecure可以在防火墙后建立起以个有效的阻止系统,当然,也有在防火墙的位置直接使用RS的,而我(原123下一页友情提醒:,特别!-不是土鳖我啊!)不建议大伙采用这种方法。  基于网络的ID还有一些别的功能,比如:  监测明显的端口扫描。在攻陷系统之前,攻击者一般会扫描系统以发现系统的缺陷,一般说来,INTER上来自以台主机的端口扫描往往是有人开始攻击的先兆。  对常见的

8、攻击方式加以监测。通过80端口连接到以台D5或者其他的加密、校验和等手段,将这些设置储存进数据库,当文件变化时,校验和也会发生变化。  注意所有文件的创建和修改时间,以及它们的时戳。  对SUID命令的使用加以监控,任何变化或者新的SUID命令被安装、删除,都可能会是问题的征兆。  不管Tripwire,Fcheck,AIDE玩得怎么花,它们的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。