硬件入侵檢測系統(tǒng)完全導購

http://m.yibo1263.com　2008-6-12 8:35:25 　來源:本站　編輯:東三省

　　2、入侵檢測的主要技術

　　●模式匹配

　　模式匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，來發(fā)現(xiàn)違背安全策略的入侵行為。該過程可以很簡單，也可以很復雜。一種進攻模式可以利用一個過程或一個輸出來表示。這種檢測方法只需收集相關的數(shù)據(jù)集合就能進行判斷，能減少系統(tǒng)占用，并且技術已相當成熟，檢測準確率和效率也相當高。但是，該技術需要不斷進行升級以對付不斷出現(xiàn)的攻擊手法，并且不能檢測未知攻擊手段。

　　●異常檢測

　　異常檢測首先給系統(tǒng)對象（用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，包括統(tǒng)計正常使用時的測量屬性，如訪問次數(shù)、操作失敗次數(shù)和延時等。測量屬性的平均值被用來與網(wǎng)絡、系統(tǒng)的行為進行比較，當觀察值在正常值范圍之外時，IDS就會判斷有入侵發(fā)生。異常檢測的優(yōu)點是可以檢測到未知入侵和復雜的入侵，缺點是誤報、漏報率高。

　　●協(xié)議分析

　　協(xié)議分析是在傳統(tǒng)模式匹配技術基礎之上發(fā)展起來的一種新的入侵檢測技術。它充分利用了網(wǎng)絡協(xié)議的高度有序性，并結合了高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析，來快速檢測某個攻擊特征是否存在，這種技術正逐漸進入成熟應用階段。協(xié)議分析大大減少了計算量，即使在高負載的高速網(wǎng)絡上，也能逐個分析所有的數(shù)據(jù)包。

　　3、入侵檢測技術的對比

　　●模式匹配技術：預報檢測的準確率較高，但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。對系統(tǒng)資源的消耗較高。

　　●異常檢測技術：最大優(yōu)點就是它可以統(tǒng)計用戶的網(wǎng)絡使用習慣，從而具有較高檢測率與可用性。但是它的統(tǒng)計能力也給入侵者以機會通過逐步測試而使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。

　　●協(xié)議分析技術：充分利用通信協(xié)議的已知結構，可以更快更有效地處理信息數(shù)據(jù)幀和連接。將命令解析技術與協(xié)議分析技術相結合，來模擬執(zhí)行一個命令字符串，可以在通信連接到達操作系統(tǒng)或應用系統(tǒng)之前準確判斷該通信是否惡意。對系統(tǒng)資源的極低消耗。

　　4、入侵檢測術語

　　Alerts（警報）

　　當一個入侵正在發(fā)生或者試圖發(fā)生時，IDS系統(tǒng)將發(fā)布一個alert信息通知系統(tǒng)管理員。如果控制臺與IDS系統(tǒng)同在一臺機器，alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示。如果是遠程控制臺，那么alert將通過IDS系統(tǒng)內置方法（通常是加密的）、SNMP（簡單網(wǎng)絡管理協(xié)議，通常不加密）、email、SMS（短信息）或者以上幾種方法的混合方式傳遞給管理員。

　　Anomaly（異常）

　　當有某個事件與一個已知攻擊的信號相匹配時，多數(shù)IDS都會告警。一個基于anomaly（異常）的IDS會構造一個當時活動的主機或網(wǎng)絡的大致輪廓，當有一個在這個輪廓以外的事件發(fā)生時，IDS就會告警，例如有人做了以前他沒有做過的事情的時候，例如，一個用戶突然獲取了管理員或根目錄的權限。有些IDS廠商將此方法看做啟發(fā)式功能，但一個啟發(fā)式的IDS應該在其推理判斷方面具有更多的智能。

　　Attacks（攻擊）

　　Attacks可以理解為試圖滲透系統(tǒng)或繞過系統(tǒng)的安全策略，以獲取信息、修改信息以及破壞目標網(wǎng)絡或系統(tǒng)功能的行為。

　　Enumeration（列舉）

　　經(jīng)過被動研究和社會工程學的工作后，攻擊者就會開始對網(wǎng)絡資源進行列舉。列舉是指攻擊者主動探查一個網(wǎng)絡以發(fā)現(xiàn)其中有什么以及哪些可以被他利用。由于現(xiàn)在的行動不再是被動的，它就有可能被檢測出來。當然為了避免被檢測到，他們會盡可能地悄悄進行。　

　　Evasion（躲避）

　　Evasion是指發(fā)動一次攻擊，而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面，而實際攻擊的卻是另一個目標，所謂明修棧道，暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL（有效時間）值，這樣，經(jīng)過IDS的信息看起來好像是無害的，而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經(jīng)過了IDS并接近目標，無害的部分就會被丟掉，只剩下有害的。

　　Exploits（漏洞利用）

　　對于每一個漏洞，都有利用此漏洞進行攻擊的機制。為了攻擊系統(tǒng)，攻擊者編寫出漏洞利用代碼或腳本。對每個漏洞都會存在利用這個漏洞執(zhí)行攻擊的方式，這個方式就是Exploit。為了攻擊系統(tǒng)，黑客會編寫出漏洞利用程序。

　　False Negatives（漏報）

　　漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。

　　False Positives（誤報）

　　誤報是指實際無害的事件卻被IDS檢測為攻擊事件。

　　Fragmentation（分片）

　　如果一個信息包太大而無法裝載，它就不得不被分成片斷。分片的依據(jù)是網(wǎng)絡的MTU（Maximum Transmission Units，最大傳輸單元）。例如，靈牌環(huán)網(wǎng)（token ring）的MTU是4464，以太網(wǎng)（Ethernet）的MTU是1500，因此，如果一個信息包要從靈牌環(huán)網(wǎng)傳輸?shù)揭蕴W(wǎng)，它就要被分裂成一些小的片斷，然后再在目的地重建。雖然這樣處理會造成效率降低，但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法，另外還有一些DOS攻擊也使用分片技術�！�

　　Heuristics（啟發(fā)）

　　Heuristics就是指在入侵檢測中使用AI（artificial intelligence，人工智能）思想。真正使用啟發(fā)理論的IDS已經(jīng)出現(xiàn)大約10年了，但他們還不夠"聰明"，攻擊者可以通過訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵，這樣的IDS必須要不斷地學習什么是正常事件。一些產商認為這已經(jīng)是相當"聰明"的IDS了，所以就將它們看做是啟發(fā)式IDS。但實際上，真正應用AI技術對輸入數(shù)據(jù)進行分析的IDS還很少很少�！�

　　Honeypot（蜜罐）

　　蜜罐是一個包含漏洞的系統(tǒng)，它模擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。由于蜜罐沒有其它任務需要完成，因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。與此同時，最初的攻擊目標受到了保護，真正有價值的內容將不受侵犯。

　　Promiscuous（混雜模式）

　　默認狀態(tài)下，IDS網(wǎng)絡接口只能看到進出主機的信息，也就是所謂的non-promiscuous（非混雜模式）。如果網(wǎng)絡接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡通信量，不管其來源或目的地。這對于網(wǎng)絡IDS是必要的，但同時可能被信息包嗅探器所利用來監(jiān)控網(wǎng)絡通信量。交換型HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（span）端口。

本新聞共10頁,當前在第02頁 01 02 03 04 05 06 07 08 09 10

【收藏】【打印】【進入論壇】

·日本研究者發(fā)現(xiàn)一分鐘攻破WPA技術

·黑客攻防：網(wǎng)站常見后門總結

·拒絕黑客巧設網(wǎng)站目錄與數(shù)據(jù)庫權限

·防止網(wǎng)絡服務器被黑的安全技巧

·實例演示IPC$ 135弱口令入侵技巧

·網(wǎng)絡行為分析與拒絕服務攻擊分析

·為您揭露攻擊者最陰險的七大黑技

·教你找到電腦中隱藏的入侵的黑手

·從入侵實例看視頻服務器安全部署

·計算機網(wǎng)絡攻擊常見手法及防范

·黑客如何查找互聯(lián)網(wǎng)網(wǎng)絡安全漏洞

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费