安全防護 - 入侵檢測實戰之全面問答

　　在網絡安全領域，隨著黑客應用技術的不斷“傻瓜化”，入侵檢測系統IDS的地位正在逐漸增加。一個網絡中，只有有效實施了IDS，才能敏銳地察覺攻擊者的侵犯行為，才能防患于未然！本文對IDS的概念、行為及策略等方面內容以問答形式進行全面介紹，期望幫助管理者更快和更好地使用IDS。

　　問：都有哪些重要的IDS系統？

　　根據監測對象不同，IDS系統分為很多種，以下是幾種很重要的IDS系統：

　　1、NIDS

　　NIDS是network intrusion detection system的縮寫，即網絡入侵檢測系統，主要用于檢測hacker或cracker通過網絡進行的入侵行為。

　　NIDS的運行方式有兩種，一種是在目標主機上運行以監測其本身的通訊信息，另一種是在一臺單獨的機器上運行以監測所有網絡設備的通訊信息，比如hub、路由器。

　　2、SIV

　　SIV是system integrity verifiers的縮寫，即系統完整性檢測，主要用于監視系統文件或者Windows 注冊表等重要信息是否被修改，以堵上攻擊者日后來訪的后門。SIV更多的是以工具軟件的形式出現，比如“Tripwire”，它可以檢測到重要系統組件的變換情況，但并不產生實時的報警信息。

　　3、LFM

　　LFM是log file monitors的縮寫，即日志文件監測器，主要用于監測網絡服務所產生的日志文件。LFM通過檢測日志文件內容并與關鍵字進行匹配的方式判斷入侵行為，例如對于HTTP服務器的日志文件，只要搜索“swatch”關鍵字，就可以判斷出是否有“phf”攻擊。

　　4、Honeypots

　　蜜罐系統，也就是誘騙系統，它是一個包含漏洞的系統，通過模擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。由于蜜罐沒有其它任務需要完成，因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。與此同時，最初的攻擊目標受到了保護，真正有價值的內容將不受侵犯。蜜罐最初的目的之一是為起訴惡意黑客搜集證據，這看起來有“誘捕”的感覺。

　　問：誰是入侵者？

　　通常我們將入侵者稱為hacker，但實際上這是不準確的。可以這么說：hacker是發現系統漏洞并修補漏洞的，cracker才是利用漏洞占山頭搞破壞的入侵者。為了不混淆視聽，在此干脆統一叫作入侵者吧。一般來說，入侵者分為兩類：內部和外部。內部入侵者通常利用社會工程學盜用非授權帳戶進行非法活動，比如使用其他人的機器、冒充是處長或局長；外部入侵者則要借助一定的攻擊技術對攻擊目標進行監測、查漏，然后采取破壞活動。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]