黑客入侵防护系统源代码分析-开源入侵防御系统

文章介绍:

求一片关于入侵防御系统(IPS)的论文

《科技传播》杂志

国家级科技学术期刊

中英文目录

知网 万方全文收录

随着对网络安全问题的理解日益深入,入侵检测技术得到了迅速的发展,应用防护的概念逐渐被人们所接受,并应用到入侵检测产品中。而在千兆环境中,如何解决应用防护和千兆高速网络环境中数据包线速处理之间的矛盾,成为网络安全技术发展一个新的挑战。

入侵检测技术的演进。

入侵检测系统(IDS, Intrusion Detection System)是近十多年发展起来的新一代安全防范技术,它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象。IDS产品被认为是在防火墙之后的第二道安全防线在攻击检测、安全审计和监控等方面都发挥了重要的作用。

但在入侵检测产品的使用过程中,暴露出了诸多的问题。特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出,并且严重影响了产品发挥实际的作用。Gartner在2003年一份研究报告中称入侵检测系统已经“死”了。Gartner认为IDS不能给网络带来附加的安全,反而会增加管理员的困扰,建议用户使用入侵防御系统(IPS, Intrusion Prevention System)来代替IDS。Gartner公司认为只有在线的或基于主机的攻击阻止(实时拦截)才是最有效的入侵防御系统。

从功能上来看,IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限,一般只能通过发送TCP reset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。因此,从实用效果上来看,和IDS相比入侵防御系统IPS向前发展了一步,能够对网络起到较好的实时防护作用。

近年来,网络攻击的发展趋势是逐渐转向高层应用。根据Gartner的分析,目前对网络的攻击有70%以上是集中在应用层,并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果,比如用户帐号丢失和公司机密泄漏等。因此,对具体应用的有效保护就显得越发重要。从检测方法上看,IPS与IDS都是基于模式匹配、协议分析以及异常流量统计等技术。这些检测技术的特点是主要针对已知的攻击类型,进行基于攻击特征串的匹配。但对于应用层的攻击,通常是利用特定的应用程序的漏洞,无论是IDS还是IPS都无法通过现有的检测技术进行防范。

为了解决日益突出的应用层防护问题,继入侵防御系统IPS之后,应用入侵防护系统(AIP,Application Intrusion Prevention)逐渐成为一个新的热点,并且正得到日益广泛的应用。

应用入侵防护

对应用层的防范通常比内网防范难度要更大,因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用服务对应的端口,如web的80端口。这样,黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计,所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足,对特定应用进行有效保护。

所谓应用入侵防护系统AIP,是用来保护特定应用服务(如web和数据库等应用)的网络设备,通常部署在应用服务器之前,通过AIP系统安全策略的控制来防止基于应用协议漏洞和设计缺陷的恶意攻击。

在对应用层的攻击中,大部分时通过HTTP协议(80端口)进行。在国外权威机构的一次网络安全评估过程中发现,97%的web站点存在一定应用协议问题。虽然这些站点通过部署防火墙在网络层以下进行了很好的防范,但其应用层的漏洞仍可被利用进而受到入侵和攻击。因此对于web等应用协议,应用入侵防护系统AIP应用比较广泛。通过制订合理的安全策略,AIP能够对以下类型的web攻击进行有效防范:

恶意脚本 Cookie投毒 隐藏域修改 缓存溢出 参数篡改 强制浏览 Sql插入 已知漏洞攻击

应用入侵防护技术近两年刚刚出现,但发展迅速。Yankee Group预测在未来的五年里, AIP将和防火墙,入侵检测和反病毒等安全技术一起,成为网络安全整体解决方案的一个重要组成部分。

千兆解决方案

应用入侵防护产品在保护企业业务流程和相关数据方面发挥着日益重要的作用,同时随着网络带宽的不断增加,只有在适合千兆环境应用的高性能产品才能够满足大型网络的需要。

传统的软件形式的应用入侵防护产品受性能的限制,只能应用在中小型网络中;基于x86架构的硬件产品无法达到千兆流量的要求;近年来,网络处理器(NP)在千兆环境中得到了日益广泛的应用,但NP的优势主要在于网络层以下的包处理上,若进行内容处理则会导致性能的下降。

通过高性能内容处理芯片和网络处理芯片相结合形式,为千兆应用入侵防护产品提供了由于的解决方案。其设计特点是采用不同的处理器实现各自独立的功能,由网络处理芯片实现网络层和传输层以下的协议栈处理,通过高速内容处理芯片进行应用层的协议分析和内容检查。从而实现了千兆流量线速转发和高速内容处理的完美结合,真正能够为用户提供千兆高性能的应用防护解决方案。

在上面系统框架中,包处理引擎收到数据包后,首先由网络处理器进行传输层以下的协议栈处理,并将数据包还原成数据流。接下来由内容处理器对数据流进行应用协议处理,根据控制器设定的安全策略对各种应用攻击进行检测和过滤。只有符合安全策略要求的数据流才会被发送到服务器,攻击包则被丢弃。

在高性能的千兆解决方案中,能够实现网络层到应用层的多层次立体防护体系。对于面向大型web应用,产品通过多种功能的集成实现有效的应用防护:

Web应用入侵防护。通过系统内置的网络内容处理芯片,对web请求和回应流量进行细致的分析。根据内置的规则及启发式的安全策略,有效防范各种针对web应用的攻击行为。

DOS攻击的防护。系统通过网络处理芯片,对Synflood、Icmpflood、Upflood、PinfOfDeath、Smurf、Ping Sweep等网络层的拒绝服务攻击进行过滤的防范,有效保护服务器。

访问控制。通过硬件的ACL匹配算法,系统能够在实现线速转发的同时对数据包进行实时的访问控制。

中科网威在新一代千兆应用入侵防护产品设计中采用了上述解决方案,实现了千兆流量下的线速处理。系统以透明模式接入网络,在增强安全性的同时,网络性能不会受到任何影响,真正实现了应用层内容处理和千兆高性能的完美结合。

入侵防护系统(IPS)的原理

IPS原理

防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数 IDS 系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。

IPS工作原理

IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。

针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。

过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。

IPS的种类

* 基于主机的入侵防护(HIPS)

HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品,因此它们在防范红色代码和Nimda的攻击中,起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平。

在技术上,HIPS采用独特的服务器保护途径,利用由包过滤、状态包检测和实时入侵检测组成分层防护体系。这种体系能够在提供合理吞吐率的前提下,最大限度地保护服务器的敏感内容,既可以以软件形式嵌入到应用程序对操作系统的调用当中,通过拦截针对操作系统的可疑调用,提供对主机的安全防护;也可以以更改操作系统内核程序的方式,提供比操作系统更加严谨的安全控制机制。

由于HIPS工作在受保护的主机/服务器上,它不但能够利用特征和行为规则检测,阻止诸如缓冲区溢出之类的已知攻击,还能够防范未知攻击,防止针对Web页面、应用和资源的未授权的任何非法访问。HIPS与具体的主机/服务器操作系统平台紧密相关,不同的平台需要不同的软件代理程序。

* 基于网络的入侵防护(NIPS)

NIPS通过检测流经的网络流量,提供对网络系统的安全保护。由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话。同样由于实时在线,NIPS需要具备很高的性能,以免成为网络的瓶颈,因此NIPS通常被设计成类似于交换机的网络设备,提供线速吞吐速率以及多个网络端口。

NIPS必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包检测和阻断功能。这种特定的硬件平台通常可以分为三类:一类是网络处理器(网络芯片),一类是专用的FPGA编程芯片,第三类是专用的ASIC芯片。

在技术上,NIPS吸取了目前NIDS所有的成熟技术,包括特征匹配、协议分析和异常检测。特征匹配是最广泛应用的技术,具有准确率高、速度快的特点。基于状态的特征匹配不但检测攻击行为的特征,还要检查当前网络的会话状态,避免受到欺骗攻击。

协议分析是一种较新的入侵检测技术,它充分利用网络协议的高度有序性,并结合高速数据包捕捉和协议分析,来快速检测某种攻击特征。协议分析正在逐渐进入成熟应用阶段。协议分析能够理解不同协议的工作原理,以此分析这些协议的数据包,来寻找可疑或不正常的访问行为。协议分析不仅仅基于协议标准(如RFC),还基于协议的具体实现,这是因为很多协议的实现偏离了协议标准。通过协议分析,IPS能够针对插入(Insertion)与规避(Evasion)攻击进行检测。异常检测的误报率比较高,NIPS不将其作为主要技术。

* 应用入侵防护(AIP)

NIPS产品有一个特例,即应用入侵防护(Application Intrusion Prevention,AIP),它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备,配置在应用数据的网络链路上,以确保用户遵守设定好的安全策略,保护服务器的安全。NIPS工作在网络上,直接对数据包进行检测和阻断,与具体的主机/服务器操作系统平台无关。

NIPS的实时检测与阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高,每一层次的交换机都有可能集成入侵防护功能。

IPS技术特征

嵌入式运行:只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。

深入分析和控制:IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。

入侵特征库:高质量的入侵特征库是IPS高效运行的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。

高效处理能力:IPS必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。

IPS面临的挑战

IPS 技术需要面对很多挑战,其中主要有三点:一是单点故障,二是性能瓶颈,三是误报和漏报。设计要求IPS必须以嵌入模式工作在网络中,而这就可能造成瓶颈问题或单点故障。如果IDS 出现故障,最坏的情况也就是造成某些攻击无法被检测到,而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转。如果IPS出现故障而关闭,用户就会面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。

即使 IPS 设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,IPS必须与数千兆或者更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的 IPS 嵌入设备无法支持这种响应速度。绝大多数高端 IPS 产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效率。

误报率和漏报率也需要IPS认真面对。在繁忙的网络当中,如果以每秒需要处理十条警报信息来计算,IPS每小时至少需要处理 36,000 条警报,一天就是 864,000 条。一旦生成了警报,最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善,那么"误报"就有了可乘之机,导致合法流量也有可能被意外拦截。对于实时在线的IPS来说,一旦拦截了"攻击性"数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知,这个客户整个会话就会被关闭,而且此后该客户所有重新连接到企业网络的合法访问都会被"尽职尽责"的IPS拦截。

IPS厂商采用各种方式加以解决。一是综合采用多种检测技术,二是采用专用硬件加速系统来提高IPS的运行效率。尽管如此,为了避免IPS重蹈IDS覆辙,厂商对IPS的态度还是十分谨慎的。例如,NAI提供的基于网络的入侵防护设备提供多种接入模式,其中包括旁路接入方式,在这种模式下运行的IPS实际上就是一台纯粹的IDS设备,NAI希望提供可选择的接入方式来帮助用户实现从旁路监听向实时阻止攻击的自然过渡。

IPS的不足并不会成为阻止人们使用IPS的理由,因为安全功能的融合是大势所趋,入侵防护顺应了这一潮流。对于用户而言,在厂商提供技术支持的条件下,有选择地采用IPS,仍不失为一种应对攻击的理想选择。

入侵防护系统(IPS)的原理?

通过全面的数据包侦测,TippingPoint的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力,TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础免遭恶意攻击和防止流量异动。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源,从而确保网路资源的合理配置并保证关键业务的性能。

入侵防御系统(IPS),属于网络交换机的一个子项目,为有过滤攻击功能的特种交换机。一般布于防火墙和外来网络的设备之间,依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网)

Windows系统入侵检测系统与实现

基于Windows入侵检测系统的研究与设计——检测模块设计时间:2010-10-20 12:35来源:未知 作者:admin

摘 要当今是信息时代,互联网正在给全球带来翻天覆地的变化。随着Internet在全球的飞速发展,网络技术的日益普及,网络安全问题也显得越来越突出。计算机网络安全是一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失高达数百亿美

.引 言

1.1课题背景及意义

当今网络技术的迅速发展,网络成为人们生活的重要组成部分,与此同时,黑客频频入侵网络,网络安全问题成为人们关注的焦点。传统安全方法是采用尽可能多地禁止策略进行防御,例如各种杀毒软件、防火墙、身份认证、访问控制等,这些对防止非法入侵都起到了一定的作用,从系统安全管理的角度来说,仅有防御是不够好的,还应采取主动策略。

入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。

入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息,查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线,提供对内部攻击、外部攻击和误操作的实时保护。

本文首先介绍了网络入侵检测的基本原理和实现入侵检测的技术。随后重点介绍了基于Windows入侵检测系统中检测模块的设计与实现。即网络数据包的捕获与分析过程的设计与实现。

1.1.1 网络安全面临的威胁

入侵的来源可能是多种多样的,比如说,它可能是企业心怀不满的员工、网络黑客、甚至是竞争对手。攻击者可能窃听网络上的信息,窃取用户口令、数据库信息,还可以篡改数据库内容,伪造用户身份,否认自己的签名。更为严重的是攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒,直到整个网络陷入瘫痪。

用密码编码学和网络安全的观点,我们把计算机网络面临的威胁归纳为以下四种:

截获(interception):攻击者从网络上窃听他人的通信内容。

中断(interruption):攻击者有意中断他人在网络上的通信。

篡改(modification):攻击者故意篡改网络上传播的报文。

伪造(fabrication):攻击者伪造信息在网络上传送。

这四种威胁可以划分为两大类,即被动攻击和主动攻击。在上述情况中,截获信息的攻击称为被动攻击,而更改信息和拒绝客户使用资源的攻击称为主动攻击。在被动攻击中攻击者只是观察和窃取数据而不干扰信息流,攻击不会导致对系统中所含信息的任何改动,而且系统的操作和状态也不会被改变,因此被动攻击主要威胁信息的保密性。主动攻击则意在篡改系统中所含信息或者改变系统的状态及操作。因此主动攻击主要威胁信息的完整性、可用性和真实性。

1.1.2 网络安全隐患的来源

网络安全隐患主要来自于四个方面:

(1)网络的复杂性。网络是一个有众多环节构成的复杂系统。由于市场利润、技术投入、产品成本、技术规范等等问题,不同供应商提供的环节在安全性上不尽相同,使得整个网络系统的安全成度被限制在安全等级最低的那个环节上。

(2)网络的飞速发展。由于网络的发展,提供新的网络服务,增加网络的开放性和互联性,必然将更多环节纳入系统中,新加入的环节又增加了系统的复杂性,引发了网络的不安定性。

(3)软件质量问题。软件质量难以评估是软件的一个特性。现实中,即使是正常运行了很长时间的软件,也会在特定的情况下出现漏洞。现代网络已经是软件驱动的发展模式,对软件的更多依赖性加大了软件质量对网络安全的负面影响。同时,市场的激烈竞争,促使商家需要更快地推出产品,软件的快速开发也增大了遗留更多隐患的可能性。

(4)其他非技术因素。包括技术人员在网络配置管理上的疏忽或错误,网络实际运行效益和安全投入成本间的平衡抉择,网络用户的安全管理缺陷等等。

由于存在更多的安全威胁和安全隐患,能否成功的阻止网络黑客的入侵、保证计算机和网络系统的安全和正常的运行便成为网络管理员所面临的一个重要问题。

1.1.3 网络安全技术

如今已有大量的研究机构、社会团体、商业公司和政府部门投入到网络安全的研究中,并将此纳入到一个被称为信息安全的研究领域。网络安全技术主要包括基于密码学的安全措施和非密码体制的安全措施,前者包括:数据加密技术、身份鉴别技术等。后者则有:防火墙、路由选择、反病毒技术等。

(1)数据加密技术

数据加密是网络安全中采用的最基本的安全技术,目的是保护数据、文件、口令以及其他信息在网络上的安全传输,防止窃听。网络中的数据加密,除了选择加密算法和密钥外,主要问题是加密的方式以及实现加密的网络协议层次和密钥的分配管理。按照收发双方密钥是否相同,可分为对称密码算法和非对称密码算法即公钥密码算法两种。对称密码算法有保密度高,加密速度快的优点,但其密钥的分发则是一个比较复杂的问题。比较著名的对称密码算法有:美国的DES和欧洲的IDEA等。在公钥密码中,收发双方使用的密钥各不相同,密钥的管理比较方便。比较著名的公钥密码算法有:ECC、RSA等,其中RSA算法应用最为广泛。

(2)鉴别技术

鉴别技术可以验证消息的完整性,有效的对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同,鉴别技术可分为消息源鉴别和通信双方互相鉴别,按照鉴别内容的不同,鉴别技术可分为用户身份鉴别和消息内容鉴别,鉴别的方法有很多种,主要有通过用户标识和口令、报文鉴别、数字签名等方式。

(3)访问控制技术

访问控制是从计算机系统的处理能力方面对信息提供保护机制,它按照事先确定的规则决定主体对客体的访问是否合法。当一个主体试图非法使用一个未经授权的资源时,访问机制将拒绝这一企图,并将这一时间记录到系统日志中。访问控制技术的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全的重要策略之一。

(4)防火墙技术

防火墙是一个或一组网络设备,其工作方式是将内联网络与因特网之间或者与其他外联网络间互相隔离,通过加强访问控制,阻止区域外的用户对区域内的资源的非法访问,使用防火墙可以进行安全检查、记录网上安全事件等,在维护网络安全作用中起着重要的作用。

(5)反病毒技术

计算机病毒是一段具有极强破坏性的恶意代码,它可以将自身纳入其他程序中,以此来进行隐藏,复制和传播,从而破坏用户文件,数据甚至硬件。从广义上讲,它还包括逻辑炸弹、特洛伊木马和系统陷阱等。计算机病毒的主要传播途径有:文件传输、软盘拷贝、电子邮件等。网络反病毒技术主要包括检查病毒和杀出病毒。

虽然网络安全已经超越了纯技术领域,但网络安全技术仍然是解决网络安全最重要的基础和研究方向。

1.2 本文研究内容

本文共分为五个部分,各部分内容如下:

第一部分,主要介绍了课题提出的背景、意义、安全隐患、现有的安全技术等,强调了入侵检测的重要性。

第二部分,主要介绍了入侵检测相关的基础知识、发展趋势等与本文相关的理论。

第三部分,对整个系统的设计做了概述,介绍了系统的整体框架、开发及运行环境等。

第四部分,详细介绍了检测模块的设计与实现以及系统集成后的运行结果。其中包括检测模块的设计思想、工作原理以及核心代码的分析等。

第五部分,是对整个系统的测试与分析的总结。主要测试了检测模块实现的各种功能。

2. 入侵检测基础

当我们无法完全防止入侵时,那么只能希望系统在受到攻击时,能尽快检测出入侵,而且最好是实时的,以便可以采取相应的措施来对付入侵,这就是入侵检测系统要做的,它从计算机网络中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统(IDS,Intrusion Detection System)正是一种采取主动策略的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击,同时还对入侵行为做出紧急响应。入侵检测被认为是防火墙之后的第二道安全闸门。

2.1 入侵检测的定义

可以看到入侵检测的作用就在于及时地发现各种攻击以及攻击企图并作出反应。我们可以给入侵检测做一个简单的定义,入侵检测就是对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。即入侵检测(Intrusion Detection)是检测和识别系统中未授权或异常现象,利用审计记录,入侵检测系统应能识别出任何不希望有的活动,这就要求对不希望的活动加以限定,一旦当它们出现就能自动地检测。

一个完整的入侵检测系统必须具备下列特点:

经济性:为了保证系统安全策略的实施而引入的入侵检测系统必须不能妨碍系统的正常运行(如系统性能)。

时效性:必须及时的发现各种入侵行为,理想情况是在事前发现攻击企图,比较现实的情况则是在攻击行为发生的过程中检测到。

安全性:入侵检测系统自身必须安全,如果入侵检测系统自身的安全性得不到保障,首先意味着信息的无效,而更严重的是入侵者控制了入侵检测系统即获得了对系统的控制权。

可扩展性:可扩展性有两方面的意义。第一是机制与数据的分离,在现有机制不变的前提下能够对新的攻击进行检测。第二是体系结构的可扩展性,在必要的时候可以在不对系统的整体结构进行修改的前提下对检测手段进行加强,以保证能检测到新的攻击。

2.2 入侵检测与P2DR模型

P2DR模型是一个动态的计算机系统安全理论模型。它的指导实现比传统静态安全方案有突破性提高。PDR是Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)的缩写,特点是动态性和基于时间的特性。

P2DR模型阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间。入侵检测技术就是实现P2DR模型中”Detection”部分的主要技术手段。在P2DR模型中,安全策略处于中心地位,但是从另一个角度来看,安全策略也是制定入侵检测中检测策略的一个重要信息来源,入侵检测系统需要根据现有的安全策略信息来更好地配置系统模块参数信息。当发现入侵行为后,入侵检测系统会通过响应模块改变系统的防护措施,改善系统的防护能力,从而实现动态的系统安全模型。

请问入侵防范-入侵防护/检测系统的功能?

入侵防护(intrusion prevention)是一种可识别潜在的威胁并迅速地做出应对的网络安全防范办法。与入侵检测系统(IDS)一样,入侵防护系统(IPS)也可监视网络数据流通。

入侵防护(intrusion prevention)是一种可识别潜在的威胁并迅速地做出应对的网络安全防范办法。与入侵检测系统(IDS)一样,入侵防护系统(IPS)也可监视网络数据流通。不法份子一旦侵入系统,立即就会开始捣乱,此时,部署在网络的出入口端的IPS将会大显身手,它将依照网络管理员所订立的规则,采取相应的措施。比如说,一旦检测到攻击企图,它会自动地将夹带着恶意病毒或嗅探程序的攻击包丢掉,或采取措施将攻击源阻断,切断网络与该IP地址或端口之间进一步的数据交流。与此同时,合法的信息包仍按正常情况传送到接收者的手中。 

据Top Layer Networks公司的Michael Reed介绍,一套行之有效的入侵防护系统应该具备更高级的监测和分析能力,大到网络交通模式,小到单个信息包,如果出现违反安全策略的行为和被攻击的迹象,它都能够监测到,并采取适当的应对措施。“探测机制的覆盖面极为广泛,包括了地址匹配、HTTP字符串和子字符串的匹配、通用模式匹配、TCP连接分析、非正常的可疑包检测、流量异常检测、TCP/UDP端口匹配,等等。”

广义的来说,可将攻击者阻挡在你的网络之外的一切产品或工具,比如说防火墙和防毒软件,都属于入侵防护(intrusion prevention)系统的范畴。[1

网站被黑客攻击,首页源代码中好多链接,怎么办

删除就可以了。挂的黑链,想彻底删除,你得找出shell在那里。然后删除掉,修复漏洞。


原文链接:https://671922.com/33091.html

相关文章

访客
访客
发布于 2022-12-15 17:02:47  回复
络陷入瘫痪。用密码编码学和网络安全的观点,我们把计算机网络面临的威胁归纳为以下四种:截获(interception):攻击者从网络上窃听他人的通信内容。中断(interruption):攻击者有意中断他人在网络上的通信。篡改(modification):攻击者
访客
访客
发布于 2022-12-15 19:17:04  回复
旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数 IDS 系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网
访客
访客
发布于 2022-12-15 22:22:17  回复
的入侵检测系统必须具备下列特点:经济性:为了保证系统安全策略的实施而引入的入侵检测系统必须不能妨碍系统的正常运行(如系统性能)。时效性:必须及时的发现各种入侵行为,理想情况是在事前发现攻击

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

返回顶部