1.入侵者
入侵者有3种类型,具体介绍如下:
1.伪装者:某个用户没有使用某台计算机的权限,但渗透到系统中去访问一个合法用户的账号,则称之为伪装者,它往往是一个外部用户。
2.违法行为者:内部用户有两种情况称之为违法行为者,第一个就是,它是一个合法用户,但访问量它无权访问的一些应用程序、数据或资源;第二个就是,它是一个合法用户,它有权访问的某些应用程序、数据或资源,但错误地使用了这些权限。
3.秘密的用户:内部或外部用户,试图使用超级用户的权限,以避免审计信息被捕获或记录,则称之为秘密的用户。
攻击者试图获得合法用户的口令,以便冒充它们,下面是一些猜测口令的常见方法:
1.尝试所有可能的短口令。
2.手机用户的信息。
3.尝试由软件产品提供商提供的默认口令。
4.尝试人们最长选作口令的词汇。
5.尝试使用电话号码、生日等。
6.窃取用户与主机网络之间的通信线路。
7.使用一些木马。
2.审计记录
入侵检测最重要的工具之一是审计记录的使用,也称为审计日志。审计记录用于记录用户的操作信息,不合法用户的痕迹可以在这些记录中找到,从而可以检测入侵,采取恰当的行动。
审计记录可以分为两类,原始审计记录和检测专用的审计记录。原始审计记录:所有的多用户操作系统都有内置的记账软件。这些软件可记录所有用户的动作信息。检测专用的审计记录:这种类型的审计记录工具可专门收集入侵检测的信息。这更专注,但可能会产生重复信息。不管是哪种类型的审计记录,都会包含下表所示的信息。
| 字段 | 描述 |
|---|---|
| 主体 | 有关谁发起这个动作的信息 |
| 动作 | 主体对对象执行的操 |
| 对象 | 工作的接收者 |
| 异常条件 | 由于主体的动作而产生的可能异常 |
| 资源使用 | 资源使用的记录 |
| 时间戳 | 日期和时间信息 |
3.入侵检测
入侵防止不可能总能实现,因此,应该在入侵检测上加以更多的关注。以下因素影响入侵检测:
1.入侵检测越早,采取的动作就越快。从被攻击中恢复的希望和减少损失的概率与检测出入侵的速度成直接的比例。
2.入侵检测有助于收集更多的入侵信息,改进防止入侵的方法。
3.入侵检测系统对入侵者可以起到很好的威慑作用。
入侵检测机制又称为入侵检测系统(Intrusion Detection System,IDS)可以分为两类:统计不正常检测和基于规则的检测。其介绍如下所示
1.统计不正常检测:在这种类型中,用户在某段时间内的行为作为统计数据被捕捉并进行处理。然后使用一定的规则来测试该用户的行为是否合法。这可以用以下两种方法
来完成,第一种方法是阈值检测,在这种方法中,为一组中的所有用户定义一些阈值,计算各种事件的发生频率,并与这些阈值进行比较。第二种方法是基于模式的检测,在这种方法中,为每个用户创建一些行为模式,并将它们与所收集的统计信息进行比较,看看是否有不合规律的模式出现。
2.基于规则的检测:对给定的行为应用一系列的规则,看看是否可怀疑它是在试图进行入侵。这又可分为以下两种子类型,第一种是不正常检测,借助某些规则,收集一些使用模式,用于分析与这些使用模式不同的操作。第二种是渗透鉴定,这是一个用于查找不合法行为的专家系统。
4.分布式入侵检测
一下是分布式入侵检测方案中的重要因素:
1.分布式系统中的不同系统可能会以不同的格式记录审计信息。
2.通常使用分布式系统中一个或几个结点下的主机来收集和分析审计信息。因此,应有一些措施确保从其他主机来到审计信息会返送给这些主机。
5.Honeypot技术
现代的入侵检测系统利用了一个新颖的思想,称为Honeypot(蜜罐)技术。Honeypot是一个吸引潜在攻击者的陷阱。Honeypot 设计为进行以下工作:
1.把潜在入侵者的注意力从关键系统转移开。
2.收集入侵者的动作信息。
3.想办法让入侵者停留一段时间,使得管理员可以检测到它,并迅速对它采取操作措施。
Honeypot的设计有以下两个主要目标:
1.使它们看上去像是一个真实的系统。在其中放置尽可能多的像是真实的信息。
2.不用让合法用户知道并访问它。
自然,任何试图访问Honeypot的人都是潜在的人侵者。Honeypot配备有感应器和日志器,出现任何用户的动作都会向管理员发出警告。
扫一扫
3057
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
