简述入侵检测的过程
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为。是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理,可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测主要的局限性是仅仅可检测已知的弱点.对检测未知的入侵可能用处不大。入侵检测的原理:异常入侵检测原理构筑异常检测原理的入侵检测系统,首先要建立系统或用户的正常行为模式库,不属于该库的行为被视为异常行为。但是,入侵性活动并不总是与异常活动相符合,而是存在下列4种可能性:入侵性非异常;非入侵性且异常;非入侵性非异常;入侵性且异常。设置异常的门槛值不当,往往会导致IDS许多误报警或者漏检的现象。IDS给安全管理员造成了系统安全假象,漏检对于重要的安全系统来说是相当危险的。以上内容参考:百度百科-入侵检测
怎么实施和做好入侵检测
安全维护、入侵检测及相应的应急处理也将受到重视。目前国内网络存在严重安全问题,而造成这些问题的根本原因多在于企业、单位、组织对安全问题的认识程度和管理员的技术水平。金山毒霸安全小组从目前国内的黑客事件统计并作严密分析后发现,绝大多数的入侵者只是使用一些常见的漏洞扫描工具然后配合入侵工具而进行的,这些工具都可以从网络上任意下载。从入侵技术上看,根本无高深技术可言,这些工具也多是利用已公布的常见漏洞,比如IIS的几大远程缓冲区溢出获取任意程序执行权限,通过UNICODE这样的编码解析漏洞直接从浏览器上执行程序等,而且这些漏洞也都出现很长时间,如果安全维护得力就可以根本不在乎这些“工具黑客”(Script Guy)了。金山毒霸安全小组从对入侵事件的分析发现,通常的“黑客”入侵手段和过程,一般包括下面这些步骤:1、黑客们首先确定目标并且收集相关信息(包括邮件地址、相关IP地址、漏洞等等),他们将使用各种漏洞扫描器进行操作;2、根据得到的信息可能进行渗透,也就是“入侵”,总的说来入侵者就是要尽可能获得足够的权限,而从多数入侵事件分析看出,“工具黑客”仅仅对常见的而且操作简单的漏洞感兴趣;3、接着就做他们愿意做的事情,获得机密、进行破坏等等;4、“尽可能”地清除自己留下的痕迹,包括修改、删除系统日志等;5、最后按照他们的期望(是否再来),安装后门(木马、添加帐号等等)方便以后进入,有更深度入侵打算的入侵者,还会安装网络嗅探器,以便捕获到更多可用的帐号密码等。从入侵统计上看,现在多数的入侵者并没有专一的入侵目标,在收集信息阶段,基本是按照一个网段一个网段进行的大范围扫描,如果发现有漏洞的主机即开始实施后面的步骤。对于重视度不够的企业和组织,和那些没有足够技术以及经验的系统管理员来说,所有的这些入侵事件都会显得静悄悄。也由于这些入侵事件的不确定性,因此在日常管理和维护中就应该时刻注意入侵问题,及时发现可疑事件,一个疏忽就可能带来不可估量的损失。这里需要提醒广大的管理员的是,不要过于信赖你们的高价防火墙或者入侵检测系统,能够绕过这些机械的程序的方法简直太多了。因此也要求管理员需要保持高度的警觉,入侵者是不会主动告诉你“狼来了”的。除了通常的安全配置之外,有两点是管理员还需要做到的:详细的事件记录和例行的系统维护,这将让我们能够及时地发现入侵并找到足够的线索。如何发现是否被入侵呢?那些昂贵的入侵检测系统设备,让很多公司和组织却步。没有入侵检测系统,虽然不能即时性地发现可能发生的入侵事件,但是也同样可以做好检测工作。金山毒霸系统安全小组根据黑客采用的惯用手段分析,例行的检查可以从这些方面进行,以WINDOWS 2000系统为例,而其他操作系统或者设备的安全检查分析基本类似:1、首先要查看的就是系统正在使用的端口列表。在命令行中输入:netstat –a 看看自己打开了些什么端口,是否有可疑的地方,你最好能够有一个类似fport这样的端口查看工具,能够同时查看使用端口的进程,大多数木马或者后门都会打开一个自己的端口单独使用,因此从端口上查看能够发现一些木马后门的踪迹。但是,这并不能对付所有的木马,而且一些打开系统后门的方法也不能这样来检查。正如那个网络游戏公司一样,服务器也被安装了后门一样。安装后门通常是入侵者的必做工作,同时后门也是入侵者宣告下次还要来的最明显的标志,也给捕获他们提供很多的途径。2、打开任务管理器,查看进程列表,及时发现可疑进程,这是一个经验的较量,不要被一些kernel,internet这样的进程所迷惑,入侵者命名的进程往往很接近系统的进程名。一些入侵者使用可隐藏的进程,也可能通过系统进程来达到目的。3、打开计算机管理,查看用户和用户 组管理,是否有可疑用户出现,是否在各个用户组里面存在不该有的帐号,特别是administrators这样的管理员组,按照一些黑客教程的惯用手法,通常把Guest、TsInternetUser 这样的系统提供的帐户,同时也是不被注意的帐户,添加到管理员组里面去。查看共享文件夹,是否出现不该有的共享,正常的配置情况下应该取消所有的共享,但是黑客们为了传送文件等等的方便,会再次打开一些共享,当然,大多数被入侵者打开的共享往往被他们忘记关闭了。顺便再看看会话,说不定入侵者也正好在呢。还需要查看的是,服务,因为把程序启动成为服务能够给入侵者相当多的好处,国内“黑客爱好者”使用最广泛的是小榕的“RemoteNC”这样的后门,它就会在系统中启动一个自己的服务,当然,这个启动的服务名称一定具有相当的欺骗性。4、对照文件列表。你需要一个类似Regsnap这样类似的工具,通常一些后门都是被安装到系统目录下的,而且“黑客”们也喜欢将自己的文件放置在系统目录里面,因为那里实在是很少人去检查,也更方便执行。比较你的备份文件列表和当前文件列表有什么不同,不要以为一些新增加的类似系统文件名的程序。通常这是最直接的检测方式,如果入侵者安装后门等等,肯定需要放置他们的程序,或者需要清除他们的脚印,“工具黑客”往往也会再上传一个工具用来完成这项任务,但是他们往往忘记删除它。5、查看各种系统日志。除了系统的日志以外,还需要查看的是你所开服务的日志,比如FTP、IIS等等的日志。这个工作量比较大,而且需要非常有经验。可以从这些方面来查看,以减少工作量:是否出现日记记录断裂(入侵者通常消除他们的痕迹,而且一般都是删除整个日志或者删除部分日志);是否有可疑的帐号登录(使用帐号登录是最直接的入侵手段);是否在不该出现的时间段内发生了不该有的事件,比如晚上12点大家下班后仍有管理员登录。各种服务的日志记录也是发现入侵手段的最有效途径,比如IIS日志能够详细记录下来一个入侵者扫描80端口的全过程,以及他能够获得的有用信息,对于开启WEB服务的服务器来说,多数入侵都是通过这里进入的。这里需要提醒管理员的是,记录日志的时候不光是进行审记,还应该作到一定程度上的跟踪记录。不要以为上面的检测内容非常复杂,如果每天都象上面这样作一次检查的话,也花不了多少时间。金山毒霸系统安全小组建议系统管理员至少每天都进行一定程度的安全检查。惯例性地进行入侵检查,在即使被入侵了的情况,这也能够尽量使损失减到最小,并及时发现问题。
简述入侵检测常用的四种方法
入侵检测系统所采用的技术可分为特征检测与异常检测两种。1、特征检测特征检测(Signature-baseddetection)又称Misusedetection,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。2、异常检测异常检测(Anomalydetection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。扩展资料入侵分类:1、基于主机一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。2、基于网络通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。3、分布式这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击。参考资料来源:百度百科-入侵检测
什么是入侵检测?
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。检测步骤(1)信息收集。入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的昂好标识。当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只昶用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其他工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(票客隐藏了初始文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。(2)信号分析。对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
入侵检测系统常用的检测方法
入侵检测系统(Intrusion Detection System,IDS)是用于检测网络或系统中未经授权的活动的软件或硬件系统。常用的检测方法包括:1.基于规则的检测:基于规则的检测方法使用预定义的规则来检测攻击行为。例如,如果检测到网络流量中存在特定的字符串,则可以认为发生了攻击。2.基于模式的检测:基于模式的检测方法使用预定义的模式来检测攻击行为。例如,如果检测到网络流量中的数据包的特定模式,则可以认为发生了攻击。3.基于统计的检测:基于统计的检测方法使用统计分析来检测攻击行为。例如,如果检测到网络流量中的数据包数量超出正常范围,则可以认为发生了攻击。4.基于行为的检测:基于行为的检测方法使用系统或网络的正常行为作为基准,通过对比来检测异常行为。例如,如果检测到系统文件被修改或删除,则可以认为发生了攻击。
