电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: 开源系统中构建纵深入侵检测及防御体系技术剖析（1） [打印本页]

作者: look_w 时间: 2018-4-22 16:10 标题: 开源系统中构建纵深入侵检测及防御体系技术剖析（1）

入侵检测简介Intrusion Detection System（入侵检测系统）顾名思义，便是对入侵行为的发觉，其通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。通常说来，其具有如下几个功能：

监控、分析用户和系统的活动。
核查系统配置和漏洞。
评估关键系统和数据文件的完整性。
识别攻击的活动模式并向网管人员报警。
对异常活动的统计分析。
操作系统审计跟踪管理，识别违反政策的用户活动。

按照技术以及功能来划分，入侵检测系统可以分为如下几类：

基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理（agent）来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台（console）通信。
基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。
混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

纵深入侵检测及防御体系在实际的入侵检测及防御体系的构件中，有的以网络为主，进行网络威胁的发现和封堵；有的以主机防御为主，主要保证主机不遭受入侵。如果光针对其中一方面进行构建的话，则会存在偏差，建议综合多方面的信息，进行纵深的综合性防御，这样才能起到很好的效果。
在开源系统中，例如 Linux 操作系统中，从应用到内核层面上提供了 3 种入侵检测系统来对网络和主机进行防御，它们分别是网络入侵检测系统 Snort、主机入侵检测系统 LIDS 以及分布式入侵检测系统 SnortCenter。其中，

Snort 专注于在网络层面进行入侵检测；
LIDS 则侧重于在主机层面进行入侵检测和防御；
SnortCenter 则是为了在分布式环境中提升入侵检测的实时性和准确性的一种分布式检测机制。

本文将依据这 3 种入侵系统，就如何配置、部署和使用对他们进行详细介绍。

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)