商业源码 IDS是什么软件
分类: 电脑/网络 >> 软件
解析:
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
这些位置通常是:
·服务器区域的交换机上
·Inter接入路由器之后的第一台交换机上
·重点保护网段的局域网交换机上
亲你好,为妥善应对和处置学校网站信息安全突发事件、确保学校网站正常运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理方法》、信息产业部《互联网信息服务管理方法》及国家教育部、省教育厅有关文件精神,结合我校网站实际情况,特指定本应急预案。
应急措施如下:
1、网站、网页出现非法言论事件紧急处置措施
(1)网站、网页由主办部门的信息员负责随时密切监视信息内容。
(2)发现在网上出现违反国家的法律法规、侵犯知识版权、反政府、分裂国家和色情内容的信息及损害国家、学校声誉的谣言信息时,信息员应立即向本单位信息安全负责人通报情况;情况紧急的,应先及时采取删除等处理措施,再按程序报告。
(3)信息安全相关负责人应在接到通知后作好必要记录,指导信息员清理非法信息、妥善保存有关记录并将网站网页重新投入使用。
(4)追查非法信息来源,并将有关情况向学校信息化工作领导小组汇报。
(5)向区电教中心汇报,取得支持、帮助与指导。
(6)事态严重的,应及时向公安部门报警。
2、攻击事件紧急处置措施
(1)备份正确网站文件,保障网站及时恢复。
(2)当信息员发现网站遭到攻击、主页内容被恶意篡改时,立即停止主页服务并恢复正确内容。检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务;同时向信息安全负责人通报情况。
(3)攻击程度较大情况下(如破坏了服务器上文件),修复网站文件较为麻烦;为使网站尽快能正常访问,使用网站的备份文件或者临时找其他服务器替代,如事先有这些准备,一般在发现被攻击后的一到两个小时即可修复。
(4)恢复与重建被攻击或破坏的网站。
(5)对现场进行分析,并写出分析报告存档。
(6)向区电教中心汇报,取得支持、帮助与指导。
(7)学校信息化工作领导小组召开小组会议,如认为事态严重,则立即向公安部门报警。
做好校园网站信息的安全管理,核心工作就是定期备份网站,保存好网站的备份文件,以备应急使用。
篇2:信息安全应急预案
为了切实做好学校校园网络突发事件的防范和应急处理工作,进一步提高我校预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保我校校园网络与信息安全,妥善处理危害网络与信息安全的突发事件,最大限度地遏制突发事件的影响和有害信息的扩散。结合学校工作实际,制定本预案。
第一章 总则
第一条本预案所称突发性事件,是指自然因素或者人为活动引发的危害学校校园网网络设施及信息安全等有关的灾害。
第二条本预案的指导思想是湖北师范学院有关计算机网络及信息安全基本要求。
第三条本预案适用于湖北师范学院内所有个人和办公用计算机以及各研究所、实验室(中心)、教学机房、多媒体教室、电子阅览室等计算机和网络硬件、软件,以及学校门户网站和下属各部门网站内容发生突发性事件的应急处置。
第四条应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。
第二章 组织指挥和职责任务
第五条学校成立网络与信息安全应急处置工作小组,工作小组的主要职责与任务是统一领导全校信息网络的灾害应急工作,在校领导组织指挥下,全面负责学校信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
第六条现代信息技术中心(以下简称“信息中心”)负责日常信息网络安全事件的具体处理,其中信息中心是信息网络安全事件处置控制中心,负责服务器端和网络层面的安全事件处置,并为各部门、院(系)做好部门办公用机和个人用机的安全处置提供技术指导。
第三章 处置措施和处置程序
第七条处置措施
处置的基本措施分灾害发生前与灾害发生后两种情况。
(一)灾害发生前,信息中心按照岗位职责的要求,技术中心人员各司其责切实加强日常信息网络安全工作的检查、维护,定时升级系统补丁和杀毒软件,检查防火墙、IDS(入侵检测系统)的运行情况,及时消除隐患;
学校各单位切实落实部门网站管理工作职责、安全责任制,特别是对于开办网上论坛、留言板、聊天室、社区等交互式栏目网站的部门要落实关于信息发布审核、信息巡查和版主负责制度的情况,要设有防范措施和专人管理;
加强信息网络安全常识普及,使教职工掌握信息网络安全常识,并具备一定防范处理突发事件的基本知识。
建立健全灾情速报制度,保障突发性灾害紧急信息报送渠道畅通。属于重大灾害的,在向工作领导小组报告的同时,还应向黄石市公安局网络监察部门报告。
(二)灾害发生后,立即启动应急预案,采取应急处置程序,判定灾害级别,并立即将灾情向工作小组报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第八条处置程序
(一)发现情况
现代信息技术中心要严格执行值班制度,做好校园网信息系统安全的日常巡查及其日志保存工作,以保障最先发现灾害并及时处置此突发性事件。
(二)预案启动
一旦灾害发生,立即启动应急预案,进入应急预案的处置程序。
(三)应急处置方法
在灾害发生时,首先应区分灾害发生是否为自然灾害与人为破坏两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的灾害为自然灾害时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1、病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
2、入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如IP地址、上网帐号等信息,同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。
3、信息被篡改:这种情况,要求一经发现马上断开相应的信息上网链接,并尽快恢复。
4、网络故障:一旦发现,可根据相应工作流程尽快排除。
5、其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。
(四)情况报告
灾害发生时,一方面按照应急处置方法进行处置,同时需要判定灾害的级别,首先向学校网络与信息安全应急处置工作小组汇报。在重大灾害发生时,可以同时向市公安局网络监察部门汇报。中、小型级别的灾害,可以只向学校的网络与信息安全应急处置工作小组汇报,并及时报告处置工作进展情况,直至处置工作结束。情况报告内容包括:灾害发生的时间、地点,灾害的级别,灾害造成的后果,应急处置的过程、结果,灾害结束的时间,以后如何防范类似灾害发生的建议与方案等。
(五)发布预警
灾害发生时,可根据灾害的危害程度适当地发布预警,特别是一些在其它地方已经出现,或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害,除了在技术上进行防范以外,还应当向网络信息用户发布预警,直至灾害警报解除。
(六)预案终止
经专家组鉴定,灾害险情或灾情已消除,或者得到有效控制后,由学校的网络与信息安全应急处置工作小组宣布险情或灾情应急期结束,并予以公告,同时预案终止。
第四章 保障措施
灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,必须做好应急保障工作。
第九条人员保障
重视人员的建设与保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中的人员在岗与战斗力。
第十条技术保障
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的强劲与安全,灾害处置过程中和灾后重建中的相关技术支撑。
第十一条物资保障
建立应急物资储备制度,保证应急抢险救灾队伍技术装备的及时更新,以确保灾害应急工作的顺利进行。
第十二条训练和演练
加强全校网络信息用户的防灾、减灾知识的宣传普及,增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
第五章 附则
第十三条本预案由现代信息技术中心负责解释。
第十四条本预案自发布之日起施行。
篇3:信息安全应急预案
在本单位的计算机网络发生安全事件或者事故的情况下,采取应急处置方案,保障计算机网络的安全。
一、成立计算机网络安全应急工作小组
组长:
副组长:
成员:
计算机网络网络安全紧急响应小组及时、快速地协调、处各种事件或者事故。特殊时期安排专人24小时值班。
二、计算机网络安全事件的对策、措施
计算机网络安全事件报告程序
工作人员与管理人员发现或获知计算机网络发生安全事件,应立即通知站计算机网络安全紧急响应小组,由站计算机网络安全紧急小组通知公司计算机网络安全紧急响应小组,同时迅速关闭问题设备,由公司紧急响应小组技术人员分析原因,解决问题。
三、技术措施
1、垃圾邮件过滤器
响应公安部、信息产业部和国务院新闻办公室的要求,购置、安装垃圾邮件过滤器,预防和控制垃圾邮件的攻击和破坏。该设备各项指标均达到或超过上述领导部门制定的标准。
2、日志服务器
对网络及服务器设备的日常运行日志进行收集和统一管理工作,防止不法分子入侵某个具体的设备,同时撰改日志记录,从而影响对问题的了解和解决。
3、入侵检测服务器
购置入侵检测设施,能根据网络内各具体真实IP地址的流量情况作出相应响应,特别是流量异常等情况。(被防火墙屏蔽的IP地址除外)
4、数据备份系统
可以将有重要资料的服务器设备数据进行备份处理,从而在相应服务器设备出现问题时能及时修复,保证重要数据的安全。
5、网页防篡改
采用人工和技术处理相结合的方式,对公司网站的内容进行浏览和检查,防止网页被篡改。
四、日常管理
1、及时更新服务器的防病毒软件病毒库。
2、定期对所有服务器进行漏洞扫描、补丁修复。
3、对网络中心服务器网段上联交换机开放的软端口进行严格控制。
4、实行分级管理体制,落实管理责任。
篇4:信息安全应急预案
一、指导思想:
随着互联网及相关信息通信业务的迅速发展,信息传播呈现渠道多样化、影响网络化、扩散快速化的发展趋势,网络信息安全内涵和外延已经远远突破原来的传统概念,涉及到国家的政治、经济、文化等方面,成为关系国家安全和社会稳定的重大问题,从中央到地方无不列为事务工作的重中之重。结合本园自身情况,加强监督和管理,制度本预案。
二、机构设置:
预防网络信息安全突发事件应急工作领导小组:
组长:
副组长:
成员:各班班主任
三、领导小组职责:
1、强化组织机构,加强管理控制:
幼儿园成立以园长为组长的网络安全管理领导小组,通过成立组织机构,强化意识,明确职责,加强控制,保障网络安全管理落到实处。
2、加强业务培训,提高防范水平:
积极开展相关培训提高网管员的网络管理水平,定期对教师开展互联网安全和文明上网的宣传教育,提高全体教师上网的法制意识、责任意识、政治意识、自律意识和安全意识,形成广大师幼共同抵制网上有害信息的良好氛围,保证幼儿园网络系统安全运行,更好地为教育科学服务。
加强网络安全建设,网络管理员加强检查,及时发现网络本身的安全漏洞,保证软件防火墙和防病毒软件的及时有效的更新,提高网络系统防御攻击的能力,尽量避免网络、病毒等的攻击事件。
3、执行审查制度,保证新闻真实健康:
园内通讯报道工作落实专人负责,经同意后方能发布或传送。未经园长同意而发布的有损于幼儿园和社会形象的言论,发布人要负法律责任,并按有关规定追究责任。同时在新闻发布系统上严格设置权限管理,让通过安全管理小组认证的人员才可以在网络上发布合法的消息。
四、加强安全管理,快速有效应急:
1、对非法站点作好过滤,并定期备份重要文件,网络备份和光盘刻录备份相结合。
2、网管员坚持做到每天至少一次的安全检测,及时了解网络运行情况,以保障园网的安全性、稳定性和可靠性。
3、一旦发现园网上出现违反幼儿园网络安全管理制度的行为,立即停止校园网络的使用。
4、网络安全管理领导小组应在第一时间组织有关人员对违纪行为进行查处,对违纪人员依照有关法律、法规和园纪园规,作出严肃处理。
5、对有害的信息则立即删除。
篇5:信息安全应急预案
为确保网络正常使用,充分发挥网络在信息时代的作用,促进教育信息化健康发展,根据国务院《互联网信息服务管理办法》和有关规定,特制订本预案,妥善处理危害网络与信息安全的突发事件,最大限度地遏制突发事件的影响和有害信息的扩散。
一、危害网络与信息安全突发事件的应急响应
1、如在局域网内发现病毒、木马、入侵等
网络管理中心应立即切断局域网与外部的网络连接。如有必要,断开局内各电脑的连接,防止外串和互串。
2、突发事件发生在校园网内或具有外部IP地址的服务器上的,学校应立即切断与外部的网络连接,如有必要,断开校内各节点的连接;突发事件发生在校外租用空间上的,立即与出租商联系,关闭租用空间。
3、如在外部可访问的网站、邮件等服务器上发现有害信息或数据被篡改,要立即切断服务器的网络连接,使得外部不可访问。防止有害信息的扩散。
4、采取相应的措施,彻底清除。如发现有害信息,在保留有关记录后及时删除,(情况严重的)报告市教育局和公安部门。
5、在确保安全问题解决后,方可恢复网络(网站)的使用。
二、保障措施
1、加强领导,健全机构,落实网络与信息安全责任制。建立由主管领导负责的网络与信息安全管理领导小组,并设立安全专管员。明确工作职责,落实安全责任制;BBS、聊天室等交互性栏目要设有防范措施和专人管理。
2、局内网络由网管中心统一管理维护,其他人不得私自拆修设备,擅接终端设备。
3、加强安全教育,增强安全意识,树立网络与信息安全人人有责的观念。安全意识淡薄是造成网络安全事件的主要原因,各校要加强对教师、学生的网络安全教育,增强网络安全意识,将网络安全意识与政治意识、责任意识、保密意识联系起来。特别要指导学生提高他们识别有害信息的能力,引导他们正健康用网。
4、不得关闭或取消防火墙。保管好防火墙系统管理密码。每台电脑安装杀毒软件,并及时更新病毒代码。
篇6: 信息安全应急预案
信息安全应急预案
信息安全应急预案(一):网络信息安全应急预案
为最大限度地减少损失,确保发生网络安全问题时各项应急工作高效、有序地进行,根据《互联网信息服务管理办法》及上级相关部门文件精神,结合我校校园网实际运行与应用特点,特制定本预案。
工作原则:职责明确、统一管理、处理快速
一、各级处理预案
1、网站不良信息事故处理预案
(1)一旦发现校园网站上出现不良信息(或者被攻击修改了网页),立刻关掉网站。
(2)备份不良信息出现的目录、备份不良信息出现时间、前一个星期内的HTTP连接日志,以备调查。
(3)留存不良信息页面。
(4)隔离出现不良信息的目录,使其不能再被访问。
(5)删除不良信息,并清查整个网站所有资料,确保没有其他不良信息,重新开通网站服务,并测试网站运行。
(6)全面查对HTTP日志,防火墙网络连接日志,确定该不良信息的源IP地址,如果来自校内,则立刻全面升级此次事件为最高紧急事件,立刻向领导小组组长汇报。
2、网络恶意攻击事故处理预案
(1)发现出现网络恶意攻击,立刻确定该攻击来自校内还是校外;受攻击的设备有哪些;影响范围有多大。并迅速推断出此次攻击的最坏结果,决定是否需要紧急切断校园网的服务器及公网的网络连接,以保护重要数据及信息。
(2)如果攻击来自校外,立刻从防火墙中查出对方IP地址并过滤,同时设置对此类攻击的过滤,并视状况严重程度决定是否报警。
(3)如果攻击来自校内,立刻确定攻击源,断开相应计算机网络连接并暂扣该机,立刻对该计算机进行分析处理,确定攻击原因。
(4)重新启动该电脑所连接的网络设备,直至完全恢复网络通信。
(5)对该电脑进行分析,清除所有病毒、恶意程序、木马程序以及垃圾文件,测试运行该电脑5小时以上,并同时进行监控,无问题后归还该电脑。
二、成立安全应急领导小组
校园全体行政人员及全体网络管理员组成网络安全应急领导小组。领导小组主要职责:
1、加强领导,健全组织,强化工作职责,完善各项应急预案的制定和各项措施的落实。
2、充分利用各种渠道进行网络安全知识的宣传教育,组织、指导全校网络安全常识的普及教育,不断提高广大师生的防范意识和基本技能。
3、采取一切必要手段,组织各方面力量全面进行网络安全事故处理工作,把不良影响与损失降到最低点。
三、网络信息安全事故善后工作
1、应急小组成员按应急预案,迅速恢复网络正常运行,并有针对性地加强网络监控与防护措施。
(1)事故处理完成后,逐步恢复网络运行,监控事故源是否仍然存在。
(2)事后迅速查清事件发生原因,查明职责人,并报领导小组根据职责状况进行处理。
(3)针对此次事故,进一步确定相关安全措施、总结经验,加强防范。
2、用心做好广大师生的思想宣传教育工作,迅速恢复正常秩序,全力维护校园网安全稳定。
四、其他
在应急行动中,校园各部门要密切配合,服从领导小组指挥,确保政令畅通和各项措施认真、及时得到落实。
信息安全应急预案(二):校园网络安全应急预案
为及时处置校园网信息网络安全事件,保障校园网作用的正常发挥,特制定本预案。
一、校园网络安全事件定义
1、校园网内网站主页被恶意纂改、交互式栏目里发表反政府、分裂国家和色情资料的信息及损害国家、校园声誉的谣言。
2、校园网内网络被非法入侵,应用服务器上的数据被非法拷贝、修改、删除。
3、在网站上发布的资料违反国家的法律法规、侵犯知识版权,已经造成严重后果。
二、网络安全事件应急处理机构及职责
1、设立信息网络安全事件应急处理小组,负责信息网络安全事件的组织指挥和应急处置工作。组长由校园主要负责人担任,成员由分管领导、网络中心等负责人组成。具体承办有关工作组织协调、调查取证、应急处理和对外信息发布等工作。
2、领导机构
校园负责人兼网络安全管理中心组长:王惠东
分管领导兼网络安全管理中心副组长:袁锦明
网络安全管理中心组员:王园一、陈慕君、秦锋、俞晓波
三、网络安全事件报告与处置
事件发生并得到确认后,网络中心或相关科室人员应立即将状况报告有关领导,由领导(组长)决定是否启动该预案,一旦启动该预案,有关人员应及时到位。网络中心在事件发生后24小时内写出事件书面报告。报告应包括以下资料:事件发生时间、地点、单位、事件资料,涉及计算机的IP地址、管理人、操作系统、应用服务,损失,事件性质及发生原因,事件处理状况及采取的措施;事故报告人、报告时间等。网络中心人员进入应急处置工作状态,阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作。对相关事件进行跟踪,密切关注事件动向,协助调查取证。有关违法事件移交公安机关处理。
入侵检测系统所采用的技术可分为特征检测与异常检测两种。 (警报)
当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示。如果是远程控制台,那么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员。 (异常)
当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警。一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警,例如有人做了以前他没有做过的事情的时候,例如,一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能。 (IDS硬件)
除了那些要安装到现有系统上去的IDS软件外,在市场的货架上还可以买到一些现成的IDS硬件,只需将它们接入网络中就可以应用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS是由Max Visi开发的一个攻击特征数据库,它是动态更新的,适用于多种基于网络的入侵检测系统。
ARIS:Attack Registry & Intelligence Service(攻击事件注册及智能服务)
ARIS是SecurityFocus公司提供的一个附加服务,它允许用户以网络匿名方式连接到Internet上向SecurityFocus报送网络安全事件,随后SecurityFocus会将这些数据与许多其它参与者的数据结合起来,最终形成详细的网络安全统计分析及趋势预测,发布在网络上。它的URL地址是。 (攻击)
Attacks可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信息以及破坏目标网络或系统功能的行为。以下列出IDS能够检测出的最常见的Internet攻击类型:
攻击类型1-DOS(Denial Of Service attack,拒绝服务攻击):DOS攻击不是通过黑客手段破坏一个系统的安全,它只是使系统瘫痪,使系统拒绝向其用户提供服务。其种类包括缓冲区溢出、通过洪流(flooding)耗尽系统资源等等。
攻击类型2-DDOS(Distributed Denial of Service,分布式拒绝服务攻击):一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击,却无法发出足够的信息包来达到理想的结果,因此就产生了DDOS,即从多个分散的主机一个目标发动攻击,耗尽远程系统的资源,或者使其连接失效。
攻击类型3-Smurf:这是一种老式的攻击,还时有发生,攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping操作,然后所有活动主机都会向该目标应答,从而中断网络连接。
攻击类型4-Trojans(特洛伊木马):Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马,木马中藏有希腊士兵,当木马运到城里,士兵就涌出木马向这个城市及其居民发起攻击。在计算机术语中,它原本是指那些以合法程序的形式出现,其实包藏了恶意软件的那些软件。这样,当用户运行合法程序时,在不知情的情况下,恶意软件就被安装了。但是由于多数以这种形式安装的恶意程序都是远程控制工具,Trojan这个术语很快就演变为专指这类工具,例如BackOrifice、SubSeven、NetBus等等。 (自动响应)
除了对攻击发出警报,有些IDS还能自动抵御这些攻击。抵御方式有很多:首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其次,通过在网络上发送reset包切断连接。但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后IDS就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对“自己人”拒绝服务了。发送reset包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标准IP栈需求。 (Computer Emergency Response Team,计算机应急响应小组)
这个术语是由第一支计算机应急反映小组选择的,这支团队建立在Carnegie Mellon大学,他们对计算机安全方面的事件做出反应、采取行动。许多组织都有了CERT,比如CNCERT/CC(中国计算机网络应急处理协调中心)。由于emergency这个词有些不够明确,因此许多组织都用Incident这个词来取代它,产生了新词Computer Incident Response Team(CIRT),即计算机事件反应团队。response这个词有时也用handling来代替,其含义是response表示紧急行动,而非长期的研究。 (Common Intrusion Detection Framework;通用入侵检测框架)
CIDF力图在某种程度上将入侵检测标准化,开发一些协议和应用程序接口,以使入侵检测的研究项目之间能够共享信息和资源,并且入侵检测组件也能够在其它系统中再利用。 (Computer Incident Response Team,计算机事件响应小组)
CIRT是从CERT演变而来的,CIRT代表了对安全事件在哲学认识上的改变。CERT最初是专门针对特定的计算机紧急情况的,而CIRT中的术语incident则表明并不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。 (Common Intrusion Specification Language,通用入侵规范语言)
CISL是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试,因此CISL就是对入侵检测研究的语言进行标准化的尝试。 (Common Vulnerabilities and Exposures,通用漏洞披露)
关于漏洞的一个老问题就是在设计扫描程序或应对策略时,不同的厂商对漏洞的称谓也会完全不同。还有,一些产商会对一个漏洞定义多种特征并应用到他们的IDS系统中,这样就给人一种错觉,好像他们的产品更加有效。MITRE创建了CVE,将漏洞名称进行标准化,参与的厂商也就顺理成章按照这个标准开发IDS产品。 (自定义数据包)
建立自定义数据包,就可以避开一些惯用规定的数据包结构,从而制造数据包欺骗,或者使得收到它的计算机不知该如何处理它。 (同步失效)
Desynchronization这个术语本来是指用序列数逃避IDS的方法。有些IDS可能会对它本来期望得到的序列数感到迷惑,从而导致无法重新构建数据。这一技术在1998年很流行,已经过时了,有些文章把desynchronization这个术语代指其它IDS逃避方法。 (列举)
经过被动研究和社会工程学的工作后,攻击者就会开始对网络资源进行列举。列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。由于行动不再是被动的,它就有可能被检测出来。当然为了避免被检测到,他们会尽可能地悄悄进行。 (躲避)
Evasion是指发动一次攻击,而又不被IDS成功地检测到。其中的窍门就是让IDS只看到一个方面,而实际攻击的却是另一个目标,所谓明修栈道,暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL(有效时间)值,这样,经过IDS的信息看起来好像是无害的,而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。一旦经过了IDS并接近目标,无害的部分就会被丢掉,只剩下有害的。 (漏洞利用)
对于每一个漏洞,都有利用此漏洞进行攻击的机制。为了攻击系统,攻击者编写出漏洞利用代码或脚本。
对每个漏洞都会存在利用这个漏洞执行攻击的方式,这个方式就是Exploit。为了攻击系统,黑客会利用漏洞编写出程序。
漏洞利用:Zero Day Exploit(零时间漏洞利用)
零时间漏洞利用是指还未被了解且仍在肆意横行的漏洞利用,也就是说这种类型的漏洞利用当前还没有被发现。一旦一个漏洞利用被网络安全界发现,很快就会出现针对它的补丁程序,并在IDS中写入其特征标识信息,使这个漏洞利用无效,有效地捕获它。 (漏报)
漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。
False Positives(误报)
误报是指实际无害的事件却被IDS检测为攻击事件。
Firewalls(防火墙)
防火墙是网络安全的第一道关卡,虽然它不是IDS,但是防火墙日志可以为IDS提供宝贵信息。防火墙工作的原理是根据规则或标准,如源地址、端口等,将危险连接阻挡在外。 (Forum of Incident Response and Security Teams,事件响应和安全团队论坛)
FIRST是由国际性政府和私人组织联合起来交换信息并协调响应行动的联盟,一年一度的FIRST受到高度的重视。 (分片)
如果一个信息包太大而无法装载,它就不得不被分成片断。分片的依据是网络的MTU(Maximum Transmission Units,最大传输单元)。例如,灵牌环网(token ring)的MTU是4464,以太网(Ethernet)的MTU是1500,因此,如果一个信息包要从灵牌环网传输到以太网,它就要被分裂成一些小的片断,然后再在目的地重建。虽然这样处理会造成效率降低,但是分片的效果还是很好的。黑客将分片视为躲避IDS的方法,另外还有一些DOS攻击也使用分片技术。 (启发)
Heuristics就是指在入侵检测中使用AI(artificial intelligence,人工智能)思想。真正使用启发理论的IDS已经出现大约10年了,但他们还不够“聪明”,攻击者可以通过训练它而使它忽视那些恶意的信息流。有些IDS使用异常模式去检测入侵,这样的IDS必须要不断地学习什么是正常事件。一些产商认为这已经是相当“聪明”的IDS了,所以就将它们看做是启发式IDS。但实际上,真正应用AI技术对输入数据进行分析的IDS还很少很少。 (Honeynet工程)
Honeynet是一种学习工具,是一个包含安全缺陷的网络系统。当它受到安全威胁时,入侵信息就会被捕获并接受分析,这样就可以了解黑客的一些情况。Honeynet是一个由30余名安全专业组织成员组成、专门致力于了解黑客团体使用的工具、策略和动机以及共享他们所掌握的知识的项目。他们已经建立了一系列的honeypots,提供了看似易受攻击的Honeynet网络,观察入侵到这些系统中的黑客,研究黑客的战术、动机及行为。 (蜜罐)
蜜罐是一个包含漏洞的系统,它模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。与此同时,最初的攻击目标受到了保护,真正有价值的内容将不受侵犯。
蜜罐最初的目的之一是为起诉恶意黑客搜集证据,这看起来有“诱捕”的感觉。但是在一些国家中,是不能利用蜜罐收集证据起诉黑客的。 (IDS分类)
有许多不同类型的IDS,以下分别列出:
IDS分类1-Application IDS(应用程序IDS):应用程序IDS为一些特殊的应用程序发现入侵信号,这些应用程序通常是指那些比较易受攻击的应用程序,如Web服务器、数据库等。有许多原本着眼于操作系统的基于主机的IDS,虽然在默认状态下并不针对应用程序,但也可以经过训练,应用于应用程序。例如,KSE(一个基于主机的IDS)可以告诉我们在事件日志中正在进行的一切,包括事件日志报告中有关应用程序的输出内容。应用程序IDS的一个例子是Entercept的Web Server Edition。
IDS分类2-Consoles IDS(控制台IDS):为了使IDS适用于协同环境,分布式IDS代理需要向中心控制台报告信息。许多中心控制台还可以接收其它来源的数据,如其它产商的IDS、防火墙、路由器等。将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。有些控制台还将它们自己的攻击特征添加到代理级别的控制台,并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分类3-File Integrity Checkers(文件完整性检查器):当一个系统受到攻击者的威胁时,它经常会改变某些关键文件来提供持续的访问和预防检测。通过为关键文件附加信息摘要(加密的杂乱信号),就可以定时地检查文件,查看它们是否被改变,这样就在某种程度上提供了保证。一旦检测到了这样一个变化,完整性检查器就会发出一个警报。而且,当一个系统已经受到攻击后,系统管理员也可以使用同样的方法来确定系统受到危害的程度。以前的文件检查器在事件发生好久之后才能将入侵检测出来,是“事后诸葛亮”,出现的许多产品能在文件被访问的同时就进行检查,可以看做是实时IDS产品了。该类产品有Tripwire和Intact。
IDS分类4-Honeypots(蜜罐):关于蜜罐,前面已经介绍过。蜜罐的例子包括Mantrap和Sting。
IDS分类5-Host-based IDS(基于主机的IDS):这类IDS对多种来源的系统和事件日志进行监控,发现可疑活动。基于主机的IDS也叫做主机IDS,最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。除了完成类似事件日志阅读器的功能,主机IDS还对“事件/日志/时间”进行签名分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的,系统的错误就可以很快地检测出来,技术人员和安全人士都非常喜欢它。基于主机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。
IDS分类6-Hybrid IDS(混合IDS):现代交换网络的结构给入侵检测操作带来了一些问题。首先,默认状态下的交换网络不允许网卡以混杂模式工作,这使传统网络IDS的安装非常困难。其次,很高的网络速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS(混合IDS)正是解决这些问题的一个方案,它将IDS提升了一个层次,组合了网络节点IDS和Host IDS(主机IDS)。虽然这种解决方案覆盖面极大,但同时要考虑到由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合IDS。有些产商把完成一种以上任务的IDS都叫做Hybrid IDS,实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。
IDS分类7-Network IDS(NIDS,网络IDS):NIDS对所有流经监测代理的网络通信量进行监控,对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带有IDS过滤器的混合信息包嗅探器,但是它们变得更加智能化,可以破译协议并维护状态。NIDS存在基于应用程序的产品,只需要安装到主机上就可应用。NIDS对每个信息包进行攻击特征的分析,但是在网络高负载下,还是要丢弃些信息包。网络IDS的产品有SecureNetPro和Snort。
IDS分类8-Network Node IDS(NNIDS,网络节点IDS):有些网络IDS在高速下是不可靠的,装载之后它们会丢弃很高比例的网络信息包,而且交换网络经常会妨碍网络IDS看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机,从而缓解了高速和交换的问题。虽然NNIDS与个人防火墙功能相似,但它们之间还有区别。对于被归类为NNIDS的个人防火墙,应该对企图的连接做分析。例如,不像在许多个人防火墙上发现的“试图连接到端口xxx”,一个NNIDS会对任何的探测都做特征分析。另外,NNIDS还会将主机接收到的事件发送到一个中心控制台。NNIDS产品有BlackICE Agent和Tiny CMDS。
IDS分类9-Personal Firewall(个人防火墙):个人防火墙安装在单独的系统中,防止不受欢迎的连接,无论是进来的还是出去的,从而保护主机系统。注意不要将它与NNIDS混淆。个人防火墙有ZoneAlarm和Sybergen。
IDS分类10-Target-Based IDS(基于目标的IDS):这是不明确的IDS术语中的一个,对不同的人有不同的意义。可能的一个定义是文件完整性检查器,而另一个定义则是网络IDS,后者所寻找的只是对那些由于易受攻击而受到保护的网络所进行的攻击特征。后面这个定义的目的是为了提高IDS的速度,因为它不搜寻那些不必要的攻击。 (Intrusion Detection Working Group,入侵检测工作组)
入侵检测工作组的目标是定义数据格式和交换信息的程序步骤,这些信息是对于入侵检测系统、响应系统以及那些需要与它们交互作用的管理系统都有重要的意义。入侵检测工作组与其它IETF组织协同工作。 (事件处理)
检测到一个入侵只是开始。更普遍的情况是,控制台操作员会不断地收到警报,由于根本无法分出时间来亲自追踪每个潜在事件,操作员会在感兴趣的事件上做出标志以备将来由事件处理团队来调查研究。在最初的反应之后,就需要对事件进行处理,也就是诸如调查、辩论和起诉之类的事宜。 (事件响应)
对检测出的潜在事件的最初反应,随后对这些事件要根据事件处理的程序进行处理。 (孤岛)
孤岛就是把网络从Internet上完全切断,这几乎是最后一招了,没有办法的办法。一个组织只有在大规模的病毒爆发或受到非常明显的安全攻击时才使用这一手段。 (混杂模式)
默认状态下,IDS网络接口只能看到进出主机的信息,也就是所谓的non-promiscuous(非混杂模式)。如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地。这对于网络IDS是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量。交换型HUB可以解决这个问题,在能看到全面通信量的地方,会都许多跨越(span)端口。
Routers(路由器)
路由器是用来连接不同子网的中枢,它们工作于OSI 7层模型的传输层和网络层。路由器的基本功能就是将网络信息包传输到它们的目的地。一些路由器还有访问控制列表(ACLs),允许将不想要的信息包过滤出去。许多路由器都可以将它们的日志信息注入到IDS系统中,提供有关被阻挡的访问网络企图的宝贵信息。 (扫描器)
扫描器是自动化的工具,它扫描网络和主机的漏洞。同入侵检测系统一样,它们也分为很多种,以下分别描述。
扫描器种类1-NetworkScanners(网络扫描器):网络扫描器在网络上搜索以找到网络上所有的主机。传统上它们使用的是ICMP ping技术,但是这种方法很容易被检测出来。为了变得隐蔽,出现了一些新技术,例如ack扫描和fin扫描。使用这些更为隐蔽扫描器的另一个好处是:不同的操作系统对这些扫描会有不同的反应,从而为攻击者提供了更多有价值的信息。这种工具的一个例子是nmap。
扫描器种类2-Network Vulnerability Scanners(网络漏洞扫描器):网络漏洞扫描器将网络扫描器向前发展了一步,它能检测目标主机,并突出一切可以为黑客利用的漏洞。网络漏洞扫描器可以为攻击者和安全专家使用,但会经常让IDS系统“紧张”。该类产品有Retina和CyberCop。
扫描器种类3-Host VulnerabilityScanners(主机漏洞扫描器):这类工具就像个有特权的用户,从内部扫描主机,检测口令强度、安全策略以及文件许可等内容。网络IDS,特别是主机IDS可以将它检测出来。该类产品有SecurityExpressions,它是一个远程Windows漏洞扫描器,并且能自动修复漏洞。还有如ISS数据库扫描器,会扫描数据库中的漏洞。 (脚本小子)
有些受到大肆宣扬的Internet安全破坏,如2000年2月份对Yahoo的拒绝服务攻击,是一些十来岁的中学生干的,他们干这些坏事的目的好象是为了扬名。安全专家通常把这些人称为脚本小子(Script Kiddies)。脚本小子通常都是一些自发的、不太熟练的cracker,他们使用从Internet 上下载的信息、软件或脚本对目标站点进行破坏。黑客组织或法律实施权威机构都对这些脚本小孩表示轻蔑,因为他们通常都技术不熟练,手上有大把时间可以来搞破坏,他们的目的一般是为了给他们的朋友留下印象。脚本小子就像是拿着抢的小孩,他们不需要懂得弹道理论,也不必能够制造枪支,就能成为强大的敌人。因此,无论何时都不能低估他们的实力。 (躲避)
躲避是指配置边界设备以拒绝所有不受欢迎的信息包,有些躲避甚至会拒绝来自某些国家所有IP地址的信息包。 (特征)
IDS的核心是攻击特征,它使IDS在事件发生时触发。特征信息过短会经常触发IDS,导致误报或错报,过长则会减慢IDS的工作速度。有人将IDS所支持的特征数视为IDS好坏的标准,但是有的产商用一个特征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人一种印象,好像它包含了更多的特征,是更好的IDS。大家一定要清楚这些。 (隐藏)
隐藏是指IDS在检测攻击时不为外界所见,它们经常在DMZ以外使用,没有被防火墙保护。它有些缺点,如自动响应。
入侵检测系统的基本功能是对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
扩展资料:
入侵检测系统主为两种技术一种是异常检测,另一种是特征检测。
异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成
特征检测:特征检测假设入侵者活动可以用一种模式来表示,然后将观察对象与之进行比较,判别是否符合这些模式。
-入侵检测系统
0条评论