基于Linux的入侵检测系统方案的选取.pdfVIP

2009年 l2月 郧阳师 范高等专种学校学报 Dee． 2OO9 第 29卷 第 6期 JournalofYunyang．reachersCollege V01．29 N0．6 基于 Linux的入侵检测系统方案的选取 史 杨 ，龚 利 (郧阳师范高等专科学校 计算机科 学系，湖北 丹江12 442700) [摘 要]从计算机安全的角度来看，世界上没有绝对安全的计算机 系统，Linux操作系统也是如此．随着 Linux操作系统的使用和普及 ，目前针对它的攻击越来越 多，安全事件也呈上升趋势．通过在 Linux操作 系统 中引入入侵检 测 系统，以对 系统进行防护． [关键词]Linux；入侵检测 ；IDS；Snort [中图分类号]TP309．2 [文献标识码]A [文章编号]1008--6072(2009)O6一O092一O3 当今社会是一个信息化 的社会 ．网络越来越贴近人们 者攻击结果，以保证 网络系统资源的机密性、完整性和可 的日常生活，在网络技术快速发展和 网络应用环境不断普 用性的一种安全防护系统． 及的同时，安全问题越来越引起各种组织机构、社会和大众 入侵检测系统的作用有以下几种 ： 的关注．目前 ．随着越来越多的主机使用 Linux系统，Linux (1)监视 、分析用户和系统 的运行状况，查找非法用户 系统的安全问题 511益成为研究的热点和人们关注的焦点． 和合法用户的越权操作 ； Linux与其它操作系统一样 ，也存在安全隐患．随着 Linux (2)检测系统配置 的正确性和安全漏洞 ，并提示管理 操作系统的使用和普及．目前针对它的攻击越来越多，安全 修补漏洞 ； 事件也呈上升趋势．形势非常严峻 传统的加密和防火墙技 (3)对用户非正常活动的统计分析 ，发现攻击行为的 术已不能完全满足安全需求 ，本文在 Linux操作系统中引入 规律 ； 了入侵检测系统．人侵检测系统通过动态探查网络内的异常 (4)检查系统程序和数据的一致性和正确性 ； 情况，及时发出警报，有效的弥补了其它静态防御工具的不 (5)能够实时地对检测到的攻击行为进行响应 ； 足，从而主动保护 自己免受攻击 ]．入侵检测技术作为一种新 (6)对操作系统的审计跟踪管理，并识别用户违反安 的安全手段 ．正在受到越来越大的重视．它已经成为当前网络 全策略 的行为． 安全技术领域内的一个研究热点． 1．2 入侵检测系统的分类 根据监测的对象是主机还是网络．入侵检测系统可以 1 入侵检测系统概述 分为基于网络 的入侵检测系统 (NIDS)和基于主机的入侵 1．1 入侵检测系统 的定义 检测系统 (HIDS)． 入侵 (Intrusion)是指任何试 图危害资源 的完整性、可 1．3 基于网络的入侵检测系统 信度和可获取性的动作．所谓入侵检测 ，则是指发现或确 基于网络的入侵检测系统，以网络数据包作为分析数 定入侵行为存在或出现的动作．入侵检测系统 (Intrusion 据源．它通常利用一个工作在混杂模式下的网卡来实时监 DetectionSystem)，简称 IDS_2j。～．即对入侵行为的检测． 视并分析通过 网络的数据流 ，其分析模块通常使用模式匹 它通过收集和分析计算机 网络或计算机系统中若干关键 配、统计分析等技术来识别攻击行为．例如检测系统通过 网 点的信息，检查网络或系统中是否存在违反安全策略的行 络传输的数据包。观察到许多数据包是来 自于一个主机的 为和被攻击 的迹象