1.網(wǎng)絡(luò)入侵方式
網(wǎng)絡(luò)入侵手段的分類是眾說紛紜,各有各的分類方法。網(wǎng)絡(luò)被入侵的方式主要有:口令攻擊、特洛伊木馬、利用緩沖區(qū)溢出攻擊、端口掃描、使用偽裝IP 攻擊、利用后門進行攻擊等。其中美國的IDG Info World 測試中心的安全測試小組開發(fā)了測試基準(zhǔn)平臺IWSS16,IWSS16 將主要的網(wǎng)絡(luò)入侵分為了四類:
1.1 信息收集與獲取。攻擊者采用大量的試探性方法,如:Ping、賬戶掃描、端口掃描、漏洞掃描、網(wǎng)絡(luò)嗅探等方法,探測系統(tǒng)提供的服務(wù)、存在的漏洞、可用的權(quán)限,利用公開協(xié)議和工具,收集和獲取網(wǎng)絡(luò)系統(tǒng)中各個主機系統(tǒng)的有用信息,并捕獲系統(tǒng)漏洞,為進行下一步攻擊奠定基礎(chǔ)。
1.2 訪問權(quán)限獲取。通過緩沖區(qū)溢出破壞程序的堆棧、FTP 攻擊、口令試探和破譯工具對口令進行破解等多種手段,可以獲取系統(tǒng)訪問的特權(quán),從而對系統(tǒng)進行破壞。
1.3 服務(wù)拒絕。服務(wù)拒絕是通過大量連續(xù)的網(wǎng)絡(luò)訪問使系統(tǒng)無法承受而造成崩潰,不能實現(xiàn)相應(yīng)的服務(wù)功能。這種攻擊危險性大,較難捕獲。尤其是現(xiàn)在分布式拒絕服務(wù)攻擊的出現(xiàn),更是防不勝防。
1.4 檢測逃避。攻擊者往往通過插入、逃遁、慢速攻擊、破壞日志系統(tǒng)等手段逃避系統(tǒng)的檢測,隱藏身份,從而在不知不覺中實現(xiàn)對系統(tǒng)的攻擊,而且不留下任何蛛絲馬跡。
2.入侵檢測定義與分類
入侵檢測(Intrusion Detection) 技術(shù)是安全審核中的核心技術(shù)之一,是網(wǎng)絡(luò)安全防護的重要組成部分。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異,F(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息,來檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。違反安全策略的行為有: 入侵——非法用戶的違規(guī)行為;濫用——合法用戶的違規(guī)行為。入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構(gòu)造和弱點的審計;識別反映已知進攻的活動模式并向相關(guān)人士報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。
應(yīng)用入侵檢測技術(shù),能使在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中,能減少入侵攻擊所造成的損失。在被入侵攻擊后, 收集入侵攻擊的相關(guān)信息,作為防范系統(tǒng)的知識,填入知識庫內(nèi),以增強系統(tǒng)的防范能力。
2.2 入侵檢測的分類
通過對現(xiàn)有入侵檢測技術(shù)方法的研究,可以從不同的角度對入侵檢測技術(shù)進行分類:
2.2.1 按照檢測數(shù)據(jù)來源。有以下三類:基于主機的入侵檢測技術(shù);基于網(wǎng)絡(luò)的入侵檢測技術(shù);基于主機和網(wǎng)絡(luò)的入侵檢測技術(shù)。以上3 種入侵檢測技術(shù)都具有各自的優(yōu)點和不足,可互相作為補充,一個完備的入侵檢測系統(tǒng)一定是基于主機和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)。
2.2.2 按照檢測技術(shù)。分為異常檢測技術(shù)和誤用檢測技術(shù)。異常檢測技術(shù)又可稱為基于行為的入侵檢測技術(shù),它假定了所有的入侵行為都有異常特性。誤用檢測技術(shù),又稱為基于知識的入侵檢測技術(shù),它通過攻擊模式、攻擊簽名的形式表達入侵行為。
2.2.3 按照工作方式?梢苑譃殡x線檢測和在線檢測。離線檢測:在事后分析審計事件,從中檢查入侵活動,是一種非實時工作的系統(tǒng)。在線檢測:實時聯(lián)機的檢測系統(tǒng),它包含對實時網(wǎng)絡(luò)數(shù)據(jù)包分析,對實時主機審計分析。
2.2.4 按照系統(tǒng)網(wǎng)絡(luò)架構(gòu)。分為集中式檢測技術(shù)、分布式檢測技術(shù)和分層式檢測技術(shù)。將分析結(jié)果傳到鄰近的上層,高一層的檢測系統(tǒng)只分析下一層的分析結(jié)果。分層式檢測系統(tǒng)通過分析分層式數(shù)據(jù)使系統(tǒng)具有更好的可升級性。
3.結(jié)束語
隨著網(wǎng)絡(luò)的進一步發(fā)展以及黑客攻擊手段的多樣化,網(wǎng)絡(luò)安全問題的日益突出,入侵檢測技術(shù)作為保護計算機系統(tǒng)安全的重要組成部分受到越來越多人們的關(guān)注和重視,并已經(jīng)開始在各種不同網(wǎng)絡(luò)環(huán)境中發(fā)揮關(guān)鍵作用。本文分析概括了入侵的方式,入侵檢測技術(shù)的定義、工作原理與分類、入侵檢測技術(shù)的方法。并且,提出了今后的發(fā)展趨勢,目的在于為進一步的研究起到啟發(fā)和借鑒作用?梢灶A(yù)見,入侵檢測技術(shù)的發(fā)展將對網(wǎng)絡(luò)應(yīng)用具有重要意義并產(chǎn)生深遠影響,而入侵檢測技術(shù)的未來發(fā)展方向?qū)⒅饕侵悄艿姆植际饺肭謾z測系統(tǒng),研究和開發(fā)自主知識產(chǎn)權(quán)的入侵檢測系統(tǒng)將成為我國信息安全領(lǐng)域的重要課題。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.oesoe.com/
本文標(biāo)題:計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)的研究
本文網(wǎng)址:http://www.oesoe.com/html/support/11121511829.html