【文章內容簡介】 全風險處于可視和可控的狀態(tài)。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術，可實時監(jiān)控和檢測網絡或系統(tǒng)中的活動狀態(tài)，一旦發(fā)現(xiàn)網絡中的可疑行為或惡意攻擊，IDS便可做出及時的報警和響應，甚至可以調整防火墻的配置策略，與其進行聯(lián)動。 目前，入侵檢測系統(tǒng)已能為來自內外部的各種入侵提供全面的安全防御，給客戶帶來識別各種黑客入侵的方法和手段、監(jiān)控內部人員的誤操作等，幫用戶及時發(fā)現(xiàn)并解決安全問題和協(xié)助管理員加強網絡安全的管理。第二章 常用入侵手段與防范對策 黑客入侵過程概述隨著通訊和計算機技術的迅猛發(fā)展，計算機網絡向世界各個角落迅速延伸。國家政府機構、各企事業(yè)單位不僅大多建立了自己的局域網系統(tǒng)，而且通過各種方式與互聯(lián)網相連。通過上網樹立形象、開展業(yè)務，已經成為政府辦公、企業(yè)發(fā)展的重要手段。然而，Internet（互聯(lián)網）這一開放系統(tǒng)在給人們帶來便利的同時，也帶來一些問題。例如網絡安全問題愈來愈突出，關于通過網絡攻擊信息系統(tǒng)，造成經濟損失的事件已有多起，并時常見諸報端。在科技最發(fā)達、防御最嚴密的美國國防部五角大樓內，每年都有成千上萬的非法入侵者侵入其內部網絡系統(tǒng)，我國的ISP、證券公司及銀行也多次被國內外黑客攻擊。但是仍然有些單位對自己網絡的安全問題毫無認識，以致對是否遭受黑客入侵及自身的網絡安全問題毫不知曉。我國信息化事業(yè)能否順利發(fā)展，一個很關鍵的因素便是網絡信息的安全問題，這已成為制約網絡發(fā)展的首要因素。許多單位不敢涉足網絡領域、許多行業(yè)不能充分利用網絡的性能優(yōu)勢、許多個人對網絡安全沒信心，這些都成為網絡發(fā)展的制約因素，所以，重視和加快網絡安全問題的研究和產品開發(fā)具有重要意義。黑客入侵防范是網絡安全的重要組成部分。北京中科網威信息技術有限公司在多年研究工作的基礎上，提出了一種動態(tài)、多層次的黑客入侵防范體系。它以評估為基礎，以策略為核心，以防護、偵測、響應和恢復為手段構成一個體系——中科網威黑客入侵防范體系，如圖所示：中科網威黑客入侵防范體系11完整準確的安全評估是中科網威黑客入侵防范體系的基礎。她對現(xiàn)有或將要構建的整個網絡的安全防護性能作出科學、準確的分析評估，并保障將要實施的安全策略技術上的可實現(xiàn)性、經濟上的可行性和組織上的可執(zhí)行性。一個成功的網絡安全體系開始于一個全面的安全策略，它是所有安全技術和措施的基礎，也是整個中科網威黑客入侵防范體系的核心。防護是用于提高安全性能，抵抗入侵的主動防御手段。它通過建立一種機制來檢查系統(tǒng)的安全設置，發(fā)現(xiàn)整個網絡的風險和弱點，確保每層是相互配合而不是相互抵觸地工作，檢測與策略相違背的情況，確保與公司安全政策保持一致。在防護中通過使用漏洞掃描工具及時發(fā)現(xiàn)問題并進行修補，使用防護工具，通過抗毀技術、系統(tǒng)安全優(yōu)化配置技術的實施，防火墻、VPN、加密認證等技術和措施的使用，來提高網絡抵抗黑客入侵的能力。偵測是保證主動及時發(fā)現(xiàn)攻擊行為，為快速響應提供可能的關鍵環(huán)節(jié)。使用基于網絡的和基于主機的IDS，加上對偵測系統(tǒng)實施隱蔽技術，可以防止黑客發(fā)現(xiàn)防護手段進而破壞偵測系統(tǒng)，從而為及時發(fā)現(xiàn)攻擊行為并做出響應贏得時間。采用與防火墻互聯(lián)互動、互動互防的技術手段，形成一個整體策略，而不是單兵作戰(zhàn)，強調協(xié)作技術，設立安全監(jiān)控中心，掌握整個網絡的安全運行狀態(tài)，是防止入侵的關鍵環(huán)節(jié)。在發(fā)現(xiàn)入侵行為后，為及時切斷入侵、抵抗攻擊者的進一步破壞活動，做出及時準確的響應是必須的。使用實時響應阻斷系統(tǒng)、攻擊源跟蹤系統(tǒng)、取證系統(tǒng)和必要的反擊系統(tǒng)來確保響應的準確、有效和及時，預防同類事件的再發(fā)生，并為捕獲攻擊者提供可能，為抵抗黑客入侵提供有效的保障。恢復是防范體系的又一個環(huán)節(jié)，無論防范多嚴密，都很難確保萬無一失，所以，采用亡羊補牢、猶為未晚的策略，使用完善的備份機制確保內容的可恢復性，借助自動恢復系統(tǒng)、快速恢復系統(tǒng)來控制和修復破壞，將損失降至最低。針對以上體系，北京中科網威信息技術有限公司專門研制開發(fā)了一系列網絡安全產品——“火眼”網絡安全評估分析系統(tǒng)、“天眼”入侵偵測系統(tǒng)、“磐石”網站監(jiān)控與恢復系統(tǒng)、“長城”防火墻。它們處于體系中的一個或多個層次，適用于各級Internet /Intranet信息系統(tǒng)、金融證券和其它網絡，它們能成為您網絡的安全守護神，忠實地維護您的形象和保護您的利益。 常用入侵手段與防范對策入侵檢測系統(tǒng)通過對計算機網絡或系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，它不僅能檢測來自外部的入侵行為，同時也監(jiān)督內部用戶的未授權活動，因此成為繼防病毒和防火墻之后另一被廣泛注意的網絡安全設備。這是一種集檢測、記錄、報警、響應的動態(tài)安全技術，它已經漸漸地從“入侵檢測”發(fā)展為“入侵防御”了。 　　在入侵檢測系統(tǒng)檢測到網絡中的攻擊或未授權行為時，傳統(tǒng)的響應方式是顯示消息、形成日志、報警或使用Email等方式通知安全管理員，然后由管理員手工采取相應措施來阻止入侵。這無疑給安全管理增加了很多的工作量和難度，也大大地提高了安全維護費用，因此系統(tǒng)需要具有更多主動響應行為的入侵檢測系統(tǒng)，如今的入侵檢測系統(tǒng)可以通過發(fā)復位包的方式，或者執(zhí)行一段用戶編寫的程序，自動切斷危險的連接。 　　而且，入侵檢測系統(tǒng)作為整體安全技術的一個組成部分，它還應該和其他安全組件協(xié)同工作、建立互動的響應機制。例如，防火墻作為限制內外網絡互相訪問的關口，其配置的過濾規(guī)則阻止了非授權用戶對公司網絡的訪問，因此在入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時，由它自動地修改防火墻的安全策略，就能封堵可疑的網絡通信。這也是為什么入侵檢測系統(tǒng)和防火墻之間的聯(lián)系越來越緊密的原因之一。 　　在入侵防御系統(tǒng)中，如何降低檢測系統(tǒng)的誤報率是非常關鍵的。在傳統(tǒng)的入侵檢測系統(tǒng)中，誤報對安全管理員形成一種滋擾，大量的誤報還可能淹沒真正的攻擊行為，使安全管理員無從響應。在建立聯(lián)動的一體化安全防御體系中，入侵檢測系統(tǒng)可以自動調整其他安全組件的策略，來防止進一步的攻擊，這時誤報帶來的負面影響可能更大了——因為誤報觸動策略調整之后，本該許可的訪問就無法訪問了，這形成了一種新的DoS形式。 　　　　同時，先進的入侵防御系統(tǒng)還必須是一個全方位的安全管理。它一方面要集中管理全網以及各設備的安全事件，將數(shù)據進行標準化、集中、并進行關聯(lián)和智能分析，以降低誤報率和預告威脅的趨勢；另一方面還要結合漏洞掃描，提前確定系統(tǒng)是否存在已知漏洞，做到“防范于未然”，以建立前攝性的、而不僅僅是響應式的安全防御體系。基于其它方法的入侵檢測技術主要有:利用專家系統(tǒng)進行入侵檢測，其主要是將有關的入侵知識組織成知識庫，再利用推理引擎進行檢測。但是這種技術主要缺點在于知識的組織困難。利用數(shù)據挖掘進行入侵檢測，數(shù)據挖掘是數(shù)據庫的一項技術，它的作用從大型數(shù)據庫中抽取知識，這和分析日志的行為相近。通過數(shù)據挖掘程序搜集到審計數(shù)據，為各種入侵行為和正常操作建立精確的行為模式?！　〕龑＜蚁到y(tǒng)、數(shù)據挖掘技術之外，還有神經網絡，模糊系統(tǒng)，遺傳算法等。但是這些方法都有一定的缺點。入侵檢測系統(tǒng)的由來及發(fā)展過程　　在 IDS 尚未出現(xiàn)時，網絡安全管理人員主要依靠人工閱讀網絡日志來分析是否有網絡入侵事件的發(fā)生。隨著網絡的發(fā)展，F(xiàn)BI/CSI的統(tǒng)計數(shù)字表明入侵和攻擊的模式發(fā)生了變化。在2003年，70%的攻擊主要來自于外部網絡，另30% 的攻擊來自于內部。從而促使網絡安全領域對網絡入侵檢測技術進行研究，并提出了IDS。由干硬件發(fā)展的飛速發(fā)展，使得IDS對網絡通訊可以進行實時檢測和實時報等，形成目前的IDS模式?！　∪肭謾z測系統(tǒng)的關鍵技術　　1．基于行為的入侵檢測技術　　基于行為的入侵檢測技術主要依靠統(tǒng)計的方法來實現(xiàn)對入侵行為的檢測。它通過統(tǒng)計網絡的日常行為建立一個模型，該模型由各項表示正常行為的統(tǒng)計數(shù)字組成。例如:在某一段時間內登錄某臺主機失敗次數(shù)。在很短時間內重復發(fā)生登錄某臺主機口令出錯的次數(shù)等。符合這個模型的網絡行為即視為正常，不符合的即視為入侵行為。這種入侵檢測檢測