专门入侵检测linux叫什么,入侵检测系统分析及其在Linux下的实现(上)
一、入侵檢測(cè)系統(tǒng)分析
1.1 什么是入侵檢測(cè)系統(tǒng)
所謂入侵,是指任何試圖危及計(jì)算機(jī)資源的完整性、機(jī)密性或可用性的行為。而入侵檢測(cè),顧名思義,便是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并對(duì)這些信息進(jìn)行分析,從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱(chēng)IDS)。與其他安全產(chǎn)品不同的是,入侵檢測(cè)系統(tǒng)需要更多的智能,它必須可以將得到的數(shù)據(jù)進(jìn)行分析,并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大簡(jiǎn)化管理員的工作,保證網(wǎng)絡(luò)安全地運(yùn)行。
1.2 入侵檢測(cè)系統(tǒng)的分類(lèi)
按檢測(cè)所使用數(shù)據(jù)源的不同可以將IDS分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS。
基于主機(jī)的IDS使用各種審計(jì)日志信息(如主機(jī)日志、路由器日志、防火墻日志等)作為檢測(cè)的數(shù)據(jù)源。通常,基于主機(jī)的IDS可監(jiān)測(cè)系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí),IDS將新的記錄條目與攻擊標(biāo)記相比較,看它們是否匹配。如果匹配,系統(tǒng)就會(huì)向管理員報(bào)警,以采取措施。
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)分組數(shù)據(jù)包作為數(shù)據(jù)源。基于網(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。一旦檢測(cè)到了攻擊行為,IDS的響應(yīng)模塊就會(huì)對(duì)攻擊采取相應(yīng)的反應(yīng),如通知管理員、中斷連接、終止用戶(hù)等。
1.3 入侵檢測(cè)的檢測(cè)方法
入侵檢測(cè)技術(shù)通過(guò)對(duì)入侵行為的過(guò)程與特征的研究,使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應(yīng),從檢測(cè)方法上分為兩種:誤用入侵檢測(cè)和異常入侵檢測(cè)。
在誤用入侵檢測(cè)中,假定所有入侵行為和手段都能夠表達(dá)為一種模式或特征,那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。誤用入侵檢測(cè)的關(guān)鍵是如何表達(dá)入侵的模式,把真正的入侵與正常行為區(qū)分開(kāi)來(lái)。其優(yōu)點(diǎn)是誤報(bào)少,局限性是它只能發(fā)現(xiàn)已知的攻擊,對(duì)未知的攻擊無(wú)能為力。
在異常入侵檢測(cè)中,假定所有入侵行為都是與正常行為不同的,這樣,如果建立系統(tǒng)正常行為的軌跡,那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。比如,通過(guò)流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常入侵檢測(cè)的局限是并非所有的入侵都表現(xiàn)為異常,而且系統(tǒng)的軌跡難于計(jì)算和更新。
對(duì)比這兩種檢測(cè)方法可以發(fā)現(xiàn),異常檢測(cè)難于定量分析,這種檢測(cè)方式有一種固有的不確定性。與此不同,誤用檢測(cè)會(huì)遵循定義好的模式,能通過(guò)對(duì)審計(jì)記錄信息做模式匹配來(lái)檢測(cè),但僅可檢測(cè)已知的入侵方式。所以這兩類(lèi)檢測(cè)機(jī)制都不完美。就具體的檢測(cè)方法來(lái)說(shuō),現(xiàn)在已經(jīng)有了很多入侵檢測(cè)的方法,但任何一種方法都有它的局限性,都不能解決所有問(wèn)題。因而對(duì)于入侵檢測(cè)方法的研究仍然是當(dāng)前入侵檢測(cè)研究的一個(gè)重點(diǎn)。
二、Linux下的實(shí)現(xiàn)
在對(duì)入侵檢測(cè)技術(shù)研究的基礎(chǔ)上,我們?cè)贚inux系統(tǒng)下設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。
2.1 系統(tǒng)的組成結(jié)構(gòu)
該系統(tǒng)的組成結(jié)構(gòu)如圖1所示。數(shù)據(jù)采集模塊負(fù)責(zé)從網(wǎng)絡(luò)上收集原始的網(wǎng)絡(luò)數(shù)據(jù)流,在經(jīng)過(guò)一定的預(yù)處理后,這些數(shù)據(jù)被送到數(shù)據(jù)分析模塊,由數(shù)據(jù)分析模塊進(jìn)行分析,以便判斷是否有違反安全策略的入侵行為發(fā)生。并及時(shí)將分析結(jié)果送到告警模塊,由告警模塊向控制臺(tái)產(chǎn)生告警信息。用戶(hù)可以通過(guò)用戶(hù)界面與控制臺(tái)交互,通過(guò)控制臺(tái),一方面可以對(duì)各個(gè)模塊進(jìn)行配置,另一方面也可以接收告警信息。
圖1 系統(tǒng)的組成結(jié)構(gòu)
2.2 系統(tǒng)的功能描述
該系統(tǒng)實(shí)現(xiàn)了入侵檢測(cè)的主要功能,包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、入侵分析以及告警。具體來(lái)說(shuō),可以完成以下功能:
捕獲符合指定條件的網(wǎng)絡(luò)數(shù)據(jù)包。
進(jìn)行IP重組,提供IP包數(shù)據(jù)。
重組TCP流,提供TCP流數(shù)據(jù)。
重組應(yīng)用層數(shù)據(jù)流,提供HTTP數(shù)據(jù)流。
實(shí)現(xiàn)基于規(guī)則的入侵檢測(cè)方法。
向控制臺(tái)提交分析結(jié)果。
接受控制臺(tái)的配置和管理。
由于該系統(tǒng)功能的實(shí)現(xiàn)主要體現(xiàn)在數(shù)據(jù)采集模塊和數(shù)據(jù)分析模塊中,所以下面將對(duì)這兩個(gè)模塊加以詳細(xì)說(shuō)明。
我們一直都在努力堅(jiān)持原創(chuàng).......請(qǐng)不要一聲不吭,就悄悄拿走。
我原創(chuàng),你原創(chuàng),我們的內(nèi)容世界才會(huì)更加精彩!
【所有原創(chuàng)內(nèi)容版權(quán)均屬TechTarget,歡迎大家轉(zhuǎn)發(fā)分享。但未經(jīng)授權(quán),嚴(yán)禁任何媒體(平面媒體、網(wǎng)絡(luò)媒體、自媒體等)以及微信公眾號(hào)復(fù)制、轉(zhuǎn)載、摘編或以其他方式進(jìn)行使用。】
微信公眾號(hào)
TechTarget
官方微博
TechTarget中國(guó)
總結(jié)
以上是生活随笔為你收集整理的专门入侵检测linux叫什么,入侵检测系统分析及其在Linux下的实现(上)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: linux与w7之间的切换,w7系统切换
- 下一篇: linux 动态解析,Linux 动态函