网络安全技术4

菜鸟

四.入侵检测技术
　　利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：

　　(1) 入侵者可寻找防火墙背后可能敞开的后门。
　　(2) 入侵者可能就在防火墙内。
　　(3) 由于性能的限制，防火焰通常不能提供实时的入侵检测能力。
　　入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。
　　实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。
　　入侵检测系统可分为两类：
　　√ 基于主机
　　√ 基于网络
　　基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。
　　基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：
　　上述模型由四个部分组成：
　　   
入侵检测系统的基本模型

(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
　　(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。
　　(3) countermeasure执行规定的动作。
　　(4) Storage保存分析结果及相关数据。
　　基于主机的安全监控系统具备如下特点：
　　(1) 精确，可以精确地判断入侵事件。
　　(2) 高级，可以判断应用层的入侵事件。
　　(3) 对入侵时间立即进行反应。
　　(4) 针对不同操作系统特点。　
　　(5) 占用主机宝贵资源。
　　基于网络的安全监控系统具备如下特点：
　　(1) 能够监视经过本网段的任何活动。
　　(2) 实时网络监视。
　　(3) 监视粒度更细致。
　　(4) 精确度较差。
　　(5) 防入侵欺骗的能力较差。
　　(6) 交换网络环境难于配置。
　　基于主机及网络的入侵监控系统通常均可配置为分布式模式：
　　(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。
　　(2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。
　　选择入侵监视系统的要点是：
　　(1) 协议分析及检测能力。
　　(2) 解码效率(速度)。
　　(3) 自身安全的完备性。
　　(4) 精确度及完整度，防欺骗能力。
　　(5) 模式更新速度。

八宝米缸

lcjgh

不管你信不信，反正我是信了。