什么是入侵檢測�����?入侵檢測是對入侵行為的發(fā)覺�。它通過對物聯(lián)網(wǎng)或信息傳輸網(wǎng)中的若干關鍵點收集信息并對其進行分析���,從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。
入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(Intrusion DetectionSystem���,IDS)���。與其他安全產品不同的是,入侵檢測系統(tǒng)需要更多的智能����,它必須可以將得到的數(shù)據(jù)進行分析,并得出有用的結果�。入侵檢測一般分為3個步驟,依次為信息收集�����、數(shù)據(jù)分析�����、響應(被動響應和主動響應)�����。
物聯(lián)網(wǎng)入侵檢測的第一步是信息收集,內容包括系統(tǒng)�、網(wǎng)絡���、數(shù)據(jù)及用戶活動的狀態(tài)和行為���。入侵檢測利用的信息一般來自以下4個方面:
1.系統(tǒng)和網(wǎng)絡日志文件
黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡,因此���,充分利用系統(tǒng)和網(wǎng)絡日志文件信息是檢測入侵的必要條件�����。通過查看日志文件��,能夠發(fā)現(xiàn)成功地入侵或入侵企圖���,并很快地啟動相應的應急響應程序。
2.目錄和文件中的不期望改變
網(wǎng)絡環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件�����,包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標。為了隱藏系統(tǒng)中黑客的表現(xiàn)及活動痕跡�,黑客們都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。
3.程序執(zhí)行中的不期望行為
一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)���。黑客可能會將程序或服務的運行分解����,從而導致它失敗���,或者是以非用戶或管理員意圖的方式操作�����。
4.物理形式的入侵信息
這包括兩個方面的內容���,一是未授權的對網(wǎng)絡硬件連接;二是對物理資源的未授權訪問。數(shù)據(jù)分析是入侵檢測的核心�,它通過4類收集到的有關系統(tǒng)、網(wǎng)絡����、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息,一般通過3種技術手段進行分析:模式匹配��,統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測�,而完整性分析則用于事后分析。
一個性能優(yōu)異的入侵檢測系統(tǒng)���,不僅可使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng)(包括程序��、文件和硬件設備等)的任何變更�,還能給網(wǎng)絡安全策略的制訂提供依據(jù)���,它應該管理配置簡單,使非專業(yè)人員非常容易地獲得網(wǎng)絡安全���,入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡規(guī)模����、系統(tǒng)構造和安全需求的改變而改變����,入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,會及時作出響應�,包括記錄事件和報警等。具體來說�,IDS的基本功能和作用如圖1所示�。
圖1 入侵檢測的作用
