入侵系统

关键词： 上新 无法 防火墙 入侵

入侵系统（精选十篇）

入侵系统 篇1

（一）入侵检测系统（IDS）简介

“入侵”(Intrusion)是个广义的概念，不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。

入侵检测(Intrusion Detection)，顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System，简称IDS)。入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。

1. IDS主要功能：

(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理，并识别违反安全策略的用户活动。

2. IDS系统组成。

IETF将一个入侵检测系统分为四个组件：事件产生器(Event generators);事件分析器(Event analyzers);响应单元(Response units);事件数据库(Event databases)。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

3. IDS系统分类。

(1)根据检测对象的不同，入侵检测系统可分为主机型和网络型。 (1) 基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种ID (intrusion detection)：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。 (2) 网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(promisc mode)，对所有本网段内的数据包并进行信息收集，并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。(2)根据其采用的分析方法可分为异常检测和误用检测。 (1) 异常检测 (Anomaly detection) ：异常入侵检测系指建立系统的正常模式轮廓，若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值，就进行入侵报警。其优点是可以发现新型的入侵行为。缺点是容易产生误报。 (2) 误用检测 (Misuse detection) ：误用检测指根据已知的攻击特征检测入侵，可以直接检测出入侵行为。关键是如何表达入侵的模式，把真正的入侵行为与正常行为区分开来，因此入侵模式表达的好坏直接影响入侵检测的能力。其优点是误报少。缺点是只能发现攻击库中已知的攻击，且其复杂性将随着攻击数量的增加而增加。

（二）入侵检测技术

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志(signature-based)，另一种基于异常情况(anomaly-based)。对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出)，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。

（三）入侵检测过程

1. 信息收集

信息收集包括收集系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，这除了尽可能扩大检测范围的因素外，还有一个就是对来自不同源的信息进行特征分析之后比较得出问题所在的因素。

入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。入侵检测利用的信息一般来自以下三个方面(这里不包括物理形式的入侵信息)：

(1)系统和网络日志文件：黑客经常在系统日志文件中留下他们的踪迹，因此，可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

(2)非正常的目录和文件改变：网络环境中的文件系统包含很多软件和数据文件，他们经常是黑客修改或破坏的目标。目录和文件中非正常改变(包括修改、创建和删除)，特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。

(3)非正常的程序执行：网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，例如WEB服务器。每个在系统上执行的程序由一到多个进程来实现。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。

2. 信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

(1)模式匹配：模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令)，也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲，一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

(2)统计分析：统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，本来都默认用GUEST帐号登录的，突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

(3)完整性分析：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数(例如MD5)，它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

（四）IDS的评价标准

目前的入侵检测技术发展迅速，应用的技术也很广泛，如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面：1.准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。2.性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说，必须要求性能良好。3.完整性。完整性是指IDS能检测出所有的攻击。4.故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时，能迅速恢复系统原有的数据和功能。5.自身抵抗攻击能力。这一点很重要，尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS，再实施对系统的攻击。6.及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果，以便在系统造成严重危害之前能及时做出反应，阻止攻击者破坏审计数据或IDS本身。

除了上述几个主要方面，还应该考虑以下几个方面：IDS运行时，额外的计算机资源的开销;误警报率/漏警报率的程度;适应性和扩展性;灵活性;管理的开销;是否便于使用和配置。

（五）IDS的发展趋势

人们在完善原有技术的基础上，又在研究新的检测方法，如数据融合技术，主动的自主代理方法，智能技术以及免疫学原理的应用等。其主要的发展方向可概括为：1.大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。2.宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题。3.入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先，目前的技术还不能对付训练有素的黑客的复杂的攻击。其次，系统的虚警率太高。最后，系统对大量的数据处理，非但无助于解决问题，还降低了处理能力。数据融合技术是解决这一系列问题的好方法。4.与网络安全技术相结合。结合防火墙，病毒防护以及电子商务技术，提供完整的网络安全保障。

（六）结束语

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个：一个是虚警率太高，一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此，可以这样说，入侵检测产品仍具有较大的发展空间，从技术途径来讲，除了完善常规的、传统的技术(模式识别和完整性检测)外，应重点加强统计分析的相关技术研究。

参考文献

[1]赵婷婷, 陈小春, 杨娟.基于windows平台下的入侵检测系统[J].通信技术, 2007, (12) .

[2]王颖.网络安全与入侵检测技术浅析[J].辽宁师专学报, 2007, (03) .

[3]周碧英.入侵检测技术及网络安全的探讨[J].电脑知识与技术, 2007, (23) .

入侵系统 篇2

一、识别方式的设计漏洞

1.对比已知攻击手法与入侵检测系统监视到的在网上出现的字符串，是大部分网络入侵检测系统都会采取的一种方式。例如，在早期Apache Web服务器版本上的phf CGI程序，就是过去常被 用来读取服务器系统上的密码文件(/etc/password)，或让服务器为其执行任意指令的工具之一。当 利用这种工具时，在其URL request请求中多数就会出现类似“GET /cgi-bin/phf?.....”的字符串。因此许多入侵检测系统就会直接对比所有的URL request 中是否出现/cgi-bin/phf 的字符串，以此判断是否出现phf 的攻击行为。

2.这样的检查方式，虽然适用于各种不同的入侵检测系统，但那些不同的入侵检测系统，因设计思想不同，采用的对比方式也会有所不同。有的入侵检测系统仅能进行单纯的字符串对比，有的则能进行详细的TCP Session重建及检查工作。这两种设计方式，一个考虑了效能，一个则考虑了识别能力。攻击者在进行攻击时，为避免被入侵检测系统发现其行为，可能会采取一些规避手法，以隐藏其意图。例如：攻击者会将URL中的字符编码成%XX 的警惕6进值，此时“cgi-bin”就会变成“%63%67%69%2d%62%69%6e”，单纯的字符串对比就会忽略掉这串编码值，

内部代表的意义。攻击者也可以通过目录结构的特性，隐藏其真正的意图，例如：在目录结构中，“./”代表本目录，“../”代表上层目录，Web服务器 可能会将“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”这些URL request均解析成“/cgi-bin/phf”，但单纯的入侵检测系统可能只会判断这些request是否包含“/cgi-bin/phf”的字符串，而没有发现其背后所代表的意义。

3.将整个request在同一个TCP Session中切割成多个仅内含几个字符的小Packet，网络入侵检测若没将整个TCP session重建，则入侵检测系统仅能看到类似“GET”、“/cg”、“i”、“-bin”、“/phf”的个别Packet，而不能发现重组回来的结果，因为它仅单纯地检查个别Packet是否出现类似攻击的字符串。类似的规避方式还有IP Fragmentation Overlap、TCP Overlap 等各种较复杂的欺瞒手法。

二、“猎杀”及重调安全政策的漏洞

关闭系统端口　拒绝黑客入侵 篇3

非法入侵的方式

简单说来，非法入侵的方式可粗略分为4种：

1扫描端口，通过已知的系统Bug攻入主机。

2种植木马，利用木马开辟的后门进入主机。

3采用数据溢出的手段，迫使主机提供后门进入主机。

4利用某些软件设计的漏洞，直接或间接控制主机。

非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用。波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。

因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。

端口就像一所房子(服务器)的几个门一样，不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个你不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗?

这里举例关闭的端口有：135，137，138，139，445，1025，2475，3127，6129，3389，593，还有TCP，其他我就不一一指出了。

关闭不安全的系统端口

默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025端口和UDP 135、137、138、445端口，一些流行病毒的后门端口(如TCP 2745、3127、6129端口)，以及远程服务访问端口3389。下面介绍如何在WinXP／2000／2003下关闭这些网络端口。

第一步，点击“开始”菜单，设置／控制面板／管理工具，双击打开“本地安全策略”，选中“IP安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮。为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的勾去掉，点击“完成”按钮就创建了一个新的IP安全策略。

第二步，点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加TCP 137、139、445、593端口和UDP 135、139、445端口，为它们建立相应的筛选器。

第三步，再重复以上步骤添加TCP1025、2745、3127、6129、3389端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新IP筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的勾去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步，进入“新规则属性”对话框，点击“新筛选器操作”。其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打勾，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的IP安全策略，然后选择“指派”。

第六步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的勾去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的勾去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第七步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何IP地址”，目标地址选“我的IP地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器，它可以防止外界通过135端口连上你的电脑。

这时候你就可以关闭电脑了，重新启动后，电脑中上述网络端口就被关闭了，在这时候病毒和黑客应该是已经不能连上这些端口了，从而保护了你的电脑。

怎样关闭Windows下的默认共享Cs、Ds、Admins和IPCs等

大家应该知道在Windows 2000和Windows XP下会有默认的共享，病毒和黑客也可以通过这个途径进入你的电脑，从而来毁坏你的文件甚至远程控制你的电脑，这时就应该删除这些默认的共享(其实这些默认的共享对于你个人来说，只是有百害而无一利，这是我个人的看法)。

可以用net share*$／del这个方法。如果你只是偶尔很少用电脑，你可以在“开始”菜单里选择“运行”，然后在里面输入“netshare$／del”(代表你要删除的共享的名称)就可以了。但是在下次开机以后还会有这个默认的共享，怎么样才能彻底完全地在开机后就关闭这些默认共享呢?

现在就要说如何在开机后，Windows会自动关闭所有的默认共享。Windows 2000和Windows XP在这里也是大同小异，在“开始”菜单里选择“运行”，填入“regedit”，打开注册表[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVer-sion＼Run]分支，在其下新建“字符串值”，命名可随意，比如“delshareC$”，鼠标右键单击，在弹出的快捷菜单中左键单击“修改”，在接着出现的“编辑字符串”窗口的“数值数据”一栏中输入“net share C$／del”(不包括引号)接“确定”按钮。同理添加“字符串值”如“delshareD$”。“数值数据”为“net share D$＼del”等，有几个分区就加到哪为止，包括“netshare Admin$／del”等等，注意：这里有大小写之分。之后保存注册表重启计算机，就能实现开机自动关闭这些特殊共享资源了。

但是，大家有没有发现，“net share IPC$＼del”这个命令对于“IPC$”根本就不起任何作用，它还是保持着默认共享怎么办?(实际上做到这一步已经够了，无需再关闭IPC$了)

入侵检测系统浅析 篇4

一、入侵检测系统的定义及其发展的必然性

入侵检测技术是一种网络信息安全新技术, 它通过计算机网络或计算机系统中的若干关键点收集信息并进行分析, 从中发现网络或系统中是否有违反安全策略的行为和遭遇袭击的迹象。而这种能够分析系统安全相关数据来检测入侵活动的系统则称作入侵检测系统。

由于网络本身的复杂性, 再加上防火墙自身存在的局限性和脆弱性, 被动式防御显得力不从心, 而入侵检测系统则通过对网络进行监测, 提供对内部、外部攻击和错误操作的实时检测并采取相应的手段, 主动地保护系统免受攻击, 恰恰弥补了防火墙的不足。因此, 入侵检测系统被认为是防火墙之后的第二道安全闸门。

二、入侵检测系统的结构

入侵检测系统主要由事件产生器、事件分析器、事件数据库和响应单元四部分组成。

事件产生器负责原始数据采集, 然后将收集到的原始数据转换为事件向事件分析器提供;事件分析器接收事件信息后, 通过模式匹配、统计分析、完整性分析等方法对其进行分析, 判断是否为入侵行为或异常现象, 最后将判断结果转变为警告信息, 并由响应单元作出反应。事件数据库则负责存储整个分析过程中的所有数据。

三、入侵检测的分类

1. 从技术上讲入侵检测分为误用检测、异常检测和协议分析三类。

(1) 误用检测:是基于模式匹配原理, 它首先把各种可能入侵活动均用某种模式表示出来, 建立模式数据库, 并对主体活动进行监视, 当主体活动违反了事先定义的模式规则时, 根据模式匹配原则判断是否发生攻击。误用检测具有较低的误报率, 但漏报率较高, 攻击特征的细微变化都会使之无能为力。

(2) 异常检测:是基于统计分析的原理, 它首先把主体的各种正常活动用定量的方式加以描述, 并建立“正常活动数据库”, 当出现某种活动与分析所描述的正常活动存在差异时, 则认为是入侵行为, 进而被检测识别。其检测效率主要取决于用户定义“正常活动数据库”的完备性和监控的频率。它的最大优点是不需要对每种行为进行定义就可检测出未知的入侵, 并具有简单的学习功能。异常检测模式明显降低了漏报率, 但误报率随之增高。此外, 这种模式的系统还可根据用户行为的改变进行自我调整和优化, 随着检测模型的逐步精确, 异常检测将消耗较多的系统资源。

(3) 协议分析:它是根据针对协议分析攻击行为实现的, 首先把各种可能针对协议的攻击行为描述出来, 其次建立用于分析的规则库, 利用传感器检查协议中的有效荷载, 并详细解析, 实现入侵检测。协议分析的优点是效率高, 能检测出特殊漏洞脚本。

2. 按数据来源可分为基于主机的入侵检测、基于网络的入侵检测和分布式结构的入侵检测。

(1) 基于主机的入侵检测 (也称HIDS) :安装在被保护的主机上用于保护单台主机不受网络攻击侵害。它通过对系统文件、进程记录等对象的检测, 帮助系统管理员发现入侵行为或入侵企图, 及时采取措施加以补救。HIDS检测准确度高, 可检测到没有明显行为特征的入侵, 能够对不同操作系统进行有针对性的检测, 适用于加密和交换环境, 具有较低的成本, 并且不受网络流量影响。但HIDS的缺点也不容忽视, 它检测的实时性较差, 占用主机资源, 能检测出攻击类型有限, 检测效果取决于日志系统, 且隐蔽性较差, 这些缺陷大大限制了HIDS的广泛应用。

(2) 基于网络的入侵检测 (NIDS) :用于防止对某网络的入侵, 放置在防火墙附近, 使用原始的网络分组数据包作为进行攻击分析的数据源, 利用网络适配器来实时监视和分析所有通过网络进行传输的通信。当检测到攻击行为时, 入侵检测系统应答模块通过通知、报警、中断连接等方式做出反应。NIDS可对网络上的端口扫描、IP欺骗等常见的攻击行为进行检测, 与HIDS相区别的是它可以同时保护多台主机而不影响被保护主机的性能, 并且具有良好的隐蔽性, 可有效地保护入侵证据。虽然NIDS与HIDS相比有了许多优点, 但它自身也存在着许多不足之处, 表现在:防入侵欺骗能力较差, 根据网络系统结构特点精心策划和组织的数据包可导致NIDS和被保护主机所收到的数据包完全不同, 从而绕过NIDS的检测;检测受硬件条件限制较大, 检测端口处理速度严重影响着检测的效率;不能对加密后的数据进行处理, 而目前网络上需要保护的数据大部分都是经加密过后再传输的。NIDS的这些缺陷也限制了它的广泛应用。

(3) 分布式入侵检测:采用分布式智能代理结构, 由一个中央智能代理和多个分布在网络各地的本地代理组成。其中每个本地代理都负责监控网络信息流的一个方面, 多个本地代理相互协作、分布检测共同完成一项监测任务;中央代理负责调控各个本地代理工作, 以及从整体上完成对网络事件进行综合分析的工作。

四、总结

综上所述, 入侵检测系统还存在着许多不足, 例如:入侵检测还不够智能、检测方法不可能十全十美、仍需要太多的人力介入等, 这些都需要不断完善和发展, 随着网络技术的不断发展, 将会有更多的新技术应用到入侵检测系统中。但是如果打造理想的网络安全环境单靠入侵检测系统是远远不够的, 必须采用安全工作风险管理的理论来处理问题, 将网络安全作为一个整体工程, 从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面综合进行防护。

参考文献

[1]袁德明.计算机网络安全[M].北京科学出版社.2007.

[2]马晓绛.计算机网络安全技术[M].北京科学出版社.2004.

[3]冯登国.网络安全原理与技术[M].北京科学出版社.2004

[4]顾巧论.计算机网络安全[M].北京科学出版社.2003.

如何入侵Linux系统 篇5

还是看看root的信息吧：

finger root@xxx.xxx.xxx Login name: root In real life: system PRIVILEGED account Directory: / Shell: /bin/sh Last login Fri Jul 28 09:21 on ttyp0 from xx.xx.xx No Plan.

root经常来，那个202.xx.xx.xx就是他用的工作站了，从那会不会看到点东西呢?

net view xx.xx.xx Shared resources at xx.xx.xx Sharename Type Comment x x 我的公文包 The command was completed successfully.

在上网的机器上开着WINDOWS的“文件和打印机共享”的服务，是很多人容易掉以轻心的，这个root没有例外，

如果它的C盘共享了而且可写那就好了，但那是做梦，现在开了共享的目录没有一个是根目录，连D驱的都没有。别着急，慢慢来。x掉的那些文件夹都没用，不能写，里面尽是些英文原著，这个root还挺行的。“我的公文包”吸引了我的注意，这是一个用于将不同的机器上的资料进行同步的工具，很显然这个root要经常更新主机上的主页，有时候在自己的机器上编，有时候在主机上编……所以很重要的一点：“我的公文包”的共享一般都是可写的!

那我再进去看看。

>net use i: xx.xx.xx >i: >echo asdf>temp.txt

不错，确实可写。

>del temp.txt

不留痕迹―― 的习惯。

>dir/od/p

对症下药：抢救被入侵的系统 篇6

攻击者入侵某个系统，总是由某个主要目的所驱使的。例如炫耀技术、得到企业机密数据、破坏企业正常的业务流程等等。有时也有可能在入侵后，攻击者的攻击行为由某种目的变成了另一种目的，例如：本来是炫耀技术，但在进入系统后，发现了一些重要的机密数据，由于利益的驱使，攻击者最终窃取了这些机密数据。

而攻击者入侵系统的目的不同，使用的攻击方法也会不同，所造成的影响范围和损失也就不会相同。因此，在处理不同的系统入侵事件时，就应当对症下药。不同的系统入侵类型，应当以不同的处理方法来解决，这样，才有可能做到有的放矢，达到最佳的处理效果。

一、以炫耀技术为目的的系统入侵恢复

对于以修改服务内容为目的的系统入侵活动，不需要停机就可以完成系统恢复工作。

1、应当采用的处理方式

(1)建立被入侵系统当前完整的系统快照，或只保存被修改部分的快照，以便事后分析和留作证据。

(2)立即通过备份恢复被修改的网页。

(3)在Windows系统下，通过网络监控软件或“netsiat-an”命令来查看系统目前的网络连接情况，如果发现不正常的网络连接，应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件，来检查系统攻击者在系统中还做了什么样的操作，以便做相应的恢复。

(4)通过分析系统日志文件，或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的，那么，就应当寻找相应的系统或应用程序漏洞补丁来修补它，如果目前还没有这些漏洞的相关补丁。我们就应当使用其他的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其他方式，例如社会工程方式入侵系统的，而检查系统中不存在新的漏洞，那么就可以不必进行这一个步骤，而必须对社会工程攻击实施的对象进行了解和培训。

(5)修复系统或应用程序漏洞后，还应当添加相应的防火墙规则来防止此类事件的再次发生，如果安装有IDS/IPS和杀毒软件，还应当升级它们的特征库。

(6)最后，使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测，在检测之前要确保其检测特征库是最新的。所有工作完成后，还应当在后续的一段时间内，安排专人对此系统进行实时监控，以确信系统已经不会再次被此类入侵事件攻击。

2、进一步保证入侵恢复的成果

(1)修改系统管理员或其他用户账户的名称和登录密码；

(2)修改数据库或其他应用程序的管理员和用户账户名称和登录密码；

(3)检查防火墙规则；

(4)如果系统中安装有杀毒软件和IDS／IPS。分别更新它们的病毒库和攻击特征库：

(5)重新设置用户权限；

(6)重新设置文件的访问控制规则；

(7)重新设置数据库的访问控制规则；

(8)修改系统中与网络操作相关的所有账户的名称和登录密码等。

当我们完成上述的所有系统恢复和修补任务后，我们就可以对系统和服务进行一次完全备份，并且将新的完全备份与旧的完全备份分开保存。

在这里要注意的是：对于以控制系统为目的的入侵活动，攻击者会想方设法来隐藏自己不被用户发现。他们除了通过修改或删除系统和防火墙等产生的与他的操作相关的日志文件外，高明的黑客还会通过一些软件来修改其所创建、修改文件的基本属性信息，这些基本属性包括文件的最后访问时间、修改时间等，以防止用户通过查看文件属性来了解系统已经被入侵。因此，在检测系统文件是否被修改时，应当使用RootKit Revealer等软件来进行文件完整性检测。

二、以得到或损坏系统中机密数据为目的的系统入侵恢复

机密数据对于一些中小企业来说，可以说是一种生命，例如客户档案、生产计划、新产品研究档案、新产品图库，这些数据要是泄漏给了竞争对象，那么，就有可能造成被入侵企业的破产。对于抢救以得到、破坏系统中机密数据为目的的系统入侵活动，要想最大限度地降低入侵带来的数据损失，最好的方法就是在数据库还没有被攻破之前就阻止入侵事件的进一步发展。

1、恢复还没有得到或破坏机密数据的被入侵系统

假设我们发现系统已经被入侵，并且通过分析系统日志，或者通过直接观察攻击者对数据库进行的后续入侵活动，已经了解到机密数据还没有被攻击者窃取，只是进入了系统而已。那么，我们就可以按下列方式来应对这样的入侵活动：如果企业规定在处理这样的系统入侵事件时，不允许系统停机，那么就应当按这种方式来处理。

(1)立即找到与攻击源的网络连接并断开。然后通过添加防火墙规则来阻止。通常，当我们一开始就立即断开与攻击源的网络连接。攻击者就会立即察觉到。并由此迅速消失，以防止自己被反向追踪。因而，如果我们想抓到攻击者，让他受到法律的惩罚。在知道目前攻击者进行的入侵攻击不会对数据库中的机密数据造成影响的前提下，我们就可以先对系统当前状态做一个快照，用来做事后分析和证据，然后使用IP追捕软件来反向追踪攻击者，找到后再断开与他的网络连接。

不过。我们要注意的是，进行反向追踪会对正常的系统业务造成一定的影响，同时，如果被黑客发现，他们有时会做最后一搏，会破坏系统后逃避，因而在追捕的同时要注意安全防范。只是，大部分的企业都是以尽快恢复系统正常运行，减少入侵损失为主要目的，因此，立即断开与攻击源的网络连接是最好的处理方式。

(2)对被入侵系统的当前状态建立快照，以便事后分析和留作证据。

(3)通过分析日志文件和弱点检测工具找到攻击者入侵系统的漏洞，然后了解这些系统漏洞是如何得到的。如果漏洞是攻击者自己分析得到的，那么就可能还没有相应的漏洞修复补丁，因而必须通过其他手段来暂时防范再次利用此漏洞入侵系统事件的发生；如果漏洞是攻击者通过互联网得到的，而且漏洞已经出现了相当一段时间，那么就可能存在相应的漏洞修复补丁。此时，就可以到系统供应商建立的服务网站下载这些漏洞补丁修复系统；如果攻击者是通过社会工程方式得到的漏洞。我们就应当对当事人和所有员工进行培训。以减少被再次利用的机率。

(4)修改数据库管理员账号名称和登录密码，重新为操作数据的用户建立新的账户和密码，并且修改数据库的访问规则。至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来进行。

2、恢复已经得到或删除了机密数据的被入侵系统

如果当我们发现系统已经被入侵时，攻击者已经得到或删除了系统中全部或部分的机密数据，那么，现在要做的不是试图抢救已经损失了的数据，而是保护没有影响到的数据。由于此类系统入侵事件已经

属于特别严重的入侵事件，我们的第一个动作，就是尽快断开与攻击源的网络连接。

如果允许系统停机处理这类严重系统入侵事件，那么就可以直接拔掉网线断开被入侵系统与网络的直接连接。当系统仍然不允许停机处理时，就应当通过网络连接监控软件来找到系统与攻击源的网络连接，然后断开，并在防火墙中添加相应的规则来拦截与攻击源的网络连接。这样做的目的。就是防止此次系统入侵事件进一步的恶化，保护其他没有影响到的数据。

断开与攻击源的连接后，我们就应当立即分析数据损失的范围和严重程度，了解哪些数据还没有被影响到，然后立即将这些没有影响到的数据进行备份或隔离保护。对于丢失了数据的系统入侵事件，我们还可以将它归纳成以下的三个类别：

(1)数据被窃取

当我们检测数据库时发现数据并没有被删除或修改，但是通过分析系统日志和防火墙日志，了解攻击者已经进入了数据库，打开了某些数据库表，或者已经复制了这些数据库表，那么就可以确定攻击者只是窃取了数据而没有进行其他活动。此时，应当按前面介绍过的方法先恢复系统到正常状态，然后修补系统和数据库应用程序的漏洞，并对它们进行弱点检测，发现没有问题后分别做一次完全备份。还应当修改系统管理员和数据库管理员账户的名称和登录密码，所有的操作与前面提到过的方式相同，只是多出了数据库的恢复工作。

(2)数据被修改

如果我们在分析数据库受损情况时，发现攻击者并没有打开数据库表，而是通过数据库命令增加、修改了数据库某个表中的相关内容。那么，我们不得不一一找出这些非授权的数据表相关行，然后将它们全部修正或删除。如果修改的内容有关某个行业，例如办理驾驶证的政府机关，办理毕业证的教育机构，或者办理其他各种执照的相关单位等，那么，还要将攻击者修改的内容向外界公布，说明这些被攻击者修改或添加的内容是无效的，以免造成不必要的社会影响。其他的系统和数据库恢复处理方式与数据被窃取方式相同。

(3)数据被删除

如果我们在分析数据库受损情况时，发现攻击者不仅得到了机密数据，而且将系统中的相应数据库表完全删除了，那么，我们在断开与其网络连接时，要立即着手恢复这些被删除了的数据。

当我们通过备份的方式来恢复被删除的数据时，在恢复之前，一定要确定系统被入侵的具体时间，这样才知道什么时候的备份是可以使用的。这是因为，如果我们对数据库设置了每日的增量备份，当攻击者删除其中的内容时，非法修改后的数据库同样被备份了，因此，在入侵后的增量备份都不可用。同样，如果在系统被入侵期间。还对数据库进行了完全备份，那么。这些完全备份也不可用。

如果允许我们停机进行处理，我们可以拆下系统上的硬盘，接入其他系统，然后通过文件恢复软件来恢复这些被删除的文件。但是，对于数据库表中内容的删除，我们只能通过留下的纸质文档，来自己慢慢修正。

在这里我们就可以知道，备份并不能解决所有的系统入侵问题，但仍然是最快、最有效恢复系统正常的方式之一。我们还可以知道，及时发现系统已经被入侵对于抢救系统中的机密数据是多么的重要。

三、以破坏系统或业务正常运行为目的的系统入侵恢复

当攻击者入侵系统的目的，就是为了让系统或系统中的正常业务不能正常运行，如果我们发现不及时，当这类系统入侵事件攻击成功后，就会造成系统意外停机事件和业务意外中断事件。

处理这类系统入侵事件时，已经没有必要再考虑系统需不需要停机处理的问题了，既然系统都已经不能正常运行了，考虑这些都是多余的，最紧要的就是尽快恢复系统正常运行。对于这类事件，也有下列这几种类别，每种类别的处理方式也是有一点区别的：

1、系统运行正常，但业务已经中断

对于此类系统入侵事件，我们可以不停机进行处理，直接以系统在线方式通过备份来恢复业务的正常运行，但在恢复前要确定系统被入侵的具体时间，以及什么时候的备份可以使用，然后按本文前面介绍的相关系统入侵恢复方式来恢复系统和业务到正常状态。

对于没有冗余系统的企业，如果当时非常迫切需要系统业务能够正常运行，那么，也只有在通过备份恢复业务正常运行后直接使用它。但在没有修复系统或应用程序漏洞之前，必须安排专人实时监控系统的运行状况，包括网络连接状况、系统进程状况。通过提高IDS／IPS的检测力度。添加相应的防火墙检测规则来暂时保护系统安全。

2、系统不能正常运行。但系统中与业务相关的内容没有受到破坏

此时，我们首要的任务就是尽快让系统恢复正常运行，但是要保证系统中与业务相关的数据不能受到损害。如果与业务相关的重要数据不在系统分区，那么，将系统从网络中断开后，我们就可以通过另外保存的系统完全备份来迅速恢复系统到正常状态，这是最快速的解决方法。

但是，如果与业务相关的数据全部或部分存放在系统分区，那么，为了保证当前业务数据的完整性，我们应当先通过像winPE光盘系统的方式启动WinPE系统，然后将与业务相关的重要数据全部备份到其他独立的存储设备中，再对系统分区进行备份恢复操作。

如果我们发现系统的完全备份不可用。我们就只能在保证与业务相关的重要数据不损失的情况下，通过全新的操作系统安装方式来恢复系统正常运行，然后再安装业务应用程序，来恢复整个系统业务的正常运行。但是，由于这种方式是重新全新安装操作系统，因此。如没有特殊的要求，应当对系统和应用程序做好相应的安全防范措施并完全备份后，才将系统连入网络当中。

入侵检测系统研究 篇7

一、入侵检测系统的概念

入侵检测是通过对计算机网络或计算机系统中的若干个关键点收集信息并对其进行分析, 从而发现来自外部的入侵行为和监督内部用户的未授权活动。进行入侵检测的软件和硬件的组合就是入侵检测系统 (ID S, Intrusion D etection System) 。入侵检测被认为是防火墙后第二道安全闸门, 已成为网络安全体系中一个重要组成部分。总的来说, 入侵检测的功能有:监视并分析用户的活动, 系统构造变化和弱点的审计, 识别已知攻击的活动模式并报警, 异常行为模式的统计分析, 评估重要系统和数据的完整性, 操作系统的审计跟踪管理。

二、入侵检测系统的模型

为了解决不同ID S的互操作性和共存性, Com m on Intrusion D etection Fram ework (CID F) 组织提出了一个入侵检测系统的通用模型, 目前在商业上应用比较广泛。它将一个ID S分为事件产生器 (Eventgenerations) 、事件分析器 (Eventanalyzers) 、响应单元 (R esponse units) 、事件数据库 (Eventdatabases) 4个组件。

CID F将ID S需要分析的数据统称为事件, 它可以是网络中的数据包、系统日志、审计记录等信息。事件产生器的功能是从整个计算环境中获得事件, 并向系统的其他组件提供此事件。事件分析器分析所得到的数据, 并产生分析结果。响应单元则是对分析结果作出反应的功能单元, 它可能是切断连接、改变文件属性等强烈反应, 或只是简单的报警。事件数据库是存放各种中间和最终数据的地方的总称, 可以是复杂的数据库, 也可以是简单的文本文件。CID F模型试图用统一的模块划分ID S, 同时采用统一的入侵描述语言描述ID S之间及其各个部件之间的入侵信息交换, 以实现在不同ID S之间进行有效的协同工作。

三、入侵检测系统的分类

目前ID S主要是通过在信息源中寻找代表恶意或可疑攻击意图的“攻击模式”来辨认并躲避攻击。ID S在网络中寻找攻击模式, 则是基于网络的;在记录文件中寻找这些模式, 则是基于主机的。因此根据信息源的不同, 可以将入侵检测系统分类为基于主机的ID S、基于网络的ID S和混合的ID S。

(一) 基于主机的ID S

通过监视和分析主机的审计记录以达到入侵检测的目的。主要在分布式、加密、交换的环境中监控系统、事件和W indowsN T下的安全记录以及U N IX环境下的系统记录, 以准确地判断攻击是否发生。当有文件发生变化时, ID S将新的记录条目与攻击模式相比较, 如果两者匹配, ID S就报警并启动监控处理机制以采取安全防范措施。基于主机的ID S的缺点在于与具体的操作系统平台有关, 很难检测来自网络的入侵, 占有一定的系统资源。早期的ID S主要是基于主机的, 比较著名的有SR I的ID ES, A T&A的Com puterW atch等。

(二) 基于网络的ID S

这类ID S使用原始网络数据包作为数据源, 通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务, 不需要主机提供严格的审计, 几乎不占用主机资源, 并可以提供对网络通用的保护而无需顾及异构主机的不同架构。目前典型的基于网络的ID S有开放源代码Snort, ISS的R eal Secure, Cisco的N et R anger等。

(三) 混合入侵检测系统

基于网络和基于主机的ID S都有各自的优势, 能够发现对方无法检测到的入侵行为。如从服务器的键盘发出的攻击并不经过网络, 因此就不能使用基于网络的ID S检测到, 只能由基于主机的ID S来检测。联合使用这2种ID S能够达到更好的检测效果。比如在确定攻击是否已经取得成功这方面, 可以使用基于网络的ID S提供早期报警, 同时使用基于主机的ID S验证攻击是否取得成功。这2类ID S有效地集成应用并部署在网络内, 则可构架一套完整的主动防御体系, 既可发现网络中的攻击信息, 也可从系统记录中发现异常情况, 从而弥补基于主机和基于网络的ID S的片面性缺陷。

四、入侵检测系统的入侵检测技术

(一) 入侵检测技术分类

从技术上看, 入侵可以分为2类:一种是有特征的攻击, 即对已知系统存在的系统弱点进行常规性的攻击;另一种是异常攻击。与此对应, 入侵检测也分为特征检测和异常检测2类。

1. 特征检测

首先定义一个入侵特征模式库, 即定义违背安全策略事件的特征, 如网络数据包的某些信息。检测时主要判别这些特征是否出现在所收集到的数据中。目前的ID S大部分都采用这种检测技术, 能够准确地检测出已知的入侵行为, 前提是这些已知入侵行为的特征必须包含在入侵特征模式库中。但对于已知入侵行为的变种或新的入侵行为, 特征检测技术却无能为力。

2. 异常检测

先定义一组系统正常运行状态的数据, 如CPU利用率、内存利用率、文件校验和等, 然后将系统运行时的数据与所定义的正常状态进行比较, 确认是否有被攻击的迹象。异常检测不能准确判断出攻击的方法, 但可以判别更广泛的、甚至是新的攻击行为, 其核心在于如何定义所谓的正常运行状态。

(二) 常用的入侵检测方法

1. 专家系统

早期的ID S多采用这种方法, 针对有特征的入侵行为, 负责解释系统的审计记录并确认他们是否满足描述的入侵行为的规则。入侵行为的特征抽取与表达, 是专家系统的关键。实现时将有关入侵的规则转化为if-then结构, if部分为入侵特征, then部分是系统防范措施。专家系统防范有特征入侵行为的有效性完全取决于其规则的完备性。缺点在于:表示入侵特征的规则不太直观, 并且更新比较困难, 需专业人员维护规则的更新。

2. 统计分析

建立一个统计特征轮廓, 通常有主体 (用户、文件、设备等) 特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。典型的系统主体特征有:系统登录与注销时间、资源被占用的时间以及处理机、内存和外设的使用情况等。优点是可以检测未知的入侵行为, 缺点是误报、漏报率高。

3. 神经网络

利用神经网络技术进行入侵检测。这种方法对用户行为具有学习和自适应功能, 能够根据实际检测到的信息有效地加以处理, 并做出入侵可能性的判断。该方法目前还不成熟, 没有出现较为完善的产品, 有待于进一步的研究。

4. 模型推理

根据入侵者在入侵时所执行的某些行为程序的特征, 建立一种入侵行为模型, 根据这种行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否属于入侵行为。当然, 这种方法也是建立在对当前已知的入侵行为程序的基础之上, 对未知的入侵方法所执行的行为程序的模型识别需要进一步学习和扩展。

五、入侵检测系统的发展趋势

随着攻击手段向分布式方向发展, 且采用了各种数据处理技术, 其破坏性和隐蔽性也越来越强。现有的ID S已不能满足入侵检测的需要, 主要表现在:ID S的体系结构不能满足分布、开放等应用要求;在高速交换网络中, ID S不能检测到所有的数据包, 分析的准确率不高, 经常产生漏报;攻击特征库的更新不及时, 检测规则的更新总是落后于攻击手段的更新;检测方法单一, 攻击方法越来越复杂, 难以发现某些攻击, 如拒绝服务攻击;ID S之间缺乏互操作性, 不能交互信息, 使得发现攻击时难以找到攻击的源头, 甚至给入侵者制造了攻击的漏洞;ID S不能很好地与其他安全产品协作。

针对攻击手段和技术的发展变化, 以及ID S的应用需求, ID S的发展趋势主要体现在以下3个方面。

(一) 分布式入侵检测

一是针对分布式网络攻击的检测方法;二是使用分布式的方法来检测分布式的攻击, 其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式ID S在数据收集、入侵分析和自动响应方面能够最大限度地发挥系统资源的优势, 其设计模型具有很大的灵活性。

(二) 智能化入侵检测

使用智能化的方法与手段来进行入侵检测。所谓的智能化方法, 现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等, 这些方法常用于入侵特征的辨识与泛化。

(三) 与网络安全技术相结合

结合网络管理、防火墙、加密通道、安全电子交易等新的网络安全与电子商务技术, 提供完整的网络安全保障, 以构建集成化的入侵检测、网络管理、网络监控于一体的安全防护平台。

六、结束语

入侵检测系统可以有效地弥补防火墙的不足和缺陷, 已成为网络安全体系的一个重要组成部分, 这是不容置疑的事实。尽管目前ID S还存在着许多技术问题有待攻克, 但正如攻击技术不断发展一样, 入侵检测也会不断发展、成熟。

参考文献

[1]赵玉娟.浅谈入侵检测技术[J].郑州工业高等专科学校学报, 2003.

[2]喻剑平, 阎巧.入侵检测系统的研究和发展方向[J].信息安全与通信保密, 2001.

[3]刘海锋, 卿斯汉.一种基于审计的入侵检测模型及其实现机制[J].电子学报, 2002.

入侵检测系统浅析 篇8

1 入侵检测系统的定义及其发展的必然性

入侵检测技术是一种网络信息安全新技术, 它通过计算机网络或计算机系统中的若干关键点收集信息并进行分析, 从中发现网络或系统中是否有违反安全策略的行为和遭遇袭击的迹象。而这种能够分析系统安全相关数据来检测入侵活动的系统则称作入侵检测系统。

由于网络本身的复杂性, 再加上防火墙自身存在的局限性和脆弱性, 被动式防御显得力不从心, 而入侵检测系统则通过对网络进行监测, 提供对内部、外部攻击和错误操作的实时检测并采取相应的手段, 主动地保护系统免受攻击, 恰恰弥补了防火墙的不足。因此, 入侵检测系统被认为是防火墙之后的第二道安全闸门。

2 入侵检测系统的结构

入侵检测系统主要由事件产生器、事件分析器、事件数据库和响应单元四部分组成。

事件产生器负责原始数据采集, 然后将收集到的原始数据转换为事件向事件分析器提供;事件分析器接收事件信息后, 通过模式匹配、统计分析、完整性分析等方法对其进行分析, 判断是否为入侵行为或异常现象, 最后将判断结果转变为警告信息, 并由响应单元作出反应。事件数据库则负责存储整个分析过程中的所有数据。

3 入侵检测的分类

3.1 从技术上讲入侵检测分为误用检测、异常检测和协议分析三类:

(1) 误用检测:是基于模式匹配原理, 它首先把各种可能入侵活动均用某种模式表示出来, 建立模式数据库, 并对主体活动进行监视, 当主体活动违反了事先定义的模式规则时, 根据模式匹配原则判断是否发生攻击。误用检测具有较低的误报率, 但漏报率较高, 攻击特征的细微变化都会使之无能为力。

(2) 异常检测:是基于统计分析的原理, 它首先把主体的各种正常活动用定量的方式加以描述, 并建立“正常活动数据库”, 当出现某种活动与分析所描述的正常活动存在差异时, 则认为是入侵行为, 进而被检测识别。其检测效率主要取决于用户定义“正常活动数据库”的完备性和监控的频率。它的最大优点是不需要对每种行为进行定义就可检测出未知的入侵, 并具有简单的学习功能。异常检测模式明显降低了漏报率, 但误报率随之增高。此外, 这种模式的系统还可根据用户行为的改变进行自我调整和优化, 随着检测模型的逐步精确, 异常检测将消耗较多的系统资源。

(3) 协议分析:它是根据针对协议分析攻击行为实现的, 首先把各种可能针对协议的攻击行为描述出来, 其次建立用于分析的规则库, 利用传感器检查协议中的有效荷载, 并详细解析, 实现入侵检测。协议分析的优点是效率高, 能检测出特殊漏洞脚本。

3.2 按数据来源可分为基于主机的入侵检测、基于网络的入侵检测和分布式结构的入侵检测。

(1) 基于主机的入侵检测 (也称HIDS) :安装在被保护的主机上用于保护单台主机不受网络攻击侵害。它通过对系统文件、进程记录等对象的检测, 帮助系统管理员发现入侵行为或入侵企图, 及时采取措施加以补救。HIDS检测准确度高, 可检测到没有明显行为特征的入侵, 能够对不同操作系统进行有针对性的检测, 适用于加密和交换环境, 具有较低的成本, 并且不受网络流量影响。但HIDS的缺点也不容忽视, 它检测的实时性较差, 占用主机资源, 能检测出攻击类型有限, 检测效果取决于日志系统, 且隐蔽性较差, 这些缺陷大大限制了HIDS的广泛应用。

(2) 基于网络的入侵检测 (NIDS) :用于防止对某网络的入侵, 放置在防火墙附近, 使用原始的网络分组数据包作为进行攻击分析的数据源, 利用网络适配器来实时监视和分析所有通过网络进行传输的通信。当检测到攻击行为时, 入侵检测系统应答模块通过通知、报警、中断连接等方式做出反应。NIDS可对网络上的端口扫描、IP欺骗等常见的攻击行为进行检测, 与HIDS相区别的是它可以同时保护多台主机而不影响被保护主机的性能, 并且具有良好的隐蔽性, 可有效地保护入侵证据。虽然NIDS与HIDS相比有了许多优点, 但它自身也存在着许多不足之处, 表现在:防入侵欺骗能力较差, 根据网络系统结构特点精心策划和组织的数据包可导致NIDS和被保护主机所收到的数据包完全不同, 从而绕过NIDS的检测;检测受硬件条件限制较大, 检测端口处理速度严重影响着检测的效率;不能对加密后的数据进行处理, 而目前网络上需要保护的数据大部分都是经加密过后再传输的。NIDS的这些缺陷也限制了它的广泛应用。

(3) 分布式入侵检测:采用分布式智能代理结构, 由一个中央智能代理和多个分布在网络各地的本地代理组成。其中每个本地代理都负责监控网络信息流的一个方面, 多个本地代理相互协作、分布检测共同完成一项监测任务;中央代理负责调控各个本地代理工作, 以及从整体上完成对网络事件进行综合分析的工作。

总结

综上所述, 入侵检测系统还存在着许多不足, 例如:入侵检测还不够智能、检测方法不可能十全十美、仍需要太多的人力介入等, 这些都需要不断完善和发展, 随着网络技术的不断发展, 将会有更多的新技术应用到入侵检测系统中。但是如果打造理想的网络安全环境单靠入侵检测系统是远远不够的, 必须采用安全工作风险管理的理论来处理问题, 将网络安全作为一个整体工程, 从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面综合进行防护。

摘要：入侵检测技术是近十几年发展起来的一种主动计算机网络安全防范技术, 是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。入侵检测系统通过监视运行系统的状态与活动, 检测计算机网络中违反安全策略的行为, 及时产生入侵告警, 为分析入侵行为提供有效的支持。现从网络入侵检测概念入手, 重点对入侵检测系统的种类和入侵检测方法进行分析与阐述, 其中对目前主流的入侵检测系统做了总结, 最后对入侵检测系统的发展方向做了展望。

网络入侵防御系统研究 篇9

一个理想的入侵防护解决方案从理论上应该包括以下特征:

1.1 主动、实时预防攻击。

真正的解决方案应该提供对攻击的实时预防和分析。它应该在任何未授权活动开始前找出攻击, 并防止它进入重要的服务器资源。

1.2 补丁等待保护。

补丁管理是一个复杂的过程。在补丁被开发和安装之间, 聪明的黑客会对服务器和重要数据造成破坏, 入侵防护解决方案应该为系统管理员提供补丁等待期内的保护和足够的时间, 以测试并安装补丁。

1.3 保护每个重要的服务器。

服务器中有最敏感的企业数据, 是大多数黑客攻击的主要目标。

1.4 特征和行为规则。

检测入侵最有效的方法是采取混合方式, 即整合针对具体攻击的特征和行为规则的力量。这一混合方式可提供已知和未知攻击的保护, 而同时将误报率保持在最低, 从而无需做出任何损失性让步。

1.5 深层防护。

强大的安全都是基于深度防御的概念, 可进行深层防护, 保护入侵防御系统概述那些具有最严格要求的网络, 使其免遭己知攻击、首次发生的未知攻击, 以及DOS攻击的影响。

1.6 可管理性。

理想的入侵防护解决方案可使安全设置和政策被各种应用程序、用户组和代理程序利用, 从而降低安装并维护大型安全产品的成本。

1.7 可扩展性。

企业级入侵防护解决方案必须可升级, 以满足企业不断发展的需求, 而同时保持最高水平的安全。可扩展性体现在可支持众多受保护的服务器、支持大流量和支持分散型安全管理, 以满足大型分散式企业的需求。

1.8 经验证的防护技术。

企业所要选择的解决方案是否采用了业界先进的新技术, 是否经过充分测试、使用, 并在受到持续不断地维护, 这一点很重要。

2 DXIPS的系统结构

为了设计一个理想的入侵防御系统, 我们设计了基于Snort_inline和IPtables配置的Netfilter防火墙的分布式可扩展入侵防御系统 (DXIPS, Distributed Extensible Intrusion Prevention System) 。DXIPS检测可疑的网络流量, 丢弃恶意的数据包, 者阻断恶意的数据流, 支持4-7层的入侵检测和防御。

DXIPS采用三层的体系结构:

第一层, 入侵防御层:对经过的流量进行监控, 检测入侵并进行入侵防御。

第二层, 服务器层:收集日志数据并转化为可读形式。

第三层, 控制层:是分析控制台, 数据显示在这一层。

体系结构图如图1所示:

DXIPS由四个部分组成, 分别是入侵防御模块、日志记录模块、中央控制模块和通信模块。这四个部分彼此协作, 共同实现入侵防御的功能。网络入侵防御系统的系统架构图如图2:

入侵防御模块工作在入侵防御层, 负责数据包接收、检测和入侵响应。入侵防御模块部署在网络的关键位置上, 如连接外网与内网的链路上, 或者一个子网与另一个子网的链路上。这样, 所有经过数据均可被截取到。入侵防御模块由Snort_inline和IPtables配置的Netfilter防火墙联动组成的IPS构成, 包括数据包接收、数据包分析和检测、响应三个部分。

日志记录模块工作在服务器层, 负责日志的收集, 格式化。收集的日志包括Snort_inline的入侵检测日志和IP tables配置的防火墙日志。

中央控制模块是整个系统的核心, 工作在控制层。它负责协调系统各个模块, 进行所有的集中化操作。例如:对结点上的入侵防御系统的配置, 日志服务器的管理, 数据分析, 负载均衡等。

通信模块负责系统各个组件之间安全、可靠的通信, 包括中心和结点间的通信, 结点和结点间的通信。

3 DXIPS系统的实现

入侵防御系统的入侵防御功能是靠入侵检测系统Snort_inline与IPtables配置的Netfilter防火墙联动实现的。入侵防御系统采用Net link socket的方式进行内核和用户空间的通信。入侵防御系统对数据包处理的过程为:传递数据包到用户空间, 数据包读取, 入侵检测, 数据包处理。通过上述四个步骤, 入侵防御系统实现了实时防护的功能。

3.1 传递数据包到用户空间

在传递数据包到用户空间的过程中, Net filter提供的机制-用户空间数据包队列, 传递数据包到用户空间, 并接收来自用户空间返回的数据包和裁决结果, 决定是否接收或者丢弃此数据包, 这些数据包在用户空间可能被用户进程事先修改过, 才重新写到内核空间。Net filter框架中的目标 (target) QUEUE替用户空间 (user space) 进程排队数据包。装载了ip_queue模块后, 网络数据包通过防火墙配置工具IPtables选择性地通过QUEUE目标, 实际中排队是由内核模块ip_queue来完成的, ip_queue排队传递数据包到用户空间等待入侵检测模块处理。

3.2 数据包读取

在数据包读取的过程中Snort_inline采用libipq库函数从内核空间的QUEUE队列中读

取数据包。Snort_inline使用libipq库中的ipq_create_handle () 和ipq_set_mode () 实现对数据包读取过程的初始化。Ipq_create_handle () 在初始化时, 创建一个全局的上下文句柄 (context handle) , 句柄结构如下:

函数ipq_create_handle () 负责分配空间, 首先创建句柄结构体 (struct ipq_headle*h) , 然后创建Netlink套接字, 调用socket (PF_NETLINK, SOCK_RAW, NETLINK_FIREWALL) 得到句柄 (套接字描述符) h->fd, 调用bind (h->fd, (struct sockaddr*) &h->local, sizeof (h->local) ) 绑定本地进程。接着初始化Netlink通信对等端h->peer的进程, 对等端进程id和组id均为0, 使其具有从内核读取数据包的权限。Ipq_create_handle () 最后一步返回所创建的上下文句柄h。最后ipq_set_mode () 设置拷贝数据包的元数据 (metadata) 和数据包的负载 (payload) 到用户空间, 并提醒内核模块ip_queue有一个应用程序等待接受队列消息。在ipq_create_handle () 和ipq_set_mode () 完成初始化以后, Snort_inline先使用ipq_read () 函数从内核包队列QUEUE中读取数据。再使用函数ipq_get_packet () 将ipq_read () 读取的数据格式化为相应的数据包结构。检测引擎得到格式化的数据包, 进行检测与分析。

3.3 入侵检测

在入侵检测的过程中, 入侵防御系统的检测技术采用修改于入侵检测系统Snort的入侵检测技术。Snort的数据包解析过程由decode () 函数来完成, 原理是按照从链路层到传输层各种协议的相应格式去分析得到的数据流, 并把所得结果填充数据结构Packet。在入侵防御系统的实现中, 数据包读取过程中已经进行了包的分片重组等工作, 发送到入侵检测引擎的数据包是完整的, 并且数据流不含有链路层信息, decode () 函数中删除原来有关链路层的部分, 直接从IP层解析。数据结构Packet也经过修改只包含IP层以上的信息。

3.4 数据包处理

对数据包进行入侵检测以后, 根据与规则库中规则 (rules) 匹配的结果, 针对每个数据包采用相应的处理过程。Snort_inline实现入侵防御功能的三种动作drop、sdrop和reject对数据包处理的过程是不一样的.

结语

入侵防御系统是近年来新兴的一种网络安全产品。它是由入侵检测系统发展而来, 兼有防火墙的一部分功能。IPS系统包含两大功能模块:防火墙和入侵检测。从功能上讲, IPS是传统防火墙和入侵检测系统的组合, 它对入侵检测模块的检测结果进行动态响应, 将检测出的攻击行为在位于网络出入口的防火墙模块上进行阻断。然而, IPS并不是防火墙和入侵检测系统的简单组合, 它是一种有取舍的吸取了防火墙和入侵检测系统功能的一个新产品, 其目的是为网络提供深层次的、有效的安全防护。

参考文献

[1]陈友, 程学旗, 李洋等.基于特征选择的轻量级入侵检测系统[J].软件学报, 2007, 18 (7) :1639-1651.

[2]吕志军, 郑憬, 黄皓.高速网络下的分布式实时入侵检测系统[J], 计算机研究与发展, 2004, 41 (4) :667-673.

入侵防御系统技术要求研究 篇10

随着计算机犯罪和网络攻击的日渐猖獗,计算机网络安全受到高度重视。在攻防演化过程中,各种网络安全产品应运而生,从防火墙和入侵检测系统(IDS)到入侵防御系统(IPS)和统一威胁管理系统,产生了一系列的安全产品。目前防火墙和IDS技术已经比较成熟,形成了相应的国家标准,但IPS技术标准还没有发布。本文在研究了主流厂商的IPS产品的基础上,结合相关安全标准,提出了IPS产品的技术要求。

1 IPS简介

人侵防御系统是一种网络安全设备,能监控网络流量中的恶意代码或攻击行为,并能实时响应,阻断或防止这类有害行为。IPS系统既具有IDS的入侵检测能力,又具有防火墙的访问控制能力,且具有更深更细的检测和防御能力。

入侵防御产品是由事件分析单元组件、响应单元组件、审计单元组件和控制管理单元组件构成。

●事件分析单元:采用相关的分析检测技术,对经过的信息进行分析,提取信息中所包含的事件特征。

●响应单元:根据定义的策略对事件分析单元发送的消息进行响应。有以下几种响应手段:记录、报警和阻断等。

●审计单元:在违反安全策略的事件发生时,对事件发生的时间、主体和客体等信息进行记录和审计。

●管理控制单元:负责入侵防御系统定制策略、审阅日志、系统状态管理,并以可视图形化形式提交授权用户进行管理。

2 IPS技术要求

IPS的技术要求分为功能要求、安全要求和性能要求。功能要求是对IPS产品应具备的功能提出具体要求,包括数据探测、入侵响应、检查结果处理、过滤功能、流量统计等。安全要求是对IPS产品自身安全功能以及抗渗透攻击能力提出要求。性能要求是对IPS产品的网络性能指标提出要求,如吞吐量、延迟、丢包率、最大并发连接数、最大连接速率、误报率和漏报率等。

2.1 功能要求

2.1.1 系统管理

IPS应具备系统管理功能,其技术要求如下:a.支持远程安全管理和本地console口管理。

b.仅授权管理员管理和使用相关功能以及设置相关数据参数。

2.1.2 数据探测

IPS应具有数据探测功能。其技术要求如下:

a.数据收集:应具有实时获取受保护网段内数据包的能力,以支持检测分析;

b.协议分析:应至少监视以下协议事件:IP、ICMP、ARP、TCP、UDP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、Telnet、DNS、SMTP、POP3、NNTP、RIP、BGP等;

c.协议定义:系统除支持默认的网络协议集外,还应允许定义新的协议,或对协议的端口进行重新定位。

2.1.3 入侵分析

IPS应对收集到的数据包进行分析,发现攻击事件。其技术要求如下:

a.分析方式:应支持基于模式匹配、协议分析、统计分析、异常检测、人工智能等一种或多种方式进行入侵分析;

b.数据分析:应能对数据包进行分析,发现各种攻击事件;

c.行为监测:应至少能监视端口扫描、强力攻击、木马后门、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等;

d.应能发现躲避或欺骗检测的行为,如IP碎包重组、TCP流重组、协议端口重定位、URL字符串变形、shell代码变形等;

e.事件合并:应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴;

f.入侵关联:应能把不同的事件关联起来,发现低危害事件中隐含的高危害攻击。

2.1.4 入侵响应

当检测到入侵事件时,IPS应支持被动响应和主动响应两种方式。其技术要求如下:

a.安全告警:当系统检测到入侵时,应自动采取相应动作以发出安全警告;

b.告警方式:可以采取屏幕实时提示、邮件告警、声音告警和手机短信等方式;

c.告警信息应至少包括事件标识、事件主体、事件客体、事件发生时间、事件描述和事件结果等;

d.阻断能力:系统在检测到网络上的非法连接时,可进行阻断,如TCP Killer、丢弃报文、终止会话等;

e.排除响应:应允许用户定义对被检测网段中指定主机或特定的事件不予告警,降低误报;

f.定制响应:应允许用户对被检测网段中指定主机或特定的事件定制不同的响应方式。

2.1.5 检测结果处理

IPS应能将检测结果呈现给用户。其技术要求如下:

a.事件记录:应记录保存检测到的入侵事件,至少应记录事件发生的日期时间、源地址、目的地址、危害等级、事件的详细描述等;

b.事件可视化:授权用户应能通过管理界面实时地查看入侵事件;

c.报告生成:系统应能生成详尽的检测结果报告;

d.报告输出:检测结果报告应以便于用户阅读的格式输出,如字处理文件、HTML文件、文本文件等;

e.报告定制:应支持授权管理员按一定的方式修改和定制报告内容。

2.1.6 事件特征库管理

IPS应能对事件特征库进行管理。其技术要求如下:

a.事件数据库:应包括事件定义和分析、详细的漏洞修补方案、可采取的对策等;

b.事件分类:应能将事件按危险程度、服务类型等方式进行分类;

c.特征库升级:应能以离线和在线方式升级特征库;

d.事件定义:应允许授权管理员自定义事件,或对开发商提供的事件进行修改。

2.1.7 防火墙功能

IPS应具有包过滤、深度包检测、状态检测、策略路由等功能。其技术要求如下:

a.应支持默认禁止原则。安全策略应使用最小安全原则,除非明确允许,否则都禁止;

b.安全策略应支持基于MAC地址、IP地址、端口号、协议类型、时间等部分或全部组合的访问控制;

c.应支持基于用户自定义安全策略的访问控制;

d.应支持基于状态检测的访问控制;

e.应支持基于HTTP、POP3、SMTP等协议报文的访问控制;

f.应能够根据数据包源目的地址、进入接口、传输层接口或数据包负载内容等参数来设置路由策略。

2.1.8 工作模式支持

IPS应支持透明模式、路由模式以及网络地址转换(NAT)功能。其技术要求如下:

a.应至少支持透明模式、路由模式,以及两者的混合模式;

b.应支持源NAT(SNAT)和目的NAT(DNAT)。SNAT应实现“多对一”的转换,DNAT应实现“一对多”的转换;

c.应支持动态SNAT、DNAT技术,实现“多对多”的地址转换。

2.1.9 流量统计

IPS应支持流量统计功能。其技术要求如下:

a.应能根据IP地址,网络服务,时间和协议类型等参数或它们的组合进行流量统计;

b.应能实时或以报表形式输出流量统计结果。

2.1.1 0 带宽管理

IPS应具备带宽管理功能。其技术要求如下:

a.能根据安全策略中管理员设定的大小限制客户端或应用占用的带宽;

b.能根据安全策略和网络流量动态调整客户端或应用占用的带宽。

2.2 安全要求

在分析和研究了有关信息安全标准,本文给出了IPS产品的安全要求,基本可以达到信息系统安全等级保护应用安全部分的三级要求。

2.2.1 安全审计

IPS应具备安全审计功能。其技术要求如下:

a.当发生可能的安全侵害时,系统应采取行动;

b.应审计用户鉴别、修改安全属性、授权等重要的安全事件;

c.审计记录应至少包括事件发生的日期和时间、事件类型、事件描述和事件结果;

d.应提供日志查询能力且仅限于系统管理员或授权管理员读取审计信息;

e.应提供对于审计事件的检索和排序功能;

f.应保护审计记录的完整性,以避免未授权的删除、修改或覆盖;

g.当出现审计存储耗尽、存储失败、受到攻击、超出审计门限、数据溢满时,系统应发出告警通知管理员或采取其他安全措施;

h.应支持审计日志的分析和生成报表能力;

i.应支持将日志发送到日志服务器进行集中管理。

2.2.2 身份鉴别

IPS应具备身份标识与鉴别能力。其技术要求如下:

a.应提供专用的登录控制模块对用户的身份进行标识和鉴别;

b.应提供用户身份标识唯一性检查、鉴别信息复杂度检查功能;

c.应提供登录失败处理功能,可采取结束会话、限制非法登录次数或自动退出等措施;

d.当达到或超过定义的不成功的鉴别次数时,应采取结束会话、使用户账户无效、使登录点无效等措施。

2.2.3 访问控制

IPS应提供访问控制功能。其技术要求如下:

a.应提供访问控制功能,依据安全策略控制用户对系统资源的访问;

b.访问控制的置盖范围应包括与资源访问相关的主体、客体及它们之间的操作;

c.应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;

d.应授予不同帐户为完成各自承担任务所需的最小权限。

2.2.4 会话控制

IPS应控制管理用户会话的建立。其技术要求如下:

a.应支持基于会话安全属性(如访问方法、访问地址、端口、时间等)限制(允许或拒绝)用户建立会话;

b.应限制整个系统的并发会话数以及单个用户的多重并发会话数;

c.在用户禁止了规定的时间后,系统应锁定或终止会话。

2.2.5 安全管理

IPS应能对安全属性、安全功能数据和安全功能进行管理。其技术要求如下:

a.应支持授权用户对管理系统的安全功能行为,如使能、使不能和修改等;

b.应支持授权用户对安全属性进行查询、修改和删除等;

c.应允许授权用户管理安全功能数据,如审计信息、系统配置等。

2.2.6 数据保密性

IPS应提供数据保密性保护,防止敏感信息的泄露。其技术要求如下:

a.应采用密码技术保证IPS各组件之间通过网络传输的保密性;

b.应采用散列技术或密码技术保证敏感数据存储的保密性。

2.2.7 数据完整性

系统应提供数据完整性保护,防止数据被非授权的修改或删除。其技术要求如下:

a.应采用密码技术保证数据传输的完整性;

b.应采用散列技术或密码技术保证数据存储的完整性;

c.当数据的完整性遭到破坏时,应报告给管理员。

2.2.8 备份和恢复

IPS应提供备份与恢复功能。其技术要求如下:

a.应能够对重要信息(如系统配置文件、日志文件)进行备份和恢复;

b.应支持IPS双机热备功能。当主IPS自身出现断电或其他故障时,备份IPS应及时发现并接管主IPS进行工作;

c.当非正常关机重新启动后,应保证安全策略,日志信息不会丢失,且要求重鉴别。

2.2.9 抗渗透和攻击能力

IPS应具备鲁棒的自身安全防护能力,能抵抗常见的渗透攻击。其技术要求如下:

a.应能检测和记录端口扫描行为;

b.确保不提供多余的网络服务;

c.不含任何导致IPS权限丢失,拒绝服务和敏感信息泄露的安全漏洞;

d.应能抵御syn Flood、Ping of Death和UDP Flood等基本的拒绝服务攻击,保护自身并防止受保护网络受到攻击;

e.能够抵御源IP spoofing、IP碎片包等攻击。

2.3 性能指标

性能指标是体现IPS产品在一定条件下,满足用户使用要求的度量,也是衡量IPS产品质量的重要指标。其中的“一定条件”主要包括IPS设置(启用的功能、事件特征库规模、访问控制规则的数目)、包长、协议类型和网络负载等。因各厂商的不同类型的产品其性能参数差异性较大,所以本文仅给出性能指标项。

2.3.1 吞吐量

吞吐量是指在一定条件下,在不丢包情况下IPS所能通过的最大流量。

2.3.2 延迟

延迟是指在一定条件下,以一定的负载通过IPS时,系统的最大延迟、最小延迟和平均延迟。

2.3.3 丢包率

丢包率是指在一定条件下以一定的流量经过IPS时,通过的流量占发送流量的比率。

2.3.4 最大并发连接数

最大并发连接数是指在一定条件下IPS所能保持的最大TCP连接数。

2.3.5 最大连接速率

最大连接速率是指在一定条件下IPS在单位时间内创建的TCP连接数.

2.3.6 最大监控流量

最大监控流量是指在一定条件下IPS不发生漏报时所能通过的最大流量。

2.3.7 误报率

误报率是指IPS在未发生攻击时告警或发出错误的告警事件占整个样本事件的比率。

2.3.8 漏报率

漏报率是指IPS在发生攻击时未发生报警的事件数占整个样本事件的比率。

3 结语

本文从IPS功能、安全性、性能等方面对IPS提出要求,它将有助于入侵防御类产品的研制、生产、测试和评估等。

参考文献

[1]Wikipedia.Intrusion prevention system[EB/OL]. [2009-11].http://en.wikipedia.org/wiki/Intrusion _prevention_system.

[2]付兴兵.入侵防御系统分析[J].信息技术与标准化,2007(1): 29-31.