随着信息和网络技术的高速发展以及各种利益的驱动,计算机网络特别是各种官网网站以及重点行业的网站,成为黑客攻击的热门目标。防火墙技术只防外不妨内,并且很容易被绕过,因此仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,必须采用入侵检测系统。
入侵检测(Intrusion Detection)顾名思义就是对入侵行为的发觉,它他欧尼鬼对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被 攻击的迹象。
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计 数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
入侵检测系统功能主要有
1:识别黑客常用入侵与攻击手段。
入侵检测技术通过分析各种攻击的特征,可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段,并做相应的防范。一般来说,黑客在进行入侵的第一步探测、收集网络及系统信息时,就会被IDS捕获,向管理员发出警告。
2: 监控网络异常通信
IDS系统会对网络中不正常的通信连接做出反应,保证网络通信的合法性;任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。
3:鉴别对系统漏洞及后门的利用
IDS系统一般带有系统漏洞及后门的详细信息,通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析,可以有效地发现网络通信中针对系统漏洞进行的非法行为。
4:完善网络安全管理
IDS通过对攻击或入侵的检测及反应,可以有效地发现和防止大部分的网络犯罪行为,给网络安全管理提供了一个集中、方便、有效的工具。使用IDS系统的监测、统计分析、报表功能,可以进一步完善网络管理。
入侵检测在防御体系中的地位
网络安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制,全网动态安全体系可由下面的公式概括:
网络安全(S) = 风险分析(A)+ 制定策略(P) + 系统防护(P) + 实时监测(D) + 实时响应(R) + 灾难恢复(R)
即:网络安全是一个“APPDRR”的动态安全模型。然而,在这个安全模型中,并非各个部分的重要程度都是等同的。在安全策略的指导下,进行必要的系统防护有积极的意义,但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。在攻击与防御的较量中,实时监测(D)是处在一个核心的地位。在实时监测中,入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。
相比较而言,入侵检测系统是动态安全模型中唯一一个全天候运行的系统。利用入侵检测系统可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。
因此,结合安全模型中的各个环节,入侵检测的作用概括起来就是如下四点:
1:从不知到有知
2:从被动到主动
3:从事后到事前
4:从预警到保障
在目前计算机安全状态下,基于防火墙、加密技术的安全防护固然重要,但是要根本改善系统的安全现状,必须发展入侵检测技术。随着网络通信技术安全性的要求越来越高,入侵检测系统技术必将受到人们的高度重视。
