免费个人入侵检测系统的实现(二)

是帧的目标区域具有和本地网络接口相匹配的硬件地址，二是帧的目标区域具有“广播地址”。在接收到上面两种情况的数据帧时，主机通过CPU产生硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统作进一步处理。而嗅探器就是一种能将本地计算机状态设成“混杂(Promiscuous)”状态的软件，当本机处于这种方式时，该机具备“广播地址”，它对所有遭遇到的每一个帧都产生硬件中断以便提醒操作系统处理流经该网段的每一报文包。在该方式下，网络接口就可以捕获网络上所有数据帧，从而可以达到监听的目的。
 拒绝服务攻击(Denial of Service，简称DoS)，是指占据大量的共享资源（如：处理器、磁盘空间、CPU、打印机），使系统没有剩余的资源给其他用户，从而使服务请求被拒绝，造成系统运行迟缓或瘫痪。其攻击目的是为完成其他攻击做准备。其攻击原理是：在拒绝服务攻击中，恶意用户向服务器传送众多要求确认的信息，使服务器里充斥着这种无用的信息。所有这些请求的地址都是虚假的，以至于服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。服务器切断连接后，攻击者又发送新一批虚假请求，该过程周而复始，最终使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。典型的DOS攻击技术，如TCP/SYN攻击，该攻击作为一种拒绝服务攻击存在的时间己经有20多年了。但是，随着技术的不断进步，SYN攻击也不断被更多黑客所了解并利用。其原理是基于连接时的三次握手，如果黑客机器发出的包的源地址是一个虚假的IP地址，ISP主机发出的确认请求包ACK/SYN就找不到目标地址，如果这个确认包一直没找到目标地址，那么也就是目标主机无法获得对方回复的ACK包。而在缺省超时的时间范围内，主机的一部分资源要花在等待这个ACK包的响应上，假如短时间内主机接到大量来自虚假IP地址的SYN包，它就要占有大量的资源来处理这些错误的等待，最后的结果就是系统资源耗尽以致瘫痪。
 特洛伊木马来源于希腊神话，讲述的是通过木马血屠特洛伊城的故事。这一故事形象地说明了木马程序的特点。在计算机安全学中，特洛伊木马指的是一种计算机程序，它表面上具有某种有用的功能，实际上却隐藏着可以控制用户计算机系统，危害系统安全的破坏性指令，特洛伊木马代表了一种程度较高的危险。当这种程序进入系统后，便有可能给系统带来危害。在特洛伊木马程序中插入的代码在别的程序中依然能存在，但只在藏身的程序中进行破坏性活动。代码能够在主程序的特权范围内从事任何破坏行为，使用自身或者其他程序进行操作。其工作原理实质是，特洛伊木马只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机(服务器)提供服务，另一台主机(客户机)接受服务。作为服务器的主机一般会打开一个默认的端口并进行监听，如果有客户机向服务器这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求，此程序称为守护进程。对于木马来说，被控制端是一台服务器，控制端则是一台客户机。黑客经常用欺骗手段引诱目标对象运行服务器端程序，黑客一旦成功地侵入了用户的计算机后，就会在计算机系统中隐藏一个会在Windows启动时悄悄运行的程序，采用服务器/客户机的运行方式，从而达到在用户上网时控制用户计算机的目的。
 入侵检测技术及其历史
 入侵检测（IDS）概念
 1980年，詹姆斯·安德森（James P．Anderson）第一次系统阐述了入侵检测的概念，并将入侵行为分为外部滲透、内部滲透和不法行为三种，还提出了利用审计数据监视入侵活动的思想。
 Anderson将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为：发现非授权使用计算机的个体（如“黑客”）或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为：检测企图破坏计算机资源的完整性，真实性和可用性的行为的软件。
 入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测一般分为三个步骤：信息收集、数据分析、响应。
 入侵检测的目的：(1)识别入侵者；(2)识别入侵行为；(3)检测和监视以实施的入侵行为；(4)为对抗入侵提供信息，阻止入侵的发生和事态的扩大。
 入侵检测系统的分类
 现有的IDS的分类，大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题，在这里采用五类标准：控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
 控制策略描述了IDS的各元素是如何控制的，以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中，监控和探测是由本地的一个控制点控制，层次似的将报告发向一个或多个中心站。在全分布式IDS中，监控和探测是使用一种叫“代理”的方法，代理进行分析并做出响应决策。
按照同步技术分类
 同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分，IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中，信息源是以文件的形式传给分析器，一次只处理特定时间段内产生的信息，并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中，事件一发生，信息源就传给分析引擎，并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
 按照信息源分类是目前最通用的划分方法，它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS，能够同时分析来自主机系统日志和网络数据流，系统由多个部件组成，采用分布式结构。
按照分析方法分类
 按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中，首先建立一个对过去各种入侵方法和系统缺陷知识的数据库，当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法，因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的，即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库，由于库的有限性使得虚警率比较高。
按照响应方式分类
 按照响应方式IDS划分为主动响应

首页 上一页 1 2 3 4 5 6 7 下一页 尾页 2/10/10

免费个人入侵检测系统的实现(二)相关范文