当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之八:IDS系统(3)

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 网络安全讲座之八:IDS系统(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 38 ::
收藏到网摘: n/a

  管理者和代理的通信

  在你学习如何为网络挑选产品时,需要明确管理者和代理的通信方式。大多数的IDS程序要求你首先和管理者通信,然后管理者会查询代理。

  通常,管理者和代理在通信时使用一种公钥加密。例如,Axent的产品使用400位长Diffie-Helman加密。标准的SSL会话使用128位的加密。比较这两种标准,你可以发现大多数的IDS厂商都采用安全的通信。

  有些老的主机级的产品采用明文或经过非常弱地加密的会话。这种功能很具讽刺意味,由于明文传输易遭受hijacking和Man-in-the-middle攻击,这样会严重地破坏你监测和保护网络安全。

  有些管理者可以和其它管理者通信。这种管理者之间的通信可以节省带宽并减轻你的管理负担。通过使用组织结构有可能避免这种通信。例如,Axent Intruder Alert(ITA)使用被称作domain的层次结构来组织代理。

  审计管理者和代理的通信

  作为审计人员,你应该对用户名和密码进行核实,而不应保留缺省设置。同时,你还要确保通信要经过加密和尽可能的安全。

  混合入侵检测

  基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面。但是,它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系,综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。

  规则

  就像应用防火墙,你必须为IDS建立规则。大多数的IDS程序都有预先定义好的规则。你最好编辑已有的规则并且增加新的规则来为网络提供最佳的保护。通常建立的规则有两大类:网络异常和网络误用。企业级的IDS通常可以实施上百条规则。

  不同厂商在使用审计的术语时有所差别。例如,eTrust Intrusion Detection用“rules”来讨论安全审计的规则,而Intruder Alert却使用“policies”。你将会了解到Intruder Alert使用“policies”时意味更深远,它允许你为个别策略建立规则。因此,在理解各个厂商的产品时,不要被术语所迷惑。

  网络异常的监测

  IDS程序会报告协议级别的异常情况。如果配置正确的话,它可以提示你有关NetBus,Teardrop或Smurf攻击。例如,如果存在过多的SYN连接,IDS程序会向你报警。

  网络误用监测

  网络误用包括非工作目的的Web浏览,安装未授权的服务(如WAR FTP服务),和玩儿游戏(如Doom或Quake)。你可以对其进行日志记录,阻塞流量或主动地制止。例如,你可以利用程序实施反击或设置“dummy”系统或网络进行诱导。

  网络误用是物理的,操作系统的或远程攻击的结果。物理攻击包括偷取硬盘或物理操纵机器来获取信息。操作系统攻击指经过验证的用户试图获得root的访问权限。远程攻击指攻击者通过网络来攻击设备。

  常用检测方法

  入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。

  特征检测

  特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。

  统计检测

  统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:

  1、操作模型,该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击;

  2、方差,计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;

  3、多元模型,操作模型的扩展,通过同时分析多个参数实现检测;

  4、马尔柯夫过程模型,将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件;