互聯(lián)網(wǎng)技術(shù)教程精講之入侵檢測系統(tǒng)分類

       >>>>>>2017年通信工程師沖刺班，考前突擊，快速備考！

       離2017年通信互聯(lián)網(wǎng)技術(shù)考試不到一個月的時間了，大家需抓緊時間備考。下面希賽小編為大家整理了些通信互聯(lián)網(wǎng)技術(shù)的考試知識點，下文是入侵檢測系統(tǒng)分類。希望能幫助大家！

       入侵檢測系統(tǒng)分類：

       從技術(shù)上看，基本上分為以下幾類：基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)。混合入侵檢測系統(tǒng)可以彌補一些基于網(wǎng)絡與基于主機的片面性缺陷。有時候，文件的完整性檢査工具也可看做是一類入侵檢測產(chǎn)品。

       1.基于網(wǎng)絡的入侵檢測

       基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS)放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。如果數(shù)據(jù)包與內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出聱報甚至直接切斷網(wǎng)絡連接。目前，大部分入侵檢測產(chǎn)品是基于網(wǎng)絡的。典型的網(wǎng)絡入侵檢測系統(tǒng)有Snort、NFR,Shadow等。

       (1)優(yōu)點

       NIDS能夠檢測那些來自網(wǎng)絡的攻擊，它能夠檢測到超過授權(quán)的非法訪問。

       一個N1DS不需要改變服務器等主機的配置。由于它不會在業(yè)務系統(tǒng)的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業(yè)務系統(tǒng)的性能。

       由于NIDS不像路由器、防火墻等關鍵設備方式工作，它不會成為系統(tǒng)中的關鍵路徑。NIDS發(fā)生故障不會影響正常業(yè)務的運行。部署一個NIDS的風險比主機入侵檢測系統(tǒng)的風險少得多。

       NIDS近年內(nèi)有向?qū)ｉT的設備發(fā)展的趨勢，安裝這樣的一個NIDS非常方便，只需將定制的設備接上電源，做很少一些配置，將其連到網(wǎng)絡上即可。

       (2)弱點

       NIDS只檢査它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡包。在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限。而安裝多臺NIDS的傳感器會使部署整個系統(tǒng)的成本大大增加。

       NIDS為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復雜的需要大量計算與分析時間的攻擊檢測。

       NIDS可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會產(chǎn)生大量的分析數(shù)據(jù)流景。一些系統(tǒng)在實現(xiàn)時采用一定方法來減少回傳的數(shù)據(jù)撒，對入侵判斷的決策由傳感器實現(xiàn)，而中央控制臺成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。

       NIDS處理加密的會話過程較困難，目前通過加密通道的攻擊還不多，但隨著IPv6的普及，這個問題會越來越突出。

       2.基于主機的入侵檢測

       基于主機的入侵檢測系統(tǒng)（HIDS〉通常是安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其中主體活動十分可疑（特征或違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應措施。

       (1)優(yōu)點

       HIDS對分析“可能的攻擊行為”非常有用。它除了指出入侵者試圖執(zhí)行一些“危險的命令”之外，還能分辨出入侵者做了什么事，運行了什么程序，打開了哪些文件，執(zhí)行了哪些系統(tǒng)調(diào)用。HIDS與NIDS相比通常能夠提供更詳盡的相關信息。

       因為檢測在主機上運行的命令序列比檢測網(wǎng)絡流更簡單，系統(tǒng)的復雜性也少得多，所以在通常情況下HIDS比N1DS誤報率要低。

       HIDS可部署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。

       (2)弱點

       HIDS安裝在霈要保護的設備上，這會降低應用系統(tǒng)的效率，也會帶來一些額外的安全問題。HIDS依賴于服務器固有的日志與監(jiān)視能力。如果服務器沒有配置日志功能，則必須重新配置。HIDS只監(jiān)測自身的主機，不監(jiān)測網(wǎng)絡上的情況。

       3.混合入侵檢測

       基于網(wǎng)絡的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御體系不全面。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡內(nèi).則會構(gòu)架成一套完整立體的主動防御體系，既可發(fā)現(xiàn)網(wǎng)絡中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

       4.文件完整性檢査

       文件完整性檢查系統(tǒng)檢査計算機中自上次檢査后文件變化情況。文件完整性檢査系統(tǒng)保存有每個文件的信息摘要數(shù)據(jù)庫，每次檢査時，重新計算文件的信息摘要并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改；若相同，文件則未發(fā)生變化。

       文件的信息摘要通過Hash由數(shù)計算得到。通常采用安全性高的Hash算法，如MD5、SHA時，兩個不同的文件幾乎不可能得到相同的Hash結(jié)果。

       (1)優(yōu)點

       從數(shù)學上分析，攻克文件完整性檢查系統(tǒng)，無論是時間上還是空間上都是不可能的。

       文件完整性檢査系統(tǒng)具有相當?shù)撵`活性，可以配置成為監(jiān)測系統(tǒng)中所有文件或某些重要文件。

       入侵者攻擊系統(tǒng)時，首先，他要掩蓋他的蹤跡，即要通過更改系統(tǒng)中的可執(zhí)行文件、庫文件或日志文件來隱藏他的活動；其次，他要做一些改動保證下次能夠繼續(xù)入侵。這兩種活動都能夠被文件完整性檢查系統(tǒng)檢測出》

       (2)弱點

       文件完整性檢查系統(tǒng)依賴于本地的信息摘要數(shù)據(jù)庫。與日志文件一樣，這些數(shù)據(jù)可能被入侵者修改。當一個入侵者取得管理員權(quán)限后，在完成破壞活動后，可以運行文件完整性檢查系統(tǒng)更新數(shù)據(jù)庫，從而瞞過系統(tǒng)管理員。當然，可以將信息摘要數(shù)據(jù)庫放在只讀的介質(zhì)上，但這樣的配置不夠靈活性。

       做一次完整的文件完整性檢查是一個非常耗時的工作。

       系統(tǒng)有些正常的更新操作可能會帶來大量的文件更新，從而產(chǎn)生比較繁雜的檢查與分析工作。例如，在WindowsNT操作系統(tǒng)中升級MicrosoftOutlook將會引起1800多個文件變化

       >>>>>>點擊進入了解更多中級通信工程師（綜合能力）備考知識點集錦

       希賽網(wǎng)，擁有8年的通信工程師考試培訓經(jīng)驗，希賽網(wǎng)一直堅持自主研發(fā)，將豐富的培訓經(jīng)驗有效融入教程研發(fā)過程，自成體系的在線題庫（歷年真題）、培訓教材和視頻教程，多樣的培訓方式包括面授、和網(wǎng)絡課堂，使考生的學習更具系統(tǒng)性，輔輔更具針對性。采用全程督學機制，幫助學員順利通過考試。