入侵檢測(cè)方法主要優(yōu)缺點(diǎn)是什么(簡(jiǎn)述入侵檢測(cè)常用的四種方法)
1.簡(jiǎn)述入侵檢測(cè)常用的四種方法
1)特征檢測(cè) 特征檢測(cè)對(duì)已知的攻擊或入侵的方式作出確定性的描述,形成相應(yīng)的事件模式。
當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí),即報(bào)警。原理上與專家系統(tǒng)相仿。
其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。
該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高,但對(duì)于無(wú)經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無(wú)能為力。 2)統(tǒng)計(jì)檢測(cè) 統(tǒng)計(jì)模型常用異常檢測(cè),在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括:審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。
統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣,從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律,從而透過(guò)入侵檢測(cè)系統(tǒng)。
3)專家系統(tǒng) 用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè),經(jīng)常是針對(duì)有特征入侵行為。所謂的規(guī)則,即是知識(shí),不同的系統(tǒng)與設(shè)置具有不同的規(guī)則,且規(guī)則之間往往無(wú)通用性。
專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性,知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá),是入侵檢測(cè)專家系統(tǒng)的關(guān)鍵。
在系統(tǒng)實(shí)現(xiàn)中,將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu)),條件部分為入侵特征,then部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫(kù)的完備性。
4)文件完整性檢查 文件完整性檢查系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫(kù),每次檢查時(shí),它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較,如不同,則文件已被修改,若相同,文件則未發(fā)生變化。
文件的數(shù)字文摘通過(guò)Hash函數(shù)計(jì)算得到。不管文件長(zhǎng)度如何,它的Hash函數(shù)計(jì)算結(jié)果是一個(gè)固定長(zhǎng)度的數(shù)字。
與加密算法不同,Hash算法是一個(gè)不可逆的單向函數(shù)。采用安全性高的Hash算法,如MD5、SHA時(shí),兩個(gè)不同的文件幾乎不可能得到相同的Hash結(jié)果。
從而,當(dāng)文件一被修改,就可檢測(cè)出來(lái)。在文件完整性檢查中功能最全面的當(dāng)屬Tripwire。
2.入侵檢測(cè)技術(shù)分哪幾類
分為特征檢測(cè)和異常檢測(cè)。
特征檢測(cè)(Signature-based detection)又稱Misuse detection,這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示,系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來(lái),但對(duì)新的入侵方法無(wú)能為力。
其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。異常檢測(cè)(Anomalydetection)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。
根據(jù)這一理念建立主體正常活動(dòng)的“活動(dòng)簡(jiǎn)檔”,將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較,當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí),認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
3.簡(jiǎn)答題 什么是入侵檢測(cè)系統(tǒng),主要功能有哪些
入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”。
入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科,其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。 三部分:信息收集、信息分析和結(jié)果處理。
(1)信息收集:入侵檢測(cè)的第一步是信息收集,收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來(lái)收集信息,包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。
(2)信息分析:收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,被送到檢測(cè)引擎,檢測(cè)引擎駐留在傳感器中,一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí),產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。
(3)結(jié)果處理:控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施,可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性,也可以只是簡(jiǎn)單的告警。
4.比較基本網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)的優(yōu)缺點(diǎn).
話劫持以及拒絕服務(wù)攻擊(DoS)都象瘟疫一般影響著無(wú)線局域網(wǎng)的安全。
無(wú)線網(wǎng)絡(luò)不但因?yàn)榛趥鹘y(tǒng)有線網(wǎng)絡(luò)TCP/IP架構(gòu)而受到攻擊,還有可能受到基于電氣和電子工程師協(xié)會(huì) (IEEE) 發(fā)行802.11標(biāo)準(zhǔn)本身的安全問(wèn)題而受到威脅。為了更好的檢測(cè)和防御這些潛在的威脅,無(wú)線局域網(wǎng)也使用了一種入侵檢測(cè)系統(tǒng)(IDS)來(lái)解決這個(gè)問(wèn)題。
以至于沒(méi)有配置入侵檢測(cè)系統(tǒng)的組織機(jī)構(gòu)也開(kāi)始考慮配置IDS的解決方案。這篇文章將為你講述,為什么需要無(wú)線入侵檢測(cè)系統(tǒng),無(wú)線入侵檢測(cè)系統(tǒng)的優(yōu)缺點(diǎn)等問(wèn)題。
來(lái)自無(wú)線局域網(wǎng)的安全 無(wú)線局域網(wǎng)容易受到各種各樣的威脅。象802.11標(biāo)準(zhǔn)的加密方法和有線 對(duì)等保密(Wired Equivalent Privacy)都很脆弱。
在"Weaknesses in the Key Scheduling Algorithm of RC-4" 文檔里就說(shuō)明了WEP key能在傳輸中通過(guò)暴力破解攻擊。即使WEP加密被用于無(wú)線局域網(wǎng)中,黑客也能通過(guò)解密得到關(guān)鍵數(shù)據(jù)。
黑客通過(guò)欺騙(rogue)WAP得到關(guān)鍵數(shù)據(jù)。無(wú)線局域網(wǎng)的用戶在不知情的情況下,以為自己通過(guò)很好的信號(hào)連入無(wú)線局域網(wǎng),卻不知已遭到黑客的監(jiān)聽(tīng)了。
隨著低成本和易于配置造成了現(xiàn)在的無(wú)線局域網(wǎng)的流行,許多用戶也可以在自己的傳統(tǒng)局域網(wǎng)架設(shè)無(wú)線基站(WAPs),隨之而來(lái)的一些用戶在網(wǎng)絡(luò)上安裝的后門程序,也造成了對(duì)黑客開(kāi)放的不利環(huán)境。這正是沒(méi)有配置入侵檢測(cè)系統(tǒng)的組織機(jī)構(gòu)開(kāi)始考慮配置IDS的解決方案的原因。
或許架設(shè)無(wú)線基站的傳統(tǒng)局域網(wǎng)用戶也同樣面臨著遭到黑客的監(jiān)聽(tīng)的威脅。 基于802.11標(biāo)準(zhǔn)的網(wǎng)絡(luò)還有可能遭到拒絕服務(wù)攻擊(DoS)的威脅,從而使得無(wú)線局域網(wǎng)難于工作。
無(wú)線通訊由于受到一些物理上的威脅會(huì)造成信號(hào)衰減,這些威脅包括:樹(shù),建筑物,雷雨和山峰等破壞無(wú)線通訊的物體。象微波爐,無(wú)線電話也可能威脅基于802.11標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)。
黑客通過(guò)無(wú)線基站發(fā)起的惡意的拒絕服務(wù)攻擊(DoS)會(huì)造成系統(tǒng)重起。另外,黑客還能通過(guò)上文提到的欺騙WAP發(fā)送非法請(qǐng)求來(lái)干擾正常用戶使用無(wú)線局域網(wǎng)。
另外一種威脅無(wú)線局域網(wǎng)的是ever-increasing pace。這種威脅確實(shí)存在,并可能導(dǎo)致大范圍地破壞,這也正是讓802.11標(biāo)準(zhǔn)越來(lái)越流行的原因。
對(duì)于這種攻擊,現(xiàn)在暫時(shí)還沒(méi)有好的防御方法,但我們會(huì)在將來(lái)提出一個(gè)更好的解決方案。 入侵檢測(cè) 入侵檢測(cè)系統(tǒng)(IDS)通過(guò)分析網(wǎng)絡(luò)中的傳輸數(shù)據(jù)來(lái)判斷破壞系統(tǒng)和入侵事件。
傳統(tǒng)的入侵檢測(cè)系統(tǒng)僅能檢測(cè)和對(duì)破壞系統(tǒng)作出反應(yīng)。如今,入侵檢測(cè)系統(tǒng)已用于無(wú)線局域網(wǎng),來(lái)監(jiān)視分析用戶的活動(dòng),判斷入侵事件的類型,檢測(cè)非法的網(wǎng)絡(luò)行為,對(duì)異常的網(wǎng)絡(luò)流量進(jìn)行報(bào)警。
無(wú)線入侵檢測(cè)系統(tǒng)同傳統(tǒng)的入侵檢測(cè)系統(tǒng)類似。但無(wú)線入侵檢測(cè)系統(tǒng)加入了一些無(wú)線局域網(wǎng)的檢測(cè)和對(duì)破壞系統(tǒng)反應(yīng)的特性。
無(wú)線入侵檢測(cè)系統(tǒng)可以通過(guò)提供商來(lái)購(gòu)買,為了發(fā)揮無(wú)線入侵檢測(cè)系統(tǒng)的優(yōu)良的性能,他們同時(shí)還提供無(wú)線入侵檢測(cè)系統(tǒng)的解決方案。如今,在市面上的流行的無(wú)線入侵檢測(cè)系統(tǒng)是Airdefense RogueWatch 和Airdefense Guard。
象一些無(wú)線入侵檢測(cè)系統(tǒng)也得到了Linux 系統(tǒng)的支持。例如:自由軟件開(kāi)放源代碼組織的Snort-Wireless 和WIDZ 。
架構(gòu) 無(wú)線入侵檢測(cè)系統(tǒng)用于集中式和分散式兩種。集中式無(wú)線入侵檢測(cè)系統(tǒng)通常用于連接單獨(dú)的sensors ,搜集數(shù)據(jù)并轉(zhuǎn)發(fā)到存儲(chǔ)和處理數(shù)據(jù)的中央系統(tǒng)中。
分散式無(wú)線入侵檢測(cè)系統(tǒng)通常包括多種設(shè)備來(lái)完成IDS的處理和報(bào)告功能。分散式無(wú)線入侵檢測(cè)系統(tǒng)比較適合較小規(guī)模的無(wú)線局域網(wǎng),因?yàn)樗鼉r(jià)格便宜和易于管理。
當(dāng)過(guò)多的sensors需要時(shí)有著數(shù)據(jù)處理sensors花費(fèi)將被禁用。所以,多線程的處理和報(bào)告的sensors管理比集中式無(wú)線入侵檢測(cè)系統(tǒng)花費(fèi)更多的時(shí)間。
無(wú)線局域網(wǎng)通常被配置在一個(gè)相對(duì)大的場(chǎng)所。象這種情況,為了更好的接收信號(hào),需要配置多個(gè)無(wú)線基站(WAPs),在無(wú)線基站的位置上部署sensors,這樣會(huì)提高信號(hào)的覆蓋范圍。
由于這種物理架構(gòu),大多數(shù)的黑客行為將被檢測(cè)到。另外的好處就是加強(qiáng)了同無(wú)線基站(WAPs)的距離,從而,能更好地定位黑客的詳細(xì)地理位置。
物理回應(yīng) 物理定位是無(wú)線入侵檢測(cè)系統(tǒng)的一個(gè)重要的部分。針對(duì)802.11 的攻擊經(jīng)常在接近下很快地執(zhí)行,因此對(duì)攻擊的回應(yīng)就是必然的了,象一些入侵檢測(cè)系統(tǒng)的一些行為封鎖非法的IP。
就需要部署找出入侵者的IP,而且,一定要及時(shí)。不同于傳統(tǒng)的局域網(wǎng),黑客可以攻擊的遠(yuǎn)程網(wǎng)絡(luò),無(wú)線局域網(wǎng)的入侵者就在本地。
通過(guò)無(wú)線入侵檢測(cè)系統(tǒng)就可以估算出入侵者的物理地址。通過(guò)802.11的sensor 數(shù)據(jù)分析找出受害者的,就可以更容易定位入侵者的地址。
一旦確定攻擊者的目標(biāo)縮小,特別反映小組就拿出Kismet或Airopeek根據(jù)入侵檢測(cè)系統(tǒng)提供的線索來(lái)迅速找出入侵者, 策略執(zhí)行 無(wú)線入侵檢測(cè)系統(tǒng)不但能找出入侵者,它還能加強(qiáng)策略。通過(guò)使用強(qiáng)有力的策略,會(huì)使無(wú)線局域網(wǎng)更安全。
威脅檢測(cè) 無(wú)線入侵檢測(cè)系統(tǒng)不但能檢測(cè)出攻擊者的行為,還能檢測(cè)到rogue WAPS,識(shí)別出未加密的802.11標(biāo)準(zhǔn)的數(shù)據(jù)流量。 為了更好的發(fā)現(xiàn)潛在的 WAP 目標(biāo),黑客通常使用掃描軟件。
Netstumbler 和Kismet這樣的軟件來(lái)。使用全球衛(wèi)星定位系統(tǒng)(Global 。
5.入侵檢測(cè)技術(shù)的方法
方法有很多,如基于專家系統(tǒng)入侵檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。目前一些入侵檢測(cè)系統(tǒng)在應(yīng)用層入侵檢測(cè)中已有實(shí)現(xiàn)。
入侵檢測(cè)通過(guò)執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn):
1.監(jiān)視、分析用戶及系統(tǒng)活動(dòng);
2.系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);
3.識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;
4.異常行為模式的統(tǒng)計(jì)分析;
5.評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;
6.操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。
