入侵檢測方法主要優(yōu)缺點(diǎn)是什么(簡(jiǎn)述入侵檢測常用的四種方法)
1.簡(jiǎn)述入侵檢測常用的四種方法
1)特征檢測 特征檢測對已知的攻擊或入侵的方式作出確定性的描述,形成相應的事件模式。
當被審計的事件與已知的入侵事件模式相匹配時(shí),即報警。原理上與專(zhuān)家系統相仿。
其檢測方法上與計算機病毒的檢測方式類(lèi)似。目前基于對包特征描述的模式匹配應用較為廣泛。
該方法預報檢測的準確率較高,但對于無(wú)經(jīng)驗知識的入侵與攻擊行為無(wú)能為力。 2)統計檢測 統計模型常用異常檢測,在統計模型中常用的測量參數包括:審計事件的數量、間隔時(shí)間、資源消耗情況等。
統計方法的最大優(yōu)點(diǎn)是它可以“學(xué)習”用戶(hù)的使用習慣,從而具有較高檢出率與可用性。但是它的“學(xué)習”能力也給入侵者以機會(huì )通過(guò)逐步“訓練”使入侵事件符合正常操作的統計規律,從而透過(guò)入侵檢測系統。
3)專(zhuān)家系統 用專(zhuān)家系統對入侵進(jìn)行檢測,經(jīng)常是針對有特征入侵行為。所謂的規則,即是知識,不同的系統與設置具有不同的規則,且規則之間往往無(wú)通用性。
專(zhuān)家系統的建立依賴(lài)于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達,是入侵檢測專(zhuān)家系統的關(guān)鍵。
在系統實(shí)現中,將有關(guān)入侵的知識轉化為if-then結構(也可以是復合結構),條件部分為入侵特征,then部分是系統防范措施。運用專(zhuān)家系統防范有特征入侵行為的有效性完全取決于專(zhuān)家系統知識庫的完備性。
4)文件完整性檢查 文件完整性檢查系統檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統保存有每個(gè)文件的數字文摘數據庫,每次檢查時(shí),它重新計算文件的數字文摘并將它與數據庫中的值相比較,如不同,則文件已被修改,若相同,文件則未發(fā)生變化。
文件的數字文摘通過(guò)Hash函數計算得到。不管文件長(cháng)度如何,它的Hash函數計算結果是一個(gè)固定長(cháng)度的數字。
與加密算法不同,Hash算法是一個(gè)不可逆的單向函數。采用安全性高的Hash算法,如MD5、SHA時(shí),兩個(gè)不同的文件幾乎不可能得到相同的Hash結果。
從而,當文件一被修改,就可檢測出來(lái)。在文件完整性檢查中功能最全面的當屬Tripwire。
2.入侵檢測技術(shù)分哪幾類(lèi)
分為特征檢測和異常檢測。
特征檢測(Signature-based detection)又稱(chēng)Misuse detection,這一檢測假設入侵者活動(dòng)可以用一種模式來(lái)表示,系統的目標是檢測主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來(lái),但對新的入侵方法無(wú)能為力。
其難點(diǎn)在于如何設計模式既能夠表達“入侵”現象又不會(huì )將正常的活動(dòng)包含進(jìn)來(lái)。異常檢測(Anomalydetection)的假設是入侵者活動(dòng)異常于正常主體的活動(dòng)。
根據這一理念建立主體正常活動(dòng)的“活動(dòng)簡(jiǎn)檔”,將當前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較,當違反其統計規律時(shí),認為該活動(dòng)可能是“入侵”行為。異常檢測的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
3.簡(jiǎn)答題 什么是入侵檢測系統,主要功能有哪些
入侵檢測是指“通過(guò)對行為、安全日志或審計數據或其它網(wǎng)絡(luò )上可以獲得的信息進(jìn)行操作,檢測到對系統的闖入或闖入的企圖”。
入侵檢測是檢測和響應計算機誤用的學(xué)科,其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。 三部分:信息收集、信息分析和結果處理。
(1)信息收集:入侵檢測的第一步是信息收集,收集內容包括系統、網(wǎng)絡(luò )、數據及用戶(hù)活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機的代理來(lái)收集信息,包括系統和網(wǎng)絡(luò )日志文件、網(wǎng)絡(luò )流量、非正常的目錄和文件改變、非正常的程序執行。
(2)信息分析:收集到的有關(guān)系統、網(wǎng)絡(luò )、數據及用戶(hù)活動(dòng)的狀態(tài)和行為等信息,被送到檢測引擎,檢測引擎駐留在傳感器中,一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時(shí),產(chǎn)生一個(gè)告警并發(fā)送給控制臺。
(3)結果處理:控制臺按照告警產(chǎn)生預先定義的響應采取相應措施,可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性,也可以只是簡(jiǎn)單的告警。
4.比較基本網(wǎng)絡(luò )和基于主機的入侵檢測系統的優(yōu)缺點(diǎn).
話(huà)劫持以及拒絕服務(wù)攻擊(DoS)都象瘟疫一般影響著(zhù)無(wú)線(xiàn)局域網(wǎng)的安全。
無(wú)線(xiàn)網(wǎng)絡(luò )不但因為基于傳統有線(xiàn)網(wǎng)絡(luò )TCP/IP架構而受到攻擊,還有可能受到基于電氣和電子工程師協(xié)會(huì ) (IEEE) 發(fā)行802.11標準本身的安全問(wèn)題而受到威脅。為了更好的檢測和防御這些潛在的威脅,無(wú)線(xiàn)局域網(wǎng)也使用了一種入侵檢測系統(IDS)來(lái)解決這個(gè)問(wèn)題。
以至于沒(méi)有配置入侵檢測系統的組織機構也開(kāi)始考慮配置IDS的解決方案。這篇文章將為你講述,為什么需要無(wú)線(xiàn)入侵檢測系統,無(wú)線(xiàn)入侵檢測系統的優(yōu)缺點(diǎn)等問(wèn)題。
來(lái)自無(wú)線(xiàn)局域網(wǎng)的安全 無(wú)線(xiàn)局域網(wǎng)容易受到各種各樣的威脅。象802.11標準的加密方法和有線(xiàn) 對等保密(Wired Equivalent Privacy)都很脆弱。
在"Weaknesses in the Key Scheduling Algorithm of RC-4" 文檔里就說(shuō)明了WEP key能在傳輸中通過(guò)暴力破解攻擊。即使WEP加密被用于無(wú)線(xiàn)局域網(wǎng)中,黑客也能通過(guò)解密得到關(guān)鍵數據。
黑客通過(guò)欺騙(rogue)WAP得到關(guān)鍵數據。無(wú)線(xiàn)局域網(wǎng)的用戶(hù)在不知情的情況下,以為自己通過(guò)很好的信號連入無(wú)線(xiàn)局域網(wǎng),卻不知已遭到黑客的監聽(tīng)了。
隨著(zhù)低成本和易于配置造成了現在的無(wú)線(xiàn)局域網(wǎng)的流行,許多用戶(hù)也可以在自己的傳統局域網(wǎng)架設無(wú)線(xiàn)基站(WAPs),隨之而來(lái)的一些用戶(hù)在網(wǎng)絡(luò )上安裝的后門(mén)程序,也造成了對黑客開(kāi)放的不利環(huán)境。這正是沒(méi)有配置入侵檢測系統的組織機構開(kāi)始考慮配置IDS的解決方案的原因。
或許架設無(wú)線(xiàn)基站的傳統局域網(wǎng)用戶(hù)也同樣面臨著(zhù)遭到黑客的監聽(tīng)的威脅。 基于802.11標準的網(wǎng)絡(luò )還有可能遭到拒絕服務(wù)攻擊(DoS)的威脅,從而使得無(wú)線(xiàn)局域網(wǎng)難于工作。
無(wú)線(xiàn)通訊由于受到一些物理上的威脅會(huì )造成信號衰減,這些威脅包括:樹(shù),建筑物,雷雨和山峰等破壞無(wú)線(xiàn)通訊的物體。象微波爐,無(wú)線(xiàn)電話(huà)也可能威脅基于802.11標準的無(wú)線(xiàn)網(wǎng)絡(luò )。
黑客通過(guò)無(wú)線(xiàn)基站發(fā)起的惡意的拒絕服務(wù)攻擊(DoS)會(huì )造成系統重起。另外,黑客還能通過(guò)上文提到的欺騙WAP發(fā)送非法請求來(lái)干擾正常用戶(hù)使用無(wú)線(xiàn)局域網(wǎng)。
另外一種威脅無(wú)線(xiàn)局域網(wǎng)的是ever-increasing pace。這種威脅確實(shí)存在,并可能導致大范圍地破壞,這也正是讓802.11標準越來(lái)越流行的原因。
對于這種攻擊,現在暫時(shí)還沒(méi)有好的防御方法,但我們會(huì )在將來(lái)提出一個(gè)更好的解決方案。 入侵檢測 入侵檢測系統(IDS)通過(guò)分析網(wǎng)絡(luò )中的傳輸數據來(lái)判斷破壞系統和入侵事件。
傳統的入侵檢測系統僅能檢測和對破壞系統作出反應。如今,入侵檢測系統已用于無(wú)線(xiàn)局域網(wǎng),來(lái)監視分析用戶(hù)的活動(dòng),判斷入侵事件的類(lèi)型,檢測非法的網(wǎng)絡(luò )行為,對異常的網(wǎng)絡(luò )流量進(jìn)行報警。
無(wú)線(xiàn)入侵檢測系統同傳統的入侵檢測系統類(lèi)似。但無(wú)線(xiàn)入侵檢測系統加入了一些無(wú)線(xiàn)局域網(wǎng)的檢測和對破壞系統反應的特性。
無(wú)線(xiàn)入侵檢測系統可以通過(guò)提供商來(lái)購買(mǎi),為了發(fā)揮無(wú)線(xiàn)入侵檢測系統的優(yōu)良的性能,他們同時(shí)還提供無(wú)線(xiàn)入侵檢測系統的解決方案。如今,在市面上的流行的無(wú)線(xiàn)入侵檢測系統是Airdefense RogueWatch 和Airdefense Guard。
象一些無(wú)線(xiàn)入侵檢測系統也得到了Linux 系統的支持。例如:自由軟件開(kāi)放源代碼組織的Snort-Wireless 和WIDZ 。
架構 無(wú)線(xiàn)入侵檢測系統用于集中式和分散式兩種。集中式無(wú)線(xiàn)入侵檢測系統通常用于連接單獨的sensors ,搜集數據并轉發(fā)到存儲和處理數據的中央系統中。
分散式無(wú)線(xiàn)入侵檢測系統通常包括多種設備來(lái)完成IDS的處理和報告功能。分散式無(wú)線(xiàn)入侵檢測系統比較適合較小規模的無(wú)線(xiàn)局域網(wǎng),因為它價(jià)格便宜和易于管理。
當過(guò)多的sensors需要時(shí)有著(zhù)數據處理sensors花費將被禁用。所以,多線(xiàn)程的處理和報告的sensors管理比集中式無(wú)線(xiàn)入侵檢測系統花費更多的時(shí)間。
無(wú)線(xiàn)局域網(wǎng)通常被配置在一個(gè)相對大的場(chǎng)所。象這種情況,為了更好的接收信號,需要配置多個(gè)無(wú)線(xiàn)基站(WAPs),在無(wú)線(xiàn)基站的位置上部署sensors,這樣會(huì )提高信號的覆蓋范圍。
由于這種物理架構,大多數的黑客行為將被檢測到。另外的好處就是加強了同無(wú)線(xiàn)基站(WAPs)的距離,從而,能更好地定位黑客的詳細地理位置。
物理回應 物理定位是無(wú)線(xiàn)入侵檢測系統的一個(gè)重要的部分。針對802.11 的攻擊經(jīng)常在接近下很快地執行,因此對攻擊的回應就是必然的了,象一些入侵檢測系統的一些行為封鎖非法的IP。
就需要部署找出入侵者的IP,而且,一定要及時(shí)。不同于傳統的局域網(wǎng),黑客可以攻擊的遠程網(wǎng)絡(luò ),無(wú)線(xiàn)局域網(wǎng)的入侵者就在本地。
通過(guò)無(wú)線(xiàn)入侵檢測系統就可以估算出入侵者的物理地址。通過(guò)802.11的sensor 數據分析找出受害者的,就可以更容易定位入侵者的地址。
一旦確定攻擊者的目標縮小,特別反映小組就拿出Kismet或Airopeek根據入侵檢測系統提供的線(xiàn)索來(lái)迅速找出入侵者, 策略執行 無(wú)線(xiàn)入侵檢測系統不但能找出入侵者,它還能加強策略。通過(guò)使用強有力的策略,會(huì )使無(wú)線(xiàn)局域網(wǎng)更安全。
威脅檢測 無(wú)線(xiàn)入侵檢測系統不但能檢測出攻擊者的行為,還能檢測到rogue WAPS,識別出未加密的802.11標準的數據流量。 為了更好的發(fā)現潛在的 WAP 目標,黑客通常使用掃描軟件。
Netstumbler 和Kismet這樣的軟件來(lái)。使用全球衛星定位系統(Global 。
5.入侵檢測技術(shù)的方法
方法有很多,如基于專(zhuān)家系統入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò )的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實(shí)現。
入侵檢測通過(guò)執行以下任務(wù)來(lái)實(shí)現:
1.監視、分析用戶(hù)及系統活動(dòng);
2.系統構造和弱點(diǎn)的審計;
3.識別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報警;
4.異常行為模式的統計分析;
5.評估重要系統和數據文件的完整性;
6.操作系統的審計跟蹤管理,并識別用戶(hù)違反安全策略的行為。
