2、其次,你可以建立一个虚拟私有网络()来连接境外服务器,这样可以绕过国内的网络审查,然后用Wireshark抓取境外服务器上的网赌活动。
3、最后,可以使用WEB代理服务器(Proxy)来抓取境外服务器上的网赌活动,这样可以让你更容易抓取到境外服务器上的网赌活动内容。入侵检测技术是当今一种非常重要的动态安全技术,如果与 “传统 ”的 静态防火墙技术共同使用,将可以大大提高系统的安全防护水平。
1、入侵检测的内容。关于入侵检测的 “定义 ”已有数种,其中ICSA入侵检测系统论坛的定义即:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的最核心技术之一。传统的 *** 作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。
目前,利用最新的可适应网络安全技术和P2DR(Policy Protection Detection Response)安全模型,已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应,从理论的分析方式上可分为两种相异的分析技术:(1)异常发现技术。(2)模式发现技术。
目前,国际顶尖的入侵检测系统IDS主要以模式发现技术为主,并结合异常发现技术。IDS一般从实现方式上分为两种:基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。另外,能够识别的入侵手段的数量多少,最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。从具体工作方式上看,绝大多数入侵检测系统都采取两种不同的方式来进行入侵检测:基于网络和基于主机的。不管使用哪一种工作方式,都用不同的方式使用了上述两种分析技术,都需要查找攻击签名(Attack Signature)。所谓攻击签名,就是用一种特定的方式来表示已知的攻击方式。
2基于网络的IDS。基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,IDS应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。基于网络的入侵检测系统的主要优点有:(1)成本低。(2)攻击者转移证据很困难。(3)实时检测和应答一旦发生恶意访问或攻击,基于网络的IDS检测可以随时发现它们,因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。(4)能够检测未成功的攻击企图。(5) *** 作系统独立。基于网络的IDS并不依赖主机的 *** 作系统作为检测资源。而基于主机的系统需要特定的 *** 作系统才能发挥作用。
3基于主机的IDS。基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任何变化,IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话,检测系统就向管理员发出入侵报警并且发出采取相应的行动。
基于主机的IDS的主要优势有:(1)非常适用于加密和交换环境。(2)近实时的检测和应答。(3)不需要额外的硬件。
4集成化:IDS的发展趋势。基于网络和基于主机的IDS都有各自的优势,两者相互补充。这两种方式都能发现对方无法检测到的一些入侵行为。从某个重要服务器的键盘发出的攻击并不经过网络,因此就无法通过基于网络的IDS检测到,只能通过使用基于主机的IDS来检测。基于网络的IDS通过检查所有的包首标(header)来进行检测,而基于主机的IDS并不查看包首标。许多基于IP的拒绝服务攻击和碎片攻击,只能通过查看它们通过网络传输时的包首标才能识别。基于网络的IDS可以研究负载的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列的IDS迅速识别。而基于主机的系统无法看到负载,因此也无法识别嵌入式的负载攻击。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。比如基于主机的IDS使用系统日志作为检测依据,因此它们在确定攻击是否已经取得成功时与基于网络的检测系统相比具有更大的准确性。在这方面,基于主机的IDS对基于网络的IDS是一个很好的补充,人们完全可以使用基于网络的IDS提供早期报警,而使用基于主机的IDS来验证攻击是否取得成功。
在下一代的入侵检测系统中,将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻击签名、检测、报告和事件关联功能。相信未来的集成化的入侵检测产品不仅功能更加强大,而且部署和使用上也更加灵活方便。
5选择合适的IDS。
这几年有关入侵检测的产品发展比较快,现在比较流行的入侵检测系统(IDS)也比较多,其中Intruder Alert and Netprowler、Centrax 22和Realsecure 32采用了集成化的检测方法。
NetRanger:与路由器结合。Cisco的NetRanger是当前性能的IDS之一。NetRanger使用一个引擎/控制模型,它几乎能够检测到当前已知的各种攻击。1Cisco公司的NetRanger
1996年3月,WheelGroup基于多年的业界经验推出了NetRanger。产品分为两部分:监测网络包和发告警的传感器(9000美元),以及接收并分析告警和启动对策的控制器(1万美元)。
另外,至少还需要一台奔腾PC来跑传感器程序以及一台Sun SparcStation通过OpenView或NetView来跑控制器程序。两者都运行Sun的Solaris。在软硬件平台中,传感器上可能要花费13万美元,控制器上要花费25万美元。
NetRanger以其高性能而闻名,而且它还非常易于裁剪。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。NetRanger的名声在于其是针对企业而设计的。这种名声的标志之一是其分销渠道,EDS、Perot Systems、IBM Global Services都是其分销商。
NetRanger在全球广域网上运行很成功。例如,它有一个路径备份(Path-doubling)功能。如果一条路径断掉了,信息可以从备份路径上传过来。它甚至能做到从一个点上监测或把监测权转给第三方。
NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容,而且还看上下文,即从多个包中得到线索。这是很重要的一点,因为入侵者可能以字符模式存取一个端口,然后在每个包中只放一个字符。如果一个监测器只观察单个包,它就永远不会发现完整的信息。
按照GartnerGroup公司的研究专家Jude O'Reilley的说法,NetRanger是目前市场上基于网络的入侵检测软件中经受实践考验最多的产品之一。
但是,对于某些用户来讲,NetRanger的强项也可能正好是其不足。它被设计为集成在OpenView或NetView下,在网络运行中心(NOC)使用,其配置需要对Unix有详细的了解。NetRanger相对较昂贵,这对于一般的局域网来讲未必很适合。
2Network Associates公司的CyberCop
Network Associates 公司是1977年由以做Sniffer类探测器闻名的Network General公司与以做反病毒产品为专业的 McAfee Associates公司合并而成的。NetWork Associates从Cisco那里取得授权,将NetRanger的引擎和攻击模式数据库用在CyberCop中。
CyberCop基本上可以认为是NetRanger的局域网管理员版。这些局域网管理员正是NetWork Associates的主要客户群。其软件价格比NetRanger还贵:传感器为9000美元,服务器上的控制器为15000美元。但其平台却可以是运行Solaris 251的Dell PC(通常CyberCop是预装在里面的)。跑传感器的平台一般要3000美元,控制器的平台要5000美元。
另外,CyberCop被设计成一个网络应用程序,一般在20分钟内就可以安装完毕。它预设了6种通常的配置模式:Windows NT和Unix的混合子网、Unix子网、NT子网、远程访问、前沿网(如Internet的接入系统)和骨干网。它没有Netware的配置。
前端设计成浏览器方式主要是考虑易于使用,发挥Network General在提炼包数据上的经验,用户使用时也易于查看和理解。像在Sniffer中一样,它在帮助文档里结合了专家知识。CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相比,CyberCop缺乏一些企业应用的特征,如路径备份功能等。
按照CyberCop产品经理Katherine Stolz的说法,Network Associates公司在安全领域将有一系列的举措和合作。"我们定位在大规模的安全上,我们将成为整体解决方案的提供者。"
3Internet Security System公司的RealSecure
按照GartnerGroup的O'Reilley的说法,RealSecure的优势在于其简洁性和低价格。与NetRanger和CyberCop类似,RealSecure在结构上也是两部分。引擎部分负责监测信息包并生成告警,控制台接收报警并作为配置及产生数据库报告的中心点。两部分都可以在NT、Solaris、SunOS和Linux上运行,并可以在混合的 *** 作系统或匹配的 *** 作系统环境下使用。它们都能在商用微机上运行。
对于一个小型的系统,将引擎和控制台放在同一台机器上运行是可以的,但这对于NetRanger或CyberCop却不行。RealSecure的引擎价值1万美元,控制台是免费的。一个引擎可以向多个控制台报告,一个控制台也可以管理多个引擎。
RealSecure可以对CheckPoint Software的FireWall-1重新进行配置。根据入侵检测技术经理Mark Wood的说法,ISS还计划使其能对Cisco的路由器进行重新配置,同时也正开发OpenView下的应用。
4Intrusion Detection公司的Kane Security Monitor
基于主机的Kane Security Monitor(KSM) for NT是1997年9月推出的。它在结构上由三部分组成,即一个审计器、一个控制台和代理。代理用来浏览NT的日志并将统计结果送往审计器。系统安全员用控制台的GUI界面来接收告警、查看历史记录以及系统的实时行为。KSM对每个被保护的服务器报价1495美元(包括审计器和控制台),在此基础上每个工作站代理报价295美元。
按照位于加州Playa Del Rey以安全技术见长的Miora Systems Consulting公司的资深咨询专家David Brussin的看法,KSM在TCP/IP监测方面特别强。但他也提到,Intrusion Detection的产品不是为较快的广域网设计的。
公司的奠基人兼总裁Robert Kane说,Intrusion Detection在本季度将推出在OpenView下的应用,随后在年底将推出与Tivoli Management Environment(TME)的集成。将来,Intrusion Detection还计划支持Unix、微软的BackOffice和Novell的Netware。
5Axent Technologies公司的OmniGuard/Intruder Alert
与KSM的审计器、控制台、代理所对应的OmniGuard/Intruder Alert(ITA)在结构上的三个组成部分为一个管理器(1995美元)、控制台(免费)和代理(每个服务器为995美元,每个工作站为95美元)。
ITA比Intrusion Detection的KSM提供了更广泛的平台支持。它的管理器和代理能在Windows NT、95、31和Netware 3x、4x上运行,所有的部分在多种Unix下都能运行,如Solaris、SunOS、IBM AIX、HP-UX以及DEC的Unix。
可以根据一些解决方案来剪裁ITA,这些解决方案可来自主流的 *** 作系统、防火墙厂商、Web服务器厂商、数据库应用以及路由器制造商。Axent在2月份兼并了防火墙厂商Raptor,并将增强ITA,使其能对Raptor的防火墙进行重配置。
6Computer Associates公司的SessionWall-3/eTrust Intrusion Detection
SessionWall-3/eTrust Intrusion Detection可以通过降低对网络管理技能和时间的要求,在确保网络的连接性能的前提下,大大提高网络的安全性。SessionWall-3/eTrust Intrusion Detection可以完全自动地识别网络使用模式,特殊网络应用,并能够识别各种基于网络的各种入侵、攻击和滥用活动。另外,SessionWall-3/eTrust Intrusion Detection还可以将网络上发生的各种有关生产应用、网络安全和公司策略方面的众多疑点提取出来。
SessionWall-3/eTrust Intrusion Detection是作为一种独立或补充产品进行设计的,它的特点包括:
·世界水平的攻击监测引擎,可以实现对网络攻击的监测;
·丰富的URL控制表单,可以实现对200,000个以上分类站点的控制;
·世界水平对Java/ActiveX恶意小程序的监测引擎和病毒监测引擎;
·SessionWall-3/eTrust Intrusion Detection远程管理插件,用于没有安装SessionWall-3/eTrust Intrusion Detection的机器的SessionWall-3/eTrust Intrusion Detection记录文件的归档和查阅,以及SessionWall-3/eTrust Intrusion Detection报表的查阅。
SessionWall-3/eTrust Intrusion Detection的网络安全保护
SessionWall-3/eTrust Intrusion Detection屡获殊荣,是面的网络安全管理软件。
SessionWall-3/eTrust Intrusion Detection的特点包括:
·提供从先进的网络统计到特定用户使用情况的统计的全面网络应用报表;
·网络安全功能包括内容扫描、入侵监测、阻塞、报警和记录。
·Web和内部网络使用策略的监视和控制,对Web和公司内部网络访问策略实施监视和强制实施;
·公司保护(Company preservation),或称诉讼保护,即对电子邮件的内容进行监视,记录、查看和存档;
SessionWall-3/eTrust Intrusion Detection还包括用于WEB访问的策略集(用于监视/阻塞/报警)和用于入侵监测的策略集(用于攻击监测、恶意小程序和恶意电子邮件)。这些策略集包含了SessionWall-3/eTrust Intrusion Detection对所有通信进行扫描的策略,这些策略不仅指定了扫描的模式、通信协议、寻址方式、网络域、URL以及扫描内容,还指定了相应的处理动作。一旦安装了SessionWall-3/eTrust Intrusion Detection,它将立即投入对入侵企图和可疑网络活动的监视,并对所有电子邮件、WEB浏览、新闻、Telnet和FTP活动进行记录。
SessionWall-3/eTrust Intrusion Detection还可以很方便地追加新规则,或利用菜单驱动选项对现有规则进行修改。
SessionWall-3/eTrust Intrusion Detection可以满足各种网络保护需求,它的主要应用对象包括审计人员、安全咨询人员、执法监督机构、金融机构、中小型商务机构、大型企业、ISP、教育机构和政府机构等。
SessionWall-3/eTrust Intrusion Detection的功能
SessionWall-3/eTrust Intrusion Detection是一种功能全面且使用方便的网络保护解决方案,它克服了网络保护中的主要业务障碍,其采用的主要手段包括:
·程度地降低用户技能和资源需求;
·提供一种经济的和可扩展的解决方案;
·提供管理报表;
·提供灵活易用的工具。
从 *** 作的角度讲,SessionWall-3/eTrust Intrusion Detection去除了某些网络保护解决方案在安装和 *** 作的麻烦。实际上,SessionWall-3/eTrust Intrusion Detection可以提供许多人们所期望网络内在特性,而这些特性在过去是必需借助多种工具并通过复杂的分析之后才能够得到的。为了达到这一目的,SessionWall-3/eTrust Intrusion Detection采用了如下措施:
·即插即用安装(自动配置);
·易用的图形用户界面;
·登录网络活动的在线查阅;
·实时统计和图形显示;
·全面的"追根溯源(drill down)"报表;
·联机查询和定时报表;
·易于更新的监视、阻塞和报警规则;
·综合的响应和报警集合,包括实时干涉,预定义阻塞规则、第三方应用启动响应接口、以及不同的信息发送方式。
·用于监视和阻塞的全面URL站点分类和控制列表。
·支持WEB自速率系统(RSACi)。
·先进的可疑小程序监测(例如,Java/ActiveX引擎)。
·综合病毒扫描引擎和病毒库。
·完整的格式化内容和附件浏览器。
·电子文字模式内容的扫描和阻塞;
·菜单驱动的自动地址解析。
·特殊的保密特性,可以对控制访问权限提供登录和管理的访问控制。
SessionWall-3/eTrust Intrusion Detection的特点
SessionWall-3/eTrust Intrusion Detection与大多数网络保护产品不同,后者是生硬地安插在网络通信路径中的,而前者则是完全透明的,它不需要对网络和地址做任何的变化,也不会给独立于平台的网络带来任何的传输延迟。
SessionWall-3/eTrust Intrusion Detection可全面满足你的需要!
SessionWall-3/eTrust Intrusion Detection代表了最新一代Internet和Intranet网络保护产品,它具备前所未有的访问控制水平、用户的透明度、性能、灵活性、适应性和易用性。SessionWall-3/eTrust Intrusion Detection无需使用昂贵的UNIX主机,也避免了因非路由防火墙所造成的额外开销。另外,SessionWall-3/eTrust Intrusion Detection还包括一个会话视窗,可以用于网络入侵的监视、审计,并可以为电子通信的滥用现象提供充分的证据。
技术规范
· *** 作系统:Windows 95(OSR 2), Windows 98或Windows NT 40(SP3以上)以上版本;
·系统平台:Intel Pentium 100MHz以上;
·内存:64MB RAM
·磁盘空间:200MB可用空间
·网络接口:标准以太网/令牌环网/FDDI
·软件介质:CD-ROM
7Trusted Information System公司的Stalkers
由Haystack Labs于1993年推出的Stalker是一个基于主机的监测器,它能用于NT以及多种版本的Unix,包括Solaris、AIX、HP-UX和SCO的 UnixWare。21版的管理器价格为9995美元,每个代理为695美元。
Haystack Labs在1996年6月推出了WebStalker Pro,其 *** 作系统运行平台和Stalker是一样的,但其使用对象是Web服务器。它在Unix下的报价是4995美元,在NT下的报价是2995美元。Sun的Netra Web服务器在销售时就带有一个WebStalker的专门版。IBM Global Services也销售WebStalker。
开发基于NT防火墙产品Gauntlet的Trusted Information System公司于1997年10月收购了Haystack。于1997年12月宣布了只在NT下运行且为微软的Proxy Server 20设计的监测器——ProxyStalker。ProxyStalker计划于第一季度推出,其价格尚未宣布,但估计和Proxy Server应该是同等档次的产品,即少于1000美元。
所有三种Stalker产品都可以对防火墙产品Gauntlet重新配置,三种产品也都可以在发现入侵的同时消灭入侵。例如,WebStalker Pro可以终止一个登录或一个进程,它也可以重启一个Web服务器。Stalker家族也能与TME集成在一起。
8Network Security Wizards公司的Dragon IDS
Network Security Wizards是一家新进入IDS市场的公司。尽管它的产品Dragon现在还没有多少名气,但它在表现极好。它在检测到较多攻击。Dragon是一个非常原始的工具,建议不熟悉UNIX系统的用户不要使用。但如果用户十分在意入侵检测的健壮性并且对易于使用要求不高的话, Dragon还是一个很不错的选择。
Dragon通过命令行方式来执行,只有非常简单的基于Web 的报告工具。除了NFR外,NSW是一个将真正的代码放在攻击签名中的产品。签名文件是一个简单的文本文件,使用一个非常简单的指令集建立。指令集的简单性也允许 Dragon的用户很方便地定制和产生他们自己的攻击签名。Dragon的攻击行为表示方法没有NFR的n-code灵活,但它同样能够达到目的。通过使用一个基本的参数定义集合,用户可以定义要搜索的端口、协议、样本大小、字符串等。
不幸的是,Dragon在易于使用和事件可管理性方面完全失败。Dragon没有提供中央控制台或任何类型的GUI管理工具,它产生的数据冗长而又复杂,很不容易看懂。Dragon的成熟还需要一个过程。
Dragon能够处理碎片重组。它不仅能够无错地重组碎片,而且即使当网络占用率达70~80%时仍然性能不减。NSW 声称它在Dragon中部署了许多功能盒,这些功能盒能够以130Mbps的速率运行。如果想要一个简单而又强大的入侵检测功能并且要求易于增加或修改攻击签名的话,那么Dragon是很好的选择。
9Network Ice公司的BlackIce Defender and Enterprise Icepac 10
Network Ice公司的BlackIce Defender是将基于主机和基于网络的检测技术结合起来并用于Windows系统的产品。在安装BlackIce时,没有留下特别的印象:管理接口相当麻烦,配置选择也不是很多。然而BalckIce执行起来非常好,能够进行碎片重组。
BlackIce能够检测较多攻击并且当网络负载很饱和时仍然能够胜任。该公司声称提供了200多个攻击签名,BlackIce要比许多其他基于网络的入侵检测产品表现的好。
但BlackIce的报告机制还不太令人满意。基于Web的工具难于使用,通信未加密就通过>随着网络技术的快速发展,如今的网络安全不再仅仅是靠防火墙或者个别安全社设备就可以完全抵御的,攻击手法和方式的多样化势必要求网络安全产品整合,协同工作。防火墙、杀毒软件、安全策略早已被大多数用户纷纷采用的,更出现了IPS、IDP等高端的安全产品,但笔者以为其实就中小企业而言入侵检测系统更能满足用户的需求。笔者始终认为,只有掌握了恶意软件或行为后,对症下药会更好的解决用户所遇到的威胁。 入侵检测的用途 虽然入侵检测系统(Intrusion Detection System,IDS)早已不再是什么神秘的神兵利器,但却可以在恶意行为发生时及时通告用户,此种检测手段非常适合于在防火墙的基础之上部署在中、小企业中,甚至对于要求更严格的大型企业网络也是适用的。现在用户都清楚一个事实,一台普通的计算机是以安装防火墙的方式来进行访问规则的设置,而对于企业网络来说,这是远远不够的。此时相对更加昂贵的IPS或IDP设备,入侵检测系统IDS已经可以胜任网络防护的重任,管理员只要留意网络通信的异常和警告稍加分析就可以判断是否有恶意行为的发生。通常笔者在实施企业级应用时,首先会考虑企业的实际需要,而IDS不论对于何种规模的网络都是适用的,IDS是建立在防火墙基础之上的一种很有效的防护手段。 入侵检测适用范围 虽然IDS和IPS之间的争论已经了结了很久,但是仍有不少用户在选择安全产品的时候存在错误或者说是模糊的概念。有人说IDS和IPS目前只适用于中大型网络,对于只有小型网络和若干IT工作人员的中小型企业来说,大型IDS入侵检测系统造价偏高而且还得投入工作人员全天候进行监控,相对来说并不划算。因此很多小型企业只能利用防火墙对其实现安全防护,这显然是不够的,这让很多入侵行为无法被防火墙及时发现并造成损失。曾经笔者在为一家中小企业处理做应急方案的时候就发现,由于防火墙自身规则的限制,使得企业无法防范来自内部的威胁,困此小型企业可以尝试使用小型网络产品或者利用外包商们专为中小型企业提供的检测和预警服务,在防火墙产品以备或防火墙无法满足现有安全需求时完善企业的安全机制。但是笔者还是强调任何设备都不是万能的守护神,而IDS应该是多层防御系统的一部份,这个防御系统中最重要的还应是安全管理。 如何部署入侵检测系统 如果企业在已拥有防火墙基础之上部署入侵检测系统,应首先评考虑目前的网络规模和范围以及需要保护的数据和基础设施等,由于IDS只是一种安全硬件,而且由于IDS在行为检测过程中可能会占用比较多的资源,这对于一个极小的网络来说会成为很大的负担,甚至会影响网络的使用性能。用户只有根据自身的需求进行评估后,才可以对相关的IDS或IPS进行评测考证,随后才能讨论IDS如何融入现有的安全策略中。 在小型企业中,配备好一个处理能力良好的防火墙会比完备的IDS更好控制,但是防火墙只能阻止已经被限制网络通信,并不能起到很好的防护效果。而对于IDS来说可以记录不必要的通信量,虽然有时不进行阻止,但在记录中发现不明规则的同时,可以利用防火墙新建策略对其进行阻止访问,所以防火墙与IDS是功能互补,相互依赖的。 通常恶意行为在入侵一台服务器时会先侵入较低保护的系统,然后通过提权获得更高的权限直至达到入侵目的。因此用户考虑是否部署IDS产品前,应对目前服务器中存储的信息进行风险分析,不仅要考虑数据安全性,也要考虑系统结构和低风险系统到高风险系统的可侵入性。 如果仅靠IDS是不会达到很好的防护效果的,用户要想IDS对网络起到很好的保护,那其设备必须安装在防火墙的两边以及网关处,让其检测无论是内部的还是外部的所有通信量,并将不同网段的检测结果进行对比,那样才能确定攻击的来源或者试图入侵的恶意代码。而对于内部攻击,可通过IDS入侵检测系统对内部网段可疑活动的检测,找到病源。当然IDS可能会产生误报,管理人员可以从恶意程序试探网络的通信数据中找到入侵的路径。 总结 随着黑客技术的提升,使得安全技术和产品必须更快的发展,以应对网络各种胁威。
分为两类:
1、信息来源一类:基于主机IDS和基于网络的IDS。
2、检测方法一类:异常入侵检测和误用入侵检测。
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
IDS最早出现在1980年4月。 1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。 1990年,IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以完全取代防火墙。
扩展资料:
对IDS的要求:
IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。
参考资料来源:百度百科-入侵检测系统
百度百科-入侵检测
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)