入侵檢測系統的信息收集
作者:佚名 時間:2013-08-18 分享到:
入侵檢測的基礎是信息收集,內容包括系統,網絡,數據及用戶活動的狀態和行為.而且,需要在計算機網絡系統中的若干不同關鍵點收集信息,盡可能擴大檢測范圍,當然,入侵檢測很大程序上依賴于收集信息的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟件來報告這些信息,因此黑客經常替換軟件以搞混和移走這些信息,例如替換被程序調用的子程序,庫和其他工具,黑客對系統的修改可能使系統功能扮演但表面上看起來跟正常的一樣,例如,unix系統的ps指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同于指定文件的文件,這需要保證用來檢測網絡系統的軟件的完整性,特別是是入侵檢測系統軟件本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息.入侵檢測利用的信息一般來自以下4個方面;
1.系統和網絡日志文件
黑客經常在系統日志文件中留下他們的蹤跡,因此,充分利用系統和網絡日志文件信息是檢測入侵的必要條件,日志中包含發生在系統和網絡上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統,通過查看日志文件,能夠發現成功的入侵或入侵企圖,并很快地啟動相應的應急響應程序.
2.目錄和文件中的不期望的改變
網絡環境中的文件系統包含了很多軟件和數據文件,其中包含有重要信息的文件和私有數據文件經常是黑客修改或破壞的目標,目錄和文件中的不期望的改變,特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和信號.
3.程序執行中的不期望行為
網絡系統上的程序執行一般包括操作系統,網絡服務,用戶啟動的程序和特定目的的應用,例如數據庫服務器,每個在系統上執行的程序由一到多個進程來實現
4.物理形式的入侵信息
包括兩個方面的內容,一是未授權的對網絡硬件的連接;二是對物理資源的未授權訪問,黑客會想方設法去突破網絡的周邊防衛,如果他們能夠在物理上訪問內部網,就能安裝他們自己的設備和軟件,由此,黑客就可以知道網上的由用戶加上去的不安全設備,然后利用這些設備訪問網絡.
