国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高，曾經(jīng)作為最主要的安全防范手段的，已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。

　　作為對(duì)防火墻及其有益的補(bǔ)充，(入侵檢測(cè)系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了基礎(chǔ)結(jié)構(gòu)的完整性。

　　IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

　　伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和的飛速發(fā)展，網(wǎng)絡(luò)攻擊和事件與日俱增，特別是近兩年，政府部門、軍事機(jī)構(gòu)、金融機(jī)構(gòu)、的計(jì)算機(jī)網(wǎng)絡(luò)頻遭襲擊。攻擊者可以從容地對(duì)那些沒有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵，如進(jìn)行拒絕服務(wù)攻擊、從事非授權(quán)的訪問、肆意竊取和篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時(shí)獲得內(nèi)部信息、傳播計(jì)算機(jī)、摧毀主機(jī)等等。攻擊和入侵事件給這些機(jī)構(gòu)和企業(yè)帶來(lái)了巨大的經(jīng)濟(jì)損失和形象的損害，甚至直接威脅到國(guó)家的安全。

　　解決什么問題

　　攻擊者為什么能夠?qū)W(wǎng)絡(luò)進(jìn)行攻擊和入侵呢?原因在于，我們的計(jì)算機(jī)網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點(diǎn)、漏洞以及不安全的配置，主要表現(xiàn)在、網(wǎng)絡(luò)服務(wù)、協(xié)議、應(yīng)用程序(如、等)、網(wǎng)絡(luò)設(shè)備等幾個(gè)方面。正是這些弱點(diǎn)、漏洞和不安全設(shè)置給攻擊者以可乘之機(jī)。另外，由于大部分網(wǎng)絡(luò)缺少預(yù)警防護(hù)機(jī)制，即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò)，侵入到關(guān)鍵的主機(jī)，并從事非法的操作，我們的網(wǎng)管人員也很難察覺到。這樣，攻擊者就有足夠的時(shí)間來(lái)做他們想做的任何事情。

　　那么，我們?nèi)绾畏乐购捅苊庠馐芄艉腿肭帜?首先要找出網(wǎng)絡(luò)中存在的安全弱點(diǎn)、漏洞和不安全的配置;然后采用相應(yīng)措施堵塞這些弱點(diǎn)、漏洞，對(duì)不安全的配置進(jìn)行修正，最大限度地避免遭受攻擊和入侵;同時(shí)，對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，一旦監(jiān)測(cè)到攻擊行為或違規(guī)操作，能夠及時(shí)做出反應(yīng)，包括記錄日志、報(bào)警甚至阻斷非法連接。

　　IDS的出現(xiàn)，解決了以上的問題。設(shè)置硬件防火墻，可以提高網(wǎng)絡(luò)的通過(guò)能力并阻擋一般性的攻擊行為;而采用IDS入侵防護(hù)系統(tǒng)，則可以對(duì)越過(guò)防火墻的攻擊行為以及來(lái)自網(wǎng)絡(luò)內(nèi)部的違規(guī)操作進(jìn)行監(jiān)測(cè)和響應(yīng)。

　　IDS日顯重要

　　目前，隨著IDS技術(shù)的逐漸成熟，在整個(gè)安全部署中的重要作用正在被廣大用戶所認(rèn)可和接受。據(jù)賽迪顧問統(tǒng)計(jì)，2003年，中國(guó)入侵檢測(cè)系統(tǒng)市場(chǎng)發(fā)展十分迅速，全年實(shí)現(xiàn)市場(chǎng)銷售額2.75億元，比2002年增長(zhǎng)22.8%，在中國(guó)網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)中擁有11.7%的份額?？梢钥闯?，IDS確實(shí)發(fā)揮了作用和效果，才會(huì)有這樣巨大的市場(chǎng)需求。

　　為了確保網(wǎng)絡(luò)安全，必須建立一整套的安全防護(hù)體系，進(jìn)行多層次、多手段的檢測(cè)和防護(hù)。ISS公司海外營(yíng)業(yè)部執(zhí)行安全顧問鄢曉華表示，IDS就是安全防護(hù)體系中重要的一環(huán)，它能夠及時(shí)識(shí)別網(wǎng)絡(luò)中發(fā)生的入侵行為并實(shí)時(shí)報(bào)警。IDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)。它監(jiān)視計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中發(fā)生的事件，并對(duì)它們進(jìn)行分析，以尋找危及機(jī)密性、完整性、可用性或繞過(guò)安全機(jī)制的入侵行為。IDS就是自動(dòng)執(zhí)行這種監(jiān)視和分析過(guò)程的安全產(chǎn)品。

　　安氏公司首席技術(shù)官兼總工程師陳正表示，IDS的主要優(yōu)勢(shì)是監(jiān)聽網(wǎng)絡(luò)流量，不會(huì)影響網(wǎng)絡(luò)的性能。雖然在理論上，IDS對(duì)用戶不是必需的，但它的存在確實(shí)減少了網(wǎng)絡(luò)的威脅。有了IDS，就像在一個(gè)大樓里安裝了一樣，可對(duì)整個(gè)大樓進(jìn)行監(jiān)視，用戶感覺很踏實(shí)，用IDS對(duì)用戶來(lái)說(shuō)是很值得的。

　　入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)工具，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù)，在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。它具有以下主要作用：通過(guò)檢測(cè)和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，懲罰網(wǎng)絡(luò)犯罪，防止網(wǎng)絡(luò)入侵事件的發(fā)生;檢測(cè)其他安全措施未能阻止的攻擊或安全違規(guī)行為;檢測(cè)黑客在攻擊前的探測(cè)行為，預(yù)先給管理員發(fā)出警報(bào);報(bào)告計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅;提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點(diǎn)，利于其進(jìn)行修補(bǔ);在大型、復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)中布置入侵檢測(cè)系統(tǒng)，可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。

　　啟明星辰公司技術(shù)總監(jiān)劉恒也認(rèn)為，隨著用戶對(duì)IDS認(rèn)識(shí)的加深，IDS在整個(gè)安全體系架構(gòu)中的地位也在不斷提高，正成為一種必不可少的安全產(chǎn)品，在實(shí)際使用中，發(fā)揮著越來(lái)越大的作用，就像交通燈、攝像頭一樣，對(duì)攻擊者起到了一種威懾的作用，能夠?qū)θ肭中袨?，特別是常規(guī)的入侵行為做很好的監(jiān)測(cè)，對(duì)網(wǎng)絡(luò)安全有一定的保護(hù)作用。

　　IDS是什么

　　IDS是一種網(wǎng)絡(luò)安全系統(tǒng)，當(dāng)有敵人或者惡意用戶試圖通過(guò)Internet進(jìn)入你的網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)，這種系統(tǒng)可以檢測(cè)出來(lái)，并進(jìn)行報(bào)警，通知你采取措施進(jìn)行響應(yīng)。就像買汽車保險(xiǎn)一樣，IDS也被認(rèn)為是“最好買上，以防萬(wàn)一”的東西，否則等到出事兒的時(shí)候就晚了。

　　在本質(zhì)上，入侵檢測(cè)系統(tǒng)是一個(gè)典型的“窺探設(shè)備”。它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽端口)，無(wú)須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)地、無(wú)聲息地收集它所關(guān)心的報(bào)文即可。IDS處理過(guò)程分為數(shù)據(jù)采集階段、數(shù)據(jù)處理及過(guò)濾階段、入侵分析及檢測(cè)階段、報(bào)告以及響應(yīng)階段等四個(gè)階段。數(shù)據(jù)采集階段是數(shù)據(jù)審核階段。入侵檢測(cè)系統(tǒng)收集目標(biāo)系統(tǒng)中引擎提供的主機(jī)通訊數(shù)據(jù)包和系統(tǒng)使用等情況。數(shù)據(jù)處理及過(guò)濾階段是把采集到的數(shù)據(jù)轉(zhuǎn)換為可以識(shí)別是否發(fā)生入侵的階段。分析及檢測(cè)入侵階段通過(guò)分析上一階段提供的數(shù)據(jù)來(lái)判斷是否發(fā)生入侵。這一階段是整個(gè)入侵檢測(cè)系統(tǒng)的核心階段,根據(jù)系統(tǒng)是以檢測(cè)異常使用為目的還是以檢測(cè)利用系統(tǒng)的脆弱點(diǎn)或應(yīng)用程序的BUG來(lái)進(jìn)行入侵為目的，可以區(qū)分為異常行為和錯(cuò)誤使用檢測(cè)。報(bào)告及響應(yīng)階段針對(duì)上一個(gè)階段中進(jìn)行的判斷做出響應(yīng)。如果被判斷為發(fā)生入侵，系統(tǒng)將對(duì)其采取相應(yīng)的響應(yīng)措施，或者通知管理人員發(fā)生入侵，以便于采取措施。最近人們對(duì)入侵檢測(cè)以及響應(yīng)的要求日益增加，特別是對(duì)其跟蹤功能的要求越來(lái)越強(qiáng)烈。

　　如上圖，網(wǎng)絡(luò)入侵系統(tǒng)對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行檢測(cè)、過(guò)濾、監(jiān)控、判斷入侵與否，并根據(jù)管理者的安全策略進(jìn)行相應(yīng)地響應(yīng)，響應(yīng)的形式可以是多種多樣的。如果一個(gè)會(huì)話匹配Network Agent的規(guī)則，則做出相應(yīng)的入侵響應(yīng)。

　　目前，IDS分析及檢測(cè)入侵階段一般通過(guò)以下幾種技術(shù)手段進(jìn)行分析：特征庫(kù)匹配、基于統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

　　特征庫(kù)匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單(如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令)，也可以很復(fù)雜(如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化)。一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程(如執(zhí)行一條指令)或一個(gè)輸出(如獲得權(quán)限)來(lái)表示。

　　產(chǎn)品經(jīng)理郭訓(xùn)平表示，該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。

　　統(tǒng)計(jì)分析方法首先給信息對(duì)象(如用戶、連接、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等)。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常偏差之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，統(tǒng)計(jì)分析可能標(biāo)識(shí)一個(gè)不正常行為，因?yàn)樗l(fā)現(xiàn)一個(gè)在晚八點(diǎn)至早六點(diǎn)不登錄的賬戶卻在凌晨?jī)牲c(diǎn)試圖登錄，或者針對(duì)某一特定站點(diǎn)的數(shù)據(jù)流量異常增大等。郭訓(xùn)平表示，其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。

　　完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特絡(luò)伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)(例如MD5)，能識(shí)別極其微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其他對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。

　　IDS如何部署

　　防火墻在網(wǎng)絡(luò)安全中起到大門警衛(wèi)的作用，對(duì)進(jìn)出的數(shù)據(jù)依照預(yù)先設(shè)定的規(guī)則進(jìn)行匹配，符合規(guī)則的就予以放行，起訪問控制的作用，是網(wǎng)絡(luò)安全的第一道閘門。優(yōu)秀的防火墻甚至對(duì)高層的應(yīng)用協(xié)議進(jìn)行動(dòng)態(tài)分析，保護(hù)進(jìn)出數(shù)據(jù)應(yīng)用層的安全。但防火墻的功能也有局限性。防火墻只能對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無(wú)能為力。

　　同時(shí),由于防火墻處于的位置，不可能對(duì)進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能。如果把防火墻比作大門警衛(wèi)的話，入侵檢測(cè)就是網(wǎng)絡(luò)中不間斷的攝像機(jī)。陳正表示，在實(shí)際的部署中，IDS是并聯(lián)在網(wǎng)絡(luò)中，通過(guò)旁路監(jiān)聽的方式實(shí)時(shí)地監(jiān)視網(wǎng)絡(luò)中的流量，對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無(wú)任何影響，同時(shí)判斷其中是否含有攻擊的企圖，通過(guò)各種手段向管理員報(bào)警，不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說(shuō)，IDS是網(wǎng)絡(luò)安全的第二道閘門，是防火墻的必要補(bǔ)充，可構(gòu)成完整的網(wǎng)絡(luò)安全解決。

　　嚴(yán)格地說(shuō)，IDS并不是一個(gè)防范工具，它并不能阻斷攻擊。只有防火墻才能限制非授權(quán)的訪問，在一定程度上防止入侵行為。而IDS提供快速響應(yīng)機(jī)制，報(bào)告入侵行為，意味著一種牽制政策。