安全防護(hù) - 入侵檢測實(shí)戰(zhàn)之全面問答

　　在網(wǎng)絡(luò)安全領(lǐng)域，隨著黑客應(yīng)用技術(shù)的不斷“傻瓜化”，入侵檢測系統(tǒng)IDS的地位正在逐漸增加。一個(gè)網(wǎng)絡(luò)中，只有有效實(shí)施了IDS，才能敏銳地察覺攻擊者的侵犯行為，才能防患于未然！本文對IDS的概念、行為及策略等方面內(nèi)容以問答形式進(jìn)行全面介紹，期望幫助管理者更快和更好地使用IDS。

　　問：都有哪些重要的IDS系統(tǒng)？

　　根據(jù)監(jiān)測對象不同，IDS系統(tǒng)分為很多種，以下是幾種很重要的IDS系統(tǒng)：

　　1、NIDS

　　NIDS是network intrusion detection system的縮寫，即網(wǎng)絡(luò)入侵檢測系統(tǒng)，主要用于檢測hacker或cracker通過網(wǎng)絡(luò)進(jìn)行的入侵行為。

　　NIDS的運(yùn)行方式有兩種，一種是在目標(biāo)主機(jī)上運(yùn)行以監(jiān)測其本身的通訊信息，另一種是在一臺單獨(dú)的機(jī)器上運(yùn)行以監(jiān)測所有網(wǎng)絡(luò)設(shè)備的通訊信息，比如hub、路由器。

　　2、SIV

　　SIV是system integrity verifiers的縮寫，即系統(tǒng)完整性檢測，主要用于監(jiān)視系統(tǒng)文件或者Windows 注冊表等重要信息是否被修改，以堵上攻擊者日后來訪的后門。SIV更多的是以工具軟件的形式出現(xiàn)，比如“Tripwire”，它可以檢測到重要系統(tǒng)組件的變換情況，但并不產(chǎn)生實(shí)時(shí)的報(bào)警信息。

　　3、LFM

　　LFM是log file monitors的縮寫，即日志文件監(jiān)測器，主要用于監(jiān)測網(wǎng)絡(luò)服務(wù)所產(chǎn)生的日志文件。LFM通過檢測日志文件內(nèi)容并與關(guān)鍵字進(jìn)行匹配的方式判斷入侵行為，例如對于HTTP服務(wù)器的日志文件，只要搜索“swatch”關(guān)鍵字，就可以判斷出是否有“phf”攻擊。

　　4、Honeypots

　　蜜罐系統(tǒng)，也就是誘騙系統(tǒng)，它是一個(gè)包含漏洞的系統(tǒng)，通過模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給黑客提供一個(gè)容易攻擊的目標(biāo)。由于蜜罐沒有其它任務(wù)需要完成，因此所有連接的嘗試都應(yīng)被視為是可疑的。蜜罐的另一個(gè)用途是拖延攻擊者對其真正目標(biāo)的攻擊，讓攻擊者在蜜罐上浪費(fèi)時(shí)間。與此同時(shí)，最初的攻擊目標(biāo)受到了保護(hù)，真正有價(jià)值的內(nèi)容將不受侵犯。蜜罐最初的目的之一是為起訴惡意黑客搜集證據(jù)，這看起來有“誘捕”的感覺。

　　問：誰是入侵者？

　　通常我們將入侵者稱為hacker，但實(shí)際上這是不準(zhǔn)確的�？梢赃@么說：hacker是發(fā)現(xiàn)系統(tǒng)漏洞并修補(bǔ)漏洞的，cracker才是利用漏洞占山頭搞破壞的入侵者。為了不混淆視聽，在此干脆統(tǒng)一叫作入侵者吧。一般來說，入侵者分為兩類：內(nèi)部和外部。內(nèi)部入侵者通常利用社會工程學(xué)盜用非授權(quán)帳戶進(jìn)行非法活動(dòng)，比如使用其他人的機(jī)器、冒充是處長或局長；外部入侵者則要借助一定的攻擊技術(shù)對攻擊目標(biāo)進(jìn)行監(jiān)測、查漏，然后采取破壞活動(dòng)。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]