据研究显示,木马病毒已占据了病毒总数的90%以上,各种木马病毒在网络上横行,穿梭于各个页面,甚至分布到众多的个人PC之中。种植木马病毒,盗取账号已成为黑客们的主要盈利方式。没有绝对安全的防御措施,所以我们不得不面对系统被入侵这个现实问题,被入侵之后怎么办呢?查杀木马呗,其实远没这么简单,我们不但要杀掉病毒,还要找到漏洞的根源。我们要有这样的意识:"中了木马后,想把他找出来,看看它是用什么端口入侵的。"只有这样才能令系统更安全。这就需要用到入侵检测,下面我们具体看看入侵检测到底是什么。
入侵检测:(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测 (Signature-based detection) 又称 Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达"入侵"现象又不会将正常的活动包含进来。
2、异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的"活动简档",将当前主体的活动状况与"活动简档"相比较,当违反其统计规律时,认为该活动可能是"入侵"行为。异常检测的难题在于如何建立"活动简档"以及如何设计统计算法,从而不把正常的操作作为"入侵"或忽略真正的"入侵"行为。
入侵检测的主要作用:
监督并分析用户和系统的活动
检查系统配置和漏洞
检查关键系统和数据文件的完整性
识别代表已知攻击的活动模式
对反常行为模式的统计分析
对操作系统的校验管理,判断是否有破坏安全的用户活动。
入侵检测系统和漏洞评估工具的优点在于:
提高了信息安全体系其它部分的完整性
提高了系统的监察能力
跟踪用户从进入到退出的所有活动或影响
识别并报告数据文件的改动
发现系统配置的错误,必要时予以更正
识别特定类型的攻击,并向相应人员报警,以作出防御反应
可使系统管理人员最新的版本升级添加到程序中
允许非专家人员从事系统安全工作
为信息安全策略的创建提供指导
必须修正对入侵检测系统和漏洞评估工具不切实际的期望:这些产品并不是无所不能的,它们无法弥补力量薄弱的识别和确认机制
在无人干预的情况下,无法执行对攻击的检查
无法感知公司安全策略的内容
不能弥补网络协议的漏洞
不能弥补由于系统提供信息的质量或完整性的问题
它们不能分析网络繁忙时所有事务
它们不能总是对数据包级的攻击进行处理
它们不能应付现代网络的硬件及特性
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到用户们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。我们作为终端用户也要养成良好的安全意识,加强防范意识,对出现的问题进行根本的解决,从根源彻底杜绝漏洞。