网络|IDS(入侵检测系统)

入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。



入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,入侵检测系统是一种积极主动的安全防护技术。
入侵检测系统(IDS)检查所有进入和发出的网络活动,并可确认某种可疑模式,IDS利用这种模式能够指明来自试图进入(或破坏系统)的某人的网络攻击(或系统攻击)。入侵检测系统与防火墙不同,主要在于防火墙关注入侵是为了阻止其发生。防火墙限制网络之间的访问,目的在于防止入侵,但并不对来自网络内部的攻击发出警报信号。而IDS却可以在入侵发生时,评估可疑的入侵并发出警告。而且IDS还可以观察源自系统内部的攻击。从这个意义上来讲,IDS可能安全工作做得更全面。今天我们就看看下面这五个最著名的入侵检测系统。
1.Snort:这是一个几乎人人都喜爱的开源IDS,它采用灵活的基于规则的语言来描述通信,将签名、协议和不正常行为的检测方法结合起来。其更新速度极快,成为全球部署最为广泛的入侵检测技术,并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处理程序,Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意,用户需要检查免费的BASE来分析Snort的警告。
2.OSSEC HIDS:这一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外,它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎,互联网供应商、大学和数据中心都乐意运行 OSSEC HIDS,以监视和分析其防火墙、IDS、Web服务器和身份验证日志3.Fragroute/Fragrouter:是一个能够逃避网络入侵检测的工具箱,这是一个自分段的路由程序,它能够截获、修改并重写发往一台特定主机的通信,可以实施多种攻击,如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集,可以对发往某一台特定主机的数据包延迟发送,或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲,这个工具是用于协助测试网络入侵检测系统的,也可以协助测试防火墙,基本的TCP/IP堆栈行为。可不要滥用这个软件呵。
4.BASE:又称基本的分析和安全引擎,BASE是一个基于PHP的分析引擎,它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口,这种接口能够发现不同匹配模式的警告,还包括一个数据包查看器/解码器,基于时间、签名、协议、IP地址的统计图表等。
5.Sguil:这是一款被称为网络安全专家监视网络活动的控制台工具,它可以用于网络安全分析。其主要部件是一个直观的GUI界面,可以从 Snort/barnyard提供实时的事件活动。还可借助于其它的部件,实现网络安全监视活动和IDS警告的事件驱动分析。
通过以上内容的介绍,相信大家对入侵检测系统已经有了一个大概的认识,科学技术还在不断地进步,入侵检测系统也会随之不断变革的。


防火墙并非智能设备,他只能按照安全策略的规定保护一个网络,这的确可以阻挡大部分入侵行为,但是并不能完全抵挡,尤其不能挡住以正常的手段进行的攻击行为。比如在Internet的环境中,尤其Internet Service的问题便更突出,我们称之为“弱点(Vulnerability)”或“漏洞(Hole)”,入侵者可以利用Internet Service的正常传输指令,夹带的却是系统所不能接收的内容,来达到入侵系统有弱点的主机的目的。一旦入侵到内部系统后,就有机会再入侵到其他系统。这便是以正常的手段进行的攻击。在没有相应规则的保护下,防火墙是不能挡住这种入侵的。比如,著名的分布式D.D.O.S(Distributed Denial Of Service)攻击就是利用互联网协议的缺陷针对互联网特点设计的一种攻击手段。攻击的主要目的是通过正常的手段发送大量的垃圾服务请求,消耗目标的带宽,而且攻击是由几十台甚至数百台不同来源的主机一同发起,所以比较难以应付。1999年,美国黑客对Yahoo的攻击主要使用了分布式D.D.O.S攻击。
另外,防火墙无法防止来自网络内部的攻击。近几年的统计表明大约75-80%的蓄意攻击行为由企业内部工作人员发起(即可以从内部访问网络的人员)。因为他们知道企业的安全策略,企业拥有什么信息,这些信息放在哪里,如何应用这些信息等。其中离职的员工占此类人员的大部分。
看来,单纯凭防火墙的力量并不能保证网络的安全,设置防火墙使保证网络门户的安全固然很重要,但它并非无坚不摧。还要配合其它的网络安全技术才能有效地防止外来入侵。




IDS即入侵检测系统,它是指监视或者在可能的情况下,阻止入侵或者试图控制你的系统或者网络资源的那种努力。入侵侦测技术是防火墙技术合理而有效的补充,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
【网络|IDS(入侵检测系统)】 入侵侦测系统是一种主动的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵侦测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。



    推荐阅读