當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

用入侵檢測系統(tǒng)提高安全系數(shù)

http://www.yibo1263.com　2009-7-13 8:47:17 　來源:東北IT網(wǎng) 　編輯:葉子

　　入侵檢測系統(tǒng)，顧名思義，就是能夠及時發(fā)現(xiàn)入侵行為的系統(tǒng)。它通過對網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集網(wǎng)絡(luò)數(shù)據(jù)信息并對其進(jìn)行分析，從中鑒別網(wǎng)絡(luò)中違反安全策略的行為和被攻擊的跡象。與其他安全產(chǎn)品相比，入侵檢測系統(tǒng)需要更加智能，而不是像防火墻只是判斷這些數(shù)據(jù)符不符合安全策略。一個好的入侵檢測系統(tǒng)能大大的提高網(wǎng)絡(luò)安全系數(shù)。

　　防火墻并不安全

　　防火墻是長期以來保障網(wǎng)絡(luò)安全最常用的工具。它是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互連設(shè)備，它對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)按照設(shè)定的安全策略對其進(jìn)行檢查，來決定哪些數(shù)據(jù)非法。這樣有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳送，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。

　　如圖1所示，一般防火墻系統(tǒng)分為兩層，內(nèi)層是帶包過濾功能的路由器，外層是代理服務(wù)器。包過濾防火墻只接受代理服務(wù)器發(fā)出的服務(wù)請求和內(nèi)部網(wǎng)絡(luò)發(fā)起的服務(wù)連接，代理服務(wù)器負(fù)責(zé)向公共網(wǎng)用戶提供內(nèi)部網(wǎng)絡(luò)允許的網(wǎng)絡(luò)服務(wù)。

請?zhí)砑用枋?src="http://myarticle.enet.com.cn/images/2009/0710/1247195535099.jpg"

請?zhí)砑用枋?src="http://myarticle.enet.com.cn/images/2009/0710/1247195535099.jpg"

　　圖1

　　包過濾和代理技術(shù)的雙層防火墻系統(tǒng)，從一定程度上提高了系統(tǒng)的安全性。但它主要是用來拒絕未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源，如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全性能，但是防火墻雖然能對外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的防護(hù)，但對來自內(nèi)部網(wǎng)絡(luò)的攻擊卻無能為力，事實(shí)上據(jù)統(tǒng)計 60 %以上的網(wǎng)絡(luò)安全問題來自內(nèi)部網(wǎng)絡(luò)，而且網(wǎng)絡(luò)程序和網(wǎng)絡(luò)管理系統(tǒng)中可能存在缺陷。因此網(wǎng)絡(luò)安全單靠防火墻技術(shù)是不夠的。

　　因?yàn)榉阑饓τ兴陨淼木窒蓿?

　　1．有欠靈活

　　防火墻是通過嚴(yán)格限制進(jìn)出流來保障網(wǎng)絡(luò)安全的。但是這樣不可避免就會造成網(wǎng)絡(luò)本身過于封閉，很多服務(wù)如Telnet,FTP...會被屏蔽掉。

　　2．家賊難防

　　防火墻所執(zhí)行的任務(wù)是把住大門，防止外部用戶非法獲得敏感數(shù)據(jù)或者非法操作。可是它對內(nèi)部用戶的行為毫無約束。這時內(nèi)部用戶無法無天也就不奇怪了。

　　3．后門失守

　　防火墻把的是大門，可如果本網(wǎng)絡(luò)有后門呢，且又被控制了呢？這時防火墻形同虛設(shè)。

　　防火墻有這么多的局限，這時人們就想到了“主動出擊”，派出“入侵檢測系統(tǒng)”進(jìn)駐公司內(nèi)部，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)巡邏，隨時揪出入侵之?dāng)场?

　　技術(shù)要求

　　入侵檢測技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)。

　　一個好的網(wǎng)絡(luò)入侵檢測系統(tǒng)至少應(yīng)滿足這些功能要求：

　　1、實(shí)時性：

　　如果網(wǎng)絡(luò)攻擊或者攻擊的企圖盡快的被發(fā)現(xiàn)，這就有可能阻止進(jìn)一步的攻擊活動，有可能把損失控制在最小限度。實(shí)時入侵檢測可以避免常規(guī)情況下，管理員通過對系統(tǒng)日志進(jìn)行審計以辨別入侵行為時的低效和延遲。

　　2、可擴(kuò)展性：

　　一個已經(jīng)建立的入侵檢測系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時，可以通過某種機(jī)制在無需對入侵檢測系統(tǒng)本身進(jìn)行改動的情況下，使系統(tǒng)能夠檢測到新的攻擊行為。并且在入侵檢測系統(tǒng)的整體功能設(shè)計上，也必須建立一種可以擴(kuò)展的結(jié)構(gòu)，以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能出現(xiàn)的擴(kuò)展要求。

　　3、事件記錄：

　　作為一個完備的網(wǎng)絡(luò)入侵檢測系統(tǒng)，對于檢測到的入侵事件必須具備完善的日志記錄和日志審計功能。

　　4、安全性：

　　入侵檢測系統(tǒng)必須盡可能的完善與健壯，不能向其宿主計算機(jī)系統(tǒng)以及其所屬的計算機(jī)環(huán)境中引入新的安全問題及安全隱患。

　　5、有效性與易用性：

　　能夠保證設(shè)計的網(wǎng)絡(luò)入侵檢測系統(tǒng)是切實(shí)有效的，即對于攻擊行為的錯報與漏報能夠控制在一定范圍內(nèi)。并且系統(tǒng)應(yīng)該是友好的，簡潔易用的。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·詳解入侵檢測、入侵防御和UTM

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费