基於主機的入侵檢測系統執行在需要監視的系統上。它們監視系統並判斷系統上的活動是否可接受。如果乙個網路資料報已經到達它要試圖進入的主機,要想準確地檢測出來並進行阻止,除防火牆和網路監視器外,還可用第三道防線來阻止,即「基於主機的入侵檢測」,其入侵檢測結構如右圖所示。
2種基於主機的入侵檢測型別如下。
基於主機的入侵檢測結構
·網路監視器。它監視進來的主機的網路連線,並試圖判斷這些連線是否是乙個威脅。並可檢查出網路連線表達的一些試圖進行的入侵型別。記住,這與基於網路的入侵檢測不同,因為它只監視它所執行的主機上的網路通訊,而不是通過網路的所有通訊。基於此種原因,它不需要網路介面處於混雜模式。
·主機監視器。它監視檔案、檔案系統、日誌或主機其他部分,查詢特定型別的活動,進而判斷是否是乙個入侵企圖(或乙個成功的入侵)之後,通知系統管理員。
1.監視進來的連線
在資料報到達主機系統的網路層之前,檢查試圖訪問主機的資料報是可以的。這種機制試圖在到達的資料報能夠對主機造成破壞之前,截獲該資料報而保護該主機。
可以採取的活動主要如下。
·檢測試圖與未授權的tcp或udp埠進行的連線。如果試圖連線沒有服務的埠,這通常表明入侵者在搜尋查詢漏洞。
·檢測進來的埠掃瞄。再一次,這是個一定要對付的問題,並給防火牆發警告或修改本地的ip配置以拒絕從可能的入侵者主機來的訪問。
可以執行這種監視型別的2種軟體產品分別是iss公司的real secure和port sentry。
2.監視登入活動
儘管管理員已經進了最大努力,同時剛剛配置並不斷檢查入侵檢測軟體,但仍然可能有某些入侵者採取目前不知道的入侵攻擊方法來進入系統。乙個攻擊者可以通過各種方法(包嗅探器或其他)獲得乙個網路密碼,從而有可能進入該系統。
查詢系統上的不一般的活動是乙個如host sentry軟體的工作。這種型別的包監視器嘗試登入或退出,從而給系統管理員傳送警告,該活動是不一般的或不希望的。
3.監視root的活動
獲得要進行破壞的系統超級使用者(root)或管理員的訪問許可權,是所有入侵者的目標。除了在特定的時間內對系統進行定期維護外,對如web伺服器或資料庫伺服器,進行良好的維護和在可靠的系統上對超級使用者進行維護,通常是幾乎沒有或很少進行的活動。但入侵者不信任系統維護,他們很少在定期的維護時間工作,而經常是在上面進行很長時間的活動。他們在該系統上執行很多不一般的操作,有時候比系統管理員的都多。
4.監視檔案系統
一旦乙個入侵者侵入了乙個系統(雖然已盡最大努力使得入侵檢測系統發揮最佳效果,但也不能完全排除入侵者侵入系統的可能性),就要改變系統的檔案。如:乙個成功入侵者可能想要安裝乙個包嗅探器或者埠掃瞄檢測器,或修改一些系統檔案或程式,使得不能檢測出他們在周圍進行的入侵活動。在乙個系統上安裝軟體通常包括修改系統的某些部分,這些修改通常是要修改系統上的檔案或庫。
入侵檢測之基於主機入侵檢測系統
一般主要使用 作業系統的審計 跟蹤日誌 作為資料來源,某些也會主動與主機系統進行互動以 獲得不存在於系統日誌中的資訊 以檢測入侵。這種型別的檢測系統不需要額外的硬體 對網路流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊...
基於主機的入侵檢測技術
資料獲取劃分為直接監測和間接監測兩種方法。1 直接監測 直接監測從資料產生或從屬的物件直接獲得資料。例如,為了直接監測主機cpu的負荷,必須直接從主機相應核心的結構獲得資料。要監測ietd程序提供的網路訪問服務,必須直接從 inetd程序獲得關於那些訪問的資料 2 間接監測 從反映被監測物件行為的某...
入侵檢測系統
網路入侵概念 入侵檢測 通過計算機網路或計算機系統的關鍵點收集資訊並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統 ids 入侵檢測是軟體與硬體的組合,是防火牆的合理補充,是防火牆之後的第二道安全閘門。檢測的內容 試圖闖入,成功闖入,冒充其他使用者,違反安全策略,...