摘要:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 |
三、入侵检测功能
•监督并分析用户和系统的活动
•检查系统配置和漏洞
•检查关键系统和数据文件的完整性
•识别代表已知攻击的活动模式
•对反常行为模式的统计分析
•对操作系统的校验管理,判断是否有破坏安全的用户活动。
•入侵检测系统和漏洞评估工具的优点在于:
•提高了信息安全体系其它部分的完整性
•提高了系统的监察能力
•跟踪用户从进入到退出的所有活动或影响
•识别并报告数据文件的改动
•发现系统配置的错误,必要时予以更正
•识别特定类型的攻击,并向相应人员报警,以作出防御反应
•可使系统管理人员最新的版本升级添加到程序中
•允许非专家人员从事系统安全工作
•为信息安全策略的创建提供指导
•必须修正对入侵检测系统和漏洞评估工具不切实际的期望:这些产品并不是无所不能的,它们无法弥补力量薄弱的识别和确认机制
•在无人干预的情况下,无法执行对攻击的检查
•无法感知公司安全策略的内容
•不能弥补网络协议的漏洞
•不能弥补由于系统提供信息的质量或完整性的问题
•它们不能分析网络繁忙时所有事务
•它们不能总是对数据包级的攻击进行处理
•它们不能应付现代网络的硬件及特性
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
责任编辑:Lily