看看你的爱机是不是正被别人控制(2)
7.4.4 入侵检测系统的检测步骤
入侵检测系统一般使用基于特征码的检测方法和异常检测方法,在判断系统是否被入侵前,入侵检测系统首先需要进行一些信息的收集。信息的收集往往会从各个方面进行。例如对网络或主机上安全漏洞进行扫描,查找非授权使用网络或主机系统的企图,并从几个方面来判断是否有入侵行为发生。
检测系统接着会检查网络日志文件,因为黑客非常容易在会在日志文件中留下蛛丝马迹,因此网络日志文件信息是常常作为系统管理员检测是否有入侵行为的主要方法。取得系统管理权后,黑客们最喜欢做的事,就是破坏或修改系统文件,此时系统完整性校验系统(SIV)就会迅速检查系统是否有异常的改动迹象,从而判断入侵行为的恶劣程度。将系统运行情况与常见的入侵程序造成的后果数据进行比较,从而发现是否被入侵。例如:系统遭受DDoS分布式攻击后,系统会在短时间内性能严重下降,检测系统此时就可以判断已经被入侵。
入侵检测系统还可以使用一些系统命令来检查、搜索系统本身是否被攻击。当收集到足够的信息时,入侵检测系统就会自动与本身数据库中设定的已知入侵方式和相关参数匹配,检测准确率相当的高,让用户感到不方便的是,需要不断的升级数据库。否则,无法跟上网络时代入侵工具的步伐。入侵检测的实时保护功能很强,作为一种“主动防范”的检测技术,检测系统能迅速提供对系统攻击、网络攻击和用户误操作的实时保护,在预测到入侵企图时本身进行拦截和提醒管理员预防。
7.4.5 发现系统被入侵后的步骤
1.仔细寻找入侵者是如何进入系统的,设法堵住这个安全漏洞。
2.检查所有的系统目录和文件是否被篡改过,尽快修复。
3.改变系统中的部分密码,防止再次因密码被暴力破解而生产的漏洞。
7.4.6 常用入侵检测工具介绍
1.NetProwler
作为世界级的互联网安全技术厂商,赛门铁克公司的产品涉及到网络安全的方方面面,特别是在安全漏洞检测、入侵检测、互联网内容/电子邮件过滤、远程管理技术和安全服务方面,赛门铁克的先进技术的确让人惊叹!NetProwler就是一款赛门铁克基于网络入侵检测开发出的工具软件,NetProwler采用先进的拥有专利权的动态信号状态检测(SDSI)技术,使用户能够设计独特的攻击定义。即使最复杂的攻击也可以由它直观的攻击定义界面产生。
(1)NetProwler的体系结构
NetProwler具有多层体系结构,由Agent、Console和Manager三部分组成。Agent负责监视所在网段的网络数据包。将检测到的攻击及其所有相关数据发送给管理器,安装时应与企业的网络结构和安全策略相结合。Console负责从代理处收集信息,显示所受攻击信息,使你能够配置和管理隶属于某个管理器的代理。Manager对配置和攻击警告信息响应,执行控制台发布的命令,将代理发出的攻击警告传递给控制台。
当NetProwler发现攻击时,立即会把攻击事件记入日志并中断网络连接、创建一个报告,用文件或E-mail通知系统管理员,最后将事件通知主机入侵检测管理器和控制台。
(2)NetProwler的检测技术
NetProwler采用具有专利技术的SDSI(Stateful Dynamic Signature Inspection状态化的动态特征检测)入侵检测技术。在这种设计中,每个攻击特征都是一组指令集,这些指令是由SDSI虚处理器通过使用一个高速缓存入口来描述目前用户状态和当前从网络上收到数据包的办法执行。每一个被监测的网络服务器都有一个小的相关攻击特征集,这些攻击特征集都是基于服务器的操作和服务器所支持的应用而建立的。Stateful根据监视的网络传输内容,进行上下文比较,能够对复杂事件进行有效的分析和记录
基于SDSI技术的NetProwler工作过程如下:
第一步:SDSI虚拟处理器从网络数据中获取当今的数据包;
第二步:把获取的数据包放入属于当前用户或应用会话的状态缓冲中;
第三步:从特别为优化服务器性能的特征缓冲中执行攻击特征;
第四步:当检测到某种攻击时,处理器立即触发响应模块,以执行相应的响应措施。
(3)NetProwler工作模式
因为是网络型IDS,所以NetProwler根据不同的网络结构,其数据采集部分(即代理)有多种不同的连接形式:如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可。
(4)系统安装要求
用户将NetProwler Agent安装在一台专门的Windows NT工作站上,如果NetProwler和其他应用程序运行在同一台主机上,则两个程序的性能都将受到严重影响。网络入侵检测系统占用大量的资源,因此制造商一般推荐使用专门的系统运行驱动引擎,要求它有128M RAM和主频为400MHz的Intel Pentium II或Pentium
顶(0)
踩(0)
- 最新评论