入侵检测软件的应用解析.docVIP

入侵检测软件的应用解析 　　摘要：介绍当前常见的网络安全软件入侵检测软件，描述入侵检测的概念及分类，并介绍市场上主要防病毒软件的原理和使用方法。 　　关键词：网络；入侵检测；安全策略 　　中图分类号：TP3 　　文献标识码：A 　　文章编号：1671－7597(2010)0720119－01 　　 　　0　前言 　　 　　常用网络防火墙系统已经包含了一些网络入侵检测功能，其提供的实时监控记录表可以实时显示网络上传送数据包的记录，包括规则号、时间、使用者等信息；时间记录表可以记录系统发生事件的种类、时间等等；这些基本的检测功能对与日益复杂和迅速更新的网络攻击手段而言是有限的。所以，建议用户使用第三方的专业网络入侵检测软件，与网络防火墙系统协同工作，共同保护系统网络的安全。 　　 　　1　入侵检测软件的分类 　　 　　入侵检测软件可分为以下两类。 　　1.1基于主机 　　即在每个要保护的主机上运行一个代理程序。代理程序会定期给一个管理站点发出“心跳”信号，当然也包括告警。这种心跳使管理站点能检测到拒绝服务类的攻击，这种攻击可能会使一个主机完全瘫痪，那它当然也就无法回应或正常工作了。 　　基于主机的方法有以下长处；1)性能价格比高在主机数量较少的情况下，这种方法的性能价格比可能更高。2)更加细腻这种方法可以很容易地监测一些活动，如对敏感文件、目录、程序或端口的存取，而这些活动很难在基于协议的线索中被发现。3)视野集中一旦入侵者得到了一个主机的用户名和口令，基于主机的代理是最有可能区分正常的活动和非法的活动的。4)易于用户剪裁每一个主机有其自己的代理，当然用户剪裁更方便了。5)较少的主机基于主机的方法有时不需要增加专门的硬件平台。6)对网络流量不敏感用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。 　　 　　1.2基于网络 　　通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者。当这些产品发现某些可疑的现象时也一样会产生告警，而且也可能会向一个中心管理站点发出“心跳”信号。 　　基于网络的检测有以下长处：1)侦测速度快基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。2)隐蔽性好一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容易遭受攻击。由于不是主机，因此一个基于网络的监视器不用去响应Ping，不允许别人存取其本地存储器，不能让人家跑程序，而且不让多个用户使用它。3)视野更宽基于网络的方法甚至可以在网络的边缘上，即攻击者还没能接入网络时就被制止。4)较少的监测器由于使用一个监测器就可以保护一个共享的网段，所以你不需要很多的监测器。相反地，如果基于主机，则在每个主机上都需要一个代理，这样的话，花费昂贵，而且难于管理。但是，如果在一个交换环境下，每个主机就得配一个监测器，因为每个主机都在自己的网段上。5)占资源少在被保护的设备上不用占用任何资源。 　　以上两种技术是互补的。实施基于网络的监测，同时在特定的敏感主机上增加代理是一个可以考虑的策略。 　　 　　2　市场上主流入侵检测软件分析 　　 　　目前，市场上主流的入侵检测软件有下面几种： 　　1)Cisco公司的NetRanger；2)Network Associates公司的CyberCop；3)Internet Security System公司的RealSecure， 　　在本文中，ISS公司的RealSecure产品为例来进行解析。 　　RealSecure是一种实时监控和响应系统，它实时地监视流过网络的包，用已知的攻击样本分析包，当检测到攻击，它可以按照自身的配置响应。 　　RealSecure在结构上也是两部分。引擎部分负责监测信息包并生成告警，控制台接收报警并作为配置及产生数据库报告的中心点。两部分都可以在NT、Solaris、SunOS和Linux上运行，并可以在混合的操作系统或匹配的操作系统环境下使用。它们都能在商用微机上运行。 　　RealSecure可以用四种方法响应攻击；1)通过控制台消息、e－mail向相关人员发出警报；2)登录事件及相关信息；3)终止连接；4)生成用户脚本。 　　可按以下三种方法使用RealSecure； 　　1)作为防火墙后的第二道防线，中断并暴露透过防火墙或防火墙内部的攻击。 　　2)通过测试期望阻止的是否已经确实被阻止来判断传统安全机制是否有效。 　　比如，RealSecure可以检测到一个已经被防火墙禁止的，但仍然通过防火墙建立到Internet上的Telnet会话。用来评估我们能接受的风险信息。通常是评估一种服务的访问，这种服务存在漏洞但用户需