| 目前在计算机安全领域一门相对新的东西正在发展,它就是入侵检测(instrusion detection),入侵检测存在的目的就是检测已经发生的和正在进行的攻击 ,甚至可以采取一定步骤来组织这些攻击进一步发展。许多入侵检测即使采取的的措施就是分析计算机日志,其他的方法则是通过分析网络通讯来检测正在 进行的攻击的特征信息。 入侵检测是使用自动化和智能化工具来实时检测入侵的一种操作。这种工具被称为入侵检测系统,也就是我们经常见到的IDS.(instrusion detection system). 目前存在的入侵检测系统大致上可以分为两种: 1.基于规则的系统:依赖于以知的攻击方式以及攻击特征的库和数据库而工作的。当进入的通信满足特定的条件或规则时,它就被视为企图入侵。基于规则 的系统的主要缺点是它依赖于信息的及时性,就是必须及时更新攻击数据库。另外,有时这种入侵检测的存在规则制定的可靠性问题。 2.自动适应性系统:这种系统采用了更高级的技术,包括AI(人工智能),不仅仅可以识别以知攻击的特征,还能进行自行学习。但缺点就是比较贵。呵呵 在基于规则的入侵检测系统中,存在两种方式:主动方式和被动方式。 在主动凡是中,入侵检测工具实际上是监听网络的通信,一旦注意到可疑的活动,系统就回采取措施。 在被动方式中,入侵检测工具则是监视日志记录。一旦注意到可疑的活动,系统就回采取措施 这样看起来可能区别不大,但是实际上是很不同的,被动方式仅仅比日志记录多了一个步骤。它可以提醒你,但是是有延迟的。而主动方式则允许你在攻击 者发动攻击时作出响应。 实际上仅需协同标准的linux工具你就可以实现一个被动式模型。比如说: 1.使用logsurfer来监视日志中的某些预定的,有威胁的活动。指示当logsurfer发现这样的活动时就触发 2.编制一个脚本,它添加攻击者的地址到host.deny,这样tcpd就会拒绝它们以后的连接 当然,上面这个是一种相当原始的方法。如果攻击者经常更换其源地址,则~~~~~,不用说了吧。 但主动方式也有它的缺点。其中之一就是它们是资源密集型的方式。这就造成了两个问题,一是这类系统固有的交换性造成的,一是硬件和软件的局限性造 成的。 首先,如果攻击者知道你运行主动式ids,他就可以做多个假设。第一,你的ids在遇到相同攻击时会采取相同的措施,他就会从不同的地址发动多个实例来攻 击你的主机,他可以实施进程饱和攻击,而且很有可能使你的ids崩溃或失去工作能力。 第二,由于受到系统硬件的限制,你可能被迫选择通信分析而不是内容分析。通信分析所耗费的系统资源较少,因为你处理的是数据包首而不是内容。这样 可以防范许多攻击,但绝对不是全部。有大量攻击特征是隐藏在数据包内容之中的,因此简单的通信分析是足以检测到它们的。 最后,两种方式都不是百分百精确的,都会产生错误的入侵报告。这可能造成很严重的后果。比如说之前系统管理人员看到很多错误的入侵警报,然后漠视 这些,然后再有依次是真正的入侵,后果会如何,可想而知。 下面介绍一些linux下的入侵检测工具 1. Snort 是基于libpcap的数据包过滤器,嗅觉器和日志记录器。snort是基于规则的入侵检测工具,采用了主动和被动两种方式工作。它实时监听网络通讯并把通讯 同定义的规则匹配,当发现匹配情况时,会执行以下操做之一: 警告你检测到的通讯 记录检测到的通讯 忽略检测到的通讯 要构建一个规则,必须提供以下要求: 匹配发生时的行动记录 协议 源地址 源端口 目标ip 目标端口 附加选项 2.蜂鸟系统(hmming bird system) 它是一个很复杂的工具箱,用于大型网络的入侵检测。 它能够使你在多个主机之间分配安全信息和入侵检测信息,因此可用于检测各种复杂的攻击。攻击者现在可以使用各种复杂攻击来隐藏他们的活动,把活动 从多个源地址散布到多台主机。由于这类攻击的日志记录通常没有合成一体,所以很难精确定位识别。 hummer工作于跨主机的环境,可以作为一个潜在的解 决方案。它可以把主机划分为层次结构和组,并减少分析中的模糊因素。 3.MON 是一个功能强大,复杂的,分布式入侵检测工具,可以监视整个网络。 简单的说,mon的工作过程是: 主进程在一台中心机器上运行,并在那里收集,整理并报告其他主机的子进程所接受的数据 在其他主机中,运行着客户子进程。这些进程向中心mon主机报告异常 在所有主机上,mon运行着各种代理来执行不同的维护,诊断和入侵检测任务 文章转自[黑客资料基地] http://milworm.com.cn 原文链接:http://milworm.com.cn/linux/511.htm |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-30 17:37 , Processed in 0.133843 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
