WIN2000的入侵检测系统实例分析.docxVIP

WIN 2000 的入侵检测系统实例分析王伟( 湖北省公众气象服务 WIN 2000 的入侵检测系统实例分析 王 伟 ( 湖北省公众气象服务中心, 武汉 430074) 摘 要: 入侵检测系统能发觉入侵行为并且采取相应的措施。它通过对计算机网络或计算机系统中的若干关键点收 集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。该文通过对 WIN 2000 下的 入侵检测的一个实例进行分析, 总结了几点应对入侵的具体措施, 旨在为网络管理员提供借鉴。 关键词: 入侵检测系统; 网络安全; 端口; 网络通信量 中图分类号: TP393.08 文献标识码: B 文章编号: 1004- 9045( 2006) 03- 0035- 03 入侵检测系统( IDS) 处于防火墙之后对网络活动 进行实时检测。许多情况下, 由于可以记录和禁止网络 活动, 所以入侵检测系统是防火墙的延续, 可以同防火 墙和路由器配合工作。IDS 扫描当前网络的活动, 监视 和记录网络的流量, 根据定义好的规则来过滤从主机 网卡到网线上的流量, 提供实时报警[1]。这与系统扫描 条件。 ( 2) 目录和文件中的不期望的改变。目录和文件中 的不期望的改变, 包括修改、创建和删除等行为。 ( 3) 程序执行中的不期望行为。网络系统上, 有很 多程序在执行, 一般有操作系统, 网络服务和特定目的 的应用。在执行中出现了不期望的行为可能表明黑客 正在入侵你的系统。黑客可能会将程序或服务的运行 分解, 从而导致它失败, 或者是以非用户或管理员意图 的方式操作。 ( 4) 物理形式的入侵信息。这包括两方面的内容, 一是未授权的对网络硬件连接; 二是对物理资源的未 授权访问。黑客会想方设法去突破网络的周边防卫, 如 果其能在物理上访问内部网, 就能安装他们自己的设 备和软件。依此, 黑客就可以知道网上的由用户加上去 的不安全( 未授权) 设备, 然后利用这些设备访问网络。 入侵检测的第二步是信号分析。对上述四类收集到的 有关系统、网络、数据及用户活动的状态和行为等信 息, 一般通过模式匹配、统计分析和完整性分析三种技 术手段进行分析。 其中前两种方法用于实时的入侵检测, 而完整性 分析则用于事后分析。入侵检测作为一种积极主动的 安全防护技术, 提供了对内部攻击、外部攻击和误操作 的实时保护, 在网络系统受到危害之前拦截和响应入 侵。 器 system scanner 不同, 系统扫描器是根据攻击特征 数据库来扫描系统漏洞的, 它更关注配置上的漏洞而 不是当前进出计算机的流量。在遭受攻击的主机上, 即 使正在运行着扫描程序, 也无法识别这种攻击。系统扫 描器检测主机上先前设置的漏洞, 而 IDS 监视和记录 网络流量, 根据定义好的规则过滤、切断网络攻击。 1 入侵检测的步骤 入侵检测系统被认为是防火墙之后的第二道安全 闸门, 在不影响网络性能的情况下能对网络进行监测, 及时做出响应, 包括切断网络连接、记录事件和报警 等。从而提供对内部攻击、外部攻击和误操作的实时保 护。入侵检测的规模应根据网络威胁、系统构造和安全 需求的改变而改变。 入侵检测的第一步是信息收集, 包括系统、网络、 数据及用户活动的状态和行为等各种信息。这除了尽 可能扩大检测范围的因素外, 还有一个重要的因素就 是从一个来源信息有可能看不出疑点, 但几个来源信 息的不一致性却是可疑行为或入侵的最好标识。入侵 检测利用的信息一般来自以下四个方面[2]。 ( 1) 系统和网络日志文件。系统和网络日志文件信 息中经常会留下黑客的踪迹, 它们是检测入侵的必要 2 基于 WIN2000 的入侵检测系统实例分析 入侵检测系统是一个比较复杂的安全管理系统, 也就是发现网络上的入侵行为然后采取相关的保护措 施, 包括硬件和软件两个方面。在这里用一个具体的实 例来说明入侵检测系统的工作原理和模式, 下面列举 收稿日期: 2006- 04- 28 图 1 网络通信量指标之一( TCP- Segments /Sec) 的设定图 2 网络 图 1 网络通信量指标之一( TCP- Segments /Sec) 的设定 图 2 网络通信量指标之二 ( N etwork Interface- Packets /Sec) 的设定 2006,(3) 湖北气象 36 的两个入侵行为, 实际上发生的过程是连贯的, 都存在 于一次的网络入侵行为当中, 在这个过程中首先要扫 描网络中存在的漏洞( 即开放的端口信息, 这是入侵的 前提) , 然后从存在漏洞的机器上进行登陆的试探, 如 果成功, 便实现了网络的入侵, 其所入侵的系统的安全 性将会受到威胁。 如何才能判断计