入侵檢測(cè)技術(shù)綜述

　　系統(tǒng)風(fēng)險(xiǎn)與入侵檢測(cè)



　　計(jì)算機(jī)網(wǎng)絡(luò)的安全是一個(gè)國(guó)際化的問(wèn)題，每年全球因計(jì)算機(jī)網(wǎng)絡(luò)的安全系統(tǒng)被破壞而造成的經(jīng)濟(jì)損失達(dá)數(shù)百億美元。進(jìn)入新世紀(jì)之后，上述損失將達(dá)2000億美元以上。



　　政府、銀行、大企業(yè)等機(jī)構(gòu)都有自己的內(nèi)網(wǎng)資源。從這些組織的網(wǎng)絡(luò)辦公環(huán)境可以看出，行政結(jié)構(gòu)是金字塔型，但是局域網(wǎng)的網(wǎng)絡(luò)管理卻是平面型的，從網(wǎng)絡(luò)安全的角度看，當(dāng)公司的內(nèi)部系統(tǒng)被入侵、破壞與泄密是一個(gè)嚴(yán)重的問(wèn)題，以及由此引出的更多有關(guān)網(wǎng)絡(luò)安全的問(wèn)題都應(yīng)該引起我們的重視。據(jù)統(tǒng)計(jì)，全球80%以上的入侵來(lái)自于內(nèi)部。此外，不太自律的員工對(duì)網(wǎng)絡(luò)資源無(wú)節(jié)制的濫用對(duì)企業(yè)可能造成巨大的損失。



　　當(dāng)商戶、銀行與其他商業(yè)與金融機(jī)構(gòu)在電子商務(wù)熱潮中紛紛進(jìn)入Internet，以政府上網(wǎng)為標(biāo)志的數(shù)字政府使國(guó)家機(jī)關(guān)與Internet互聯(lián)。通過(guò)Internet 實(shí)現(xiàn)包括個(gè)人、企業(yè)與政府的全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。隨著網(wǎng)絡(luò)應(yīng)用范圍的不斷擴(kuò)大，對(duì)網(wǎng)絡(luò)的各類(lèi)攻擊與破壞也與日俱增。無(wú)論政府、商務(wù)，還是金融、媒體的網(wǎng)站都在不同程度上受到入侵與破壞。網(wǎng)絡(luò)安全已成為國(guó)家與國(guó)防安全的重要組成部分，同時(shí)也是國(guó)家網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展的關(guān)鍵。



　　據(jù)統(tǒng)計(jì)：信息竊賊在過(guò)去5年中以250%速度增長(zhǎng)，99%的大公司都發(fā)生過(guò)大的入侵事件。世界著名的商業(yè)網(wǎng)站，如Yahoo、Buy、EBay、Amazon、CNN都曾被黑客入侵，造成巨大的經(jīng)濟(jì)損失。甚至連專(zhuān)門(mén)從事網(wǎng)絡(luò)安全的RSA網(wǎng)站也受到黑客的攻擊。



　　對(duì)入侵攻擊的檢測(cè)與防范、保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。



　　網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，有效的安全策略或方案的制定，是網(wǎng)絡(luò)信息安全的首要目標(biāo)。 網(wǎng)絡(luò)安全技術(shù)主要有，認(rèn)證授權(quán)、數(shù)據(jù)加密、訪問(wèn)控制、安全審計(jì)等。本文著重討論的入侵檢測(cè)技術(shù)是安全審計(jì)中的核心技術(shù)之一，是網(wǎng)絡(luò)安全防護(hù)的重要組成部分。



　　入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異�，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。違反安全策略的行為有：入侵―非法用戶的違規(guī)行為；濫用―用戶的違規(guī)行為。



　　利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。入侵檢測(cè)系統(tǒng)的應(yīng)用，能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過(guò)程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入知識(shí)庫(kù)內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。



　　入侵檢測(cè)產(chǎn)品分析



　　1． 入侵檢測(cè)產(chǎn)品



　　經(jīng)過(guò)幾年的發(fā)展，入侵檢測(cè)產(chǎn)品開(kāi)始步入快速的成長(zhǎng)期。一個(gè)入侵檢測(cè)產(chǎn)品通常由兩部分組成：傳感器(Sensor)與控制臺(tái)(Console)。傳感器負(fù)責(zé)采集數(shù)據(jù)(網(wǎng)絡(luò)包、系統(tǒng)日志等)、分析數(shù)據(jù)并生成安全事件�？刂婆_(tái)主要起到中央管理的作用，商品化的產(chǎn)品通常提供圖形界面的控制臺(tái)，這些控制臺(tái)基本上都支持Windows NT平臺(tái)。



　　從技術(shù)上看，這些產(chǎn)品基本上分為以下幾類(lèi)：基于網(wǎng)絡(luò)的產(chǎn)品和基于主機(jī)的產(chǎn)品�；旌系娜肭謾z測(cè)系統(tǒng)可以彌補(bǔ)一些基于網(wǎng)絡(luò)與基于主機(jī)的片面性缺陷。此外，文件的完整性檢查工具也可看作是一類(lèi)入侵檢測(cè)產(chǎn)品。



　　2. 基于網(wǎng)絡(luò)的入侵檢測(cè)



　　基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品（NIDS）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的。值得一提的是，在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，有多個(gè)久負(fù)盛名的開(kāi)放源碼軟件，它們是Snort、NFR、Shadow等，其中Snort 的社區(qū)(http://www.snort.org)非�；钴S，其入侵特征更新速度與研發(fā)的進(jìn)展已超過(guò)了大部分商品化產(chǎn)品。



　　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)：



　　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠檢測(cè)那些來(lái)自網(wǎng)絡(luò)的攻擊，它能夠檢測(cè)到超過(guò)授權(quán)的非法訪問(wèn)。



　　一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不需要改變服務(wù)器等主機(jī)的配置。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤(pán)等資源的使用，不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。



　　由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不像路由器、防火墻等關(guān)鍵設(shè)備方式工作，它不會(huì)成為系統(tǒng)中的關(guān)鍵路徑。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。布署一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)比主機(jī)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)少得多。



　　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)近年內(nèi)有向?qū)ｉT(mén)的設(shè)備發(fā)展的趨勢(shì)，安裝這樣的一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)非常方便，只需將定制的設(shè)備接上電源，做很少一些配置，將其連到網(wǎng)絡(luò)上即可。



　　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的弱點(diǎn)：



　　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限。而安裝多臺(tái)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的傳感器會(huì)使布署整個(gè)系統(tǒng)的成本大大增加。



　　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)為了性能目標(biāo)通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)。



　　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽(tīng)特定的數(shù)據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量。一些系統(tǒng)在實(shí)現(xiàn)時(shí)采用一定方法來(lái)減少回傳的數(shù)據(jù)量，對(duì)入侵判斷的決策由傳感器實(shí)現(xiàn)，而中央控制臺(tái)成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱。



　　網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)處理加密的會(huì)話過(guò)程較困難，目前通過(guò)加密通道的攻擊尚不多，但隨著IPv6的普及，這個(gè)問(wèn)題會(huì)越來(lái)越突出。



　　3． 基于主機(jī)的入侵檢測(cè)



　　基于主機(jī)的入侵檢測(cè)產(chǎn)品（HIDS）通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。



　　主機(jī)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)：



　　主機(jī)入侵檢測(cè)系統(tǒng)對(duì)分析“可能的攻擊行為”非常有用。舉例來(lái)說(shuō)，有時(shí)候它除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外，還能分辨出入侵者干了什么事：他們運(yùn)行了什么程序、打開(kāi)了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用。主機(jī)入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相比通常能夠提供更詳盡的相關(guān)信息。



　　主機(jī)入侵檢測(cè)系統(tǒng)通常情況下比網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)誤報(bào)率要低，因?yàn)闄z測(cè)在主機(jī)上運(yùn)行的命令序列比檢測(cè)網(wǎng)絡(luò)流更簡(jiǎn)單，系統(tǒng)的復(fù)雜性也少得多。



　　主機(jī)入侵檢測(cè)系統(tǒng)可布署在那些不需要廣泛的入侵檢測(cè)、傳感器與控制臺(tái)之間的通信帶寬不足的情況下。主機(jī)入侵檢測(cè)系統(tǒng)在不使用諸如“停止服務(wù)” 、“注銷(xiāo)用戶”等響應(yīng)方法時(shí)風(fēng)險(xiǎn)較少。



　　主機(jī)入侵檢測(cè)系統(tǒng)的弱點(diǎn)：



　　主機(jī)入侵檢測(cè)系統(tǒng)安裝在我們需要保護(hù)的設(shè)備上。舉例來(lái)說(shuō)，當(dāng)一個(gè)數(shù)據(jù)庫(kù)服務(wù)器要保護(hù)時(shí)，就要在服務(wù)器本身上安裝入侵檢測(cè)系統(tǒng)。這會(huì)降低應(yīng)用系統(tǒng)的效率。此外，它也會(huì)帶來(lái)一些額外的安全問(wèn)題，安裝了主機(jī)入侵檢測(cè)系統(tǒng)后，將本不允許安全管理員有權(quán)力訪問(wèn)的服務(wù)器變成他可以訪問(wèn)的了。



　　主機(jī)入侵檢測(cè)系統(tǒng)的另一個(gè)問(wèn)題是它依賴(lài)于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒(méi)有配置日志功能，則必需重新配置，這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來(lái)不可預(yù)見(jiàn)的性能影響。



　　全面布署主機(jī)入侵檢測(cè)系統(tǒng)代價(jià)較大，企業(yè)中很難將所有主機(jī)用主機(jī)入侵檢測(cè)系統(tǒng)保護(hù)，只能選擇部分主機(jī)保護(hù)。那些未安裝主機(jī)入侵檢測(cè)系統(tǒng)的機(jī)器將成為保護(hù)的盲點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)。



　　主機(jī)入侵檢測(cè)系統(tǒng)除了監(jiān)測(cè)自身的主機(jī)以外，根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況。對(duì)入侵行為的分析的工作量將隨著主機(jī)數(shù)目增加而增加。
　　



　　入侵檢測(cè)技術(shù)分析



　　1.技術(shù)分類(lèi)



　　入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。



　　特征檢測(cè)



　　特征檢測(cè)(Signature-based detection)又稱(chēng)Misuse detection，這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。



　　異常檢測(cè)



　　異常檢測(cè)(Anomaly detection)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正�；顒�(dòng)的“活動(dòng)簡(jiǎn)檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。



　　2.常用檢測(cè)方法



　　入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專(zhuān)家系統(tǒng)。據(jù)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的報(bào)告，國(guó)內(nèi)送檢的入侵檢測(cè)產(chǎn)品中95％是屬于使用入侵模板進(jìn)行模式匹配的特征檢測(cè)產(chǎn)品，其他5％是采用概率統(tǒng)計(jì)的統(tǒng)計(jì)檢測(cè)產(chǎn)品與基于日志的專(zhuān)家知識(shí)庫(kù)系產(chǎn)品。



　　特征檢測(cè)



　　特征檢測(cè)對(duì)已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。原理上與專(zhuān)家系統(tǒng)相仿。其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類(lèi)似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。



　　該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高，但對(duì)于無(wú)經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無(wú)能為力。



　　統(tǒng)計(jì)檢測(cè)



　　統(tǒng)計(jì)模型常用異常檢測(cè)，在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。常用的入侵檢測(cè)5種統(tǒng)計(jì)模型為：


　　● 操作模型，該模型假設(shè)異常可通過(guò)測(cè)量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，舉例來(lái)說(shuō)，在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊；



　　● 方差，計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過(guò)置信區(qū)間的范圍時(shí)表明有可能是異常；



　　● 多元模型，操作模型的擴(kuò)展，通過(guò)同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)；



　　● 馬爾柯夫過(guò)程模型，將每種類(lèi)型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來(lái)表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件；



　　● 時(shí)間序列分析，將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。



　　統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng)。



　　專(zhuān)家系統(tǒng)



　　用專(zhuān)家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為。所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無(wú)通用性。專(zhuān)家系統(tǒng)的建立依賴(lài)于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測(cè)專(zhuān)家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運(yùn)用專(zhuān)家系統(tǒng)防范有特征入侵行為的有效性完全取決于專(zhuān)家系統(tǒng)知識(shí)庫(kù)的完備性。


入侵檢測(cè)產(chǎn)品選擇要點(diǎn)



　　當(dāng)您選擇入侵檢測(cè)系統(tǒng)時(shí)，要考慮的要點(diǎn)有：



　　1. 系統(tǒng)的價(jià)格



　　當(dāng)然，價(jià)格是必需考慮的要點(diǎn)，不過(guò)，性能價(jià)格比、以及要保護(hù)系統(tǒng)的價(jià)值可是更重要的因素。



　　2. 特征庫(kù)升級(jí)與維護(hù)的費(fèi)用



　　象反病毒軟件一樣，入侵檢測(cè)的特征庫(kù)需要不斷更新才能檢測(cè)出新出現(xiàn)的攻擊方法。



　　3. 對(duì)于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，最大可處理流量(包/秒 PPS)是多少



　　首先，要分析網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境，如果在512K或2M專(zhuān)線上布署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，則不需要高速的入侵檢測(cè)引擎，而在負(fù)荷較高的環(huán)境中，性能是一個(gè)非常重要的指標(biāo)。



　　4. 該產(chǎn)品容易被躲避嗎



　　有些常用的躲開(kāi)入侵檢測(cè)的方法，如：分片、TTL欺騙、異常TCP分段、慢掃描、協(xié)同攻擊等。



　　5. 產(chǎn)品的可伸縮性



　　系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫(kù)大小、傳感器與控制臺(tái)之間通信帶寬和對(duì)審計(jì)日志溢出的處理。



　　6. 運(yùn)行與維護(hù)系統(tǒng)的開(kāi)銷(xiāo)



　　產(chǎn)品報(bào)表結(jié)構(gòu)、處理誤報(bào)的方便程度、事件與事志查詢(xún)的方便程度以及使用該系統(tǒng)所需的技術(shù)人員數(shù)量。



　　7. 產(chǎn)品支持的入侵特征數(shù)



　　不同廠商對(duì)檢測(cè)特征庫(kù)大小的計(jì)算方法都不一樣，所以不能偏聽(tīng)一面之辭。



　　8. 產(chǎn)品有哪些響應(yīng)方法



　　要從本地、遠(yuǎn)程等多個(gè)角度考察。自動(dòng)更改防火墻配置是一個(gè)聽(tīng)上去很“酷”的功能，但是，自動(dòng)配置防火墻可是一個(gè)極為危險(xiǎn)的舉動(dòng)。



　　9. 是否通過(guò)了國(guó)家權(quán)威機(jī)構(gòu)的評(píng)測(cè)



　　主要的權(quán)威測(cè)評(píng)機(jī)構(gòu)有：國(guó)家信息安全測(cè)評(píng)認(rèn)證中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心。



　　入侵檢測(cè)技術(shù)發(fā)展方向



　　無(wú)論從規(guī)模與方法上入侵技術(shù)近年來(lái)都發(fā)生了變化。入侵的手段與技術(shù)也有了“進(jìn)步與發(fā)展”。入侵技術(shù)的發(fā)展與演化主要反映在下列幾個(gè)方面：



　　入侵或攻擊的綜合化與復(fù)雜化。入侵的手段有多種，入侵者往往采取一種攻擊手段。由于網(wǎng)絡(luò)防范技術(shù)的多重化，攻擊的難度增加，使得入侵者在實(shí)施入侵或攻擊時(shí)往往同時(shí)采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實(shí)施的初期掩蓋攻擊或入侵的真實(shí)目的。



　　入侵主體對(duì)象的間接化，即實(shí)施入侵與攻擊的主體的隱蔽化。通過(guò)一定的技術(shù)，可掩蓋攻擊主體的源地址及主機(jī)位置。即使用了隱蔽技術(shù)后，對(duì)于被攻擊對(duì)象攻擊的主體是無(wú)法直接確定的。



　　入侵或攻擊的規(guī)模擴(kuò)大。對(duì)于網(wǎng)絡(luò)的入侵與攻擊，在其初期往往是針對(duì)于某公司或一個(gè)網(wǎng)站，其攻擊的目的可能為某些網(wǎng)絡(luò)技術(shù)愛(ài)好者的獵奇行為，也不排除商業(yè)的盜竊與破壞行為。由于戰(zhàn)爭(zhēng)對(duì)電子技術(shù)與網(wǎng)絡(luò)技術(shù)的依賴(lài)性越來(lái)越大，隨之產(chǎn)生、發(fā)展、逐步升級(jí)到電子戰(zhàn)與信息戰(zhàn)。對(duì)于信息戰(zhàn)，無(wú)論其規(guī)模與技術(shù)都與一般意義上的計(jì)算機(jī)網(wǎng)絡(luò)的入侵與攻擊都不可相提并論。信息戰(zhàn)的成敗與國(guó)家主干通信網(wǎng)絡(luò)的安全是與任何主權(quán)國(guó)家領(lǐng)土安全一樣的國(guó)家安全。



　　入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機(jī)執(zhí)行。由于防范技術(shù)的發(fā)展使得此類(lèi)行為不能奏效。所謂的分布式拒絕服務(wù)（DDoS）在很短時(shí)間內(nèi)可造成被攻擊主機(jī)的癱瘓。且此類(lèi)分布式攻擊的單機(jī)信息模式與正常通信無(wú)差異，所以往往在攻擊發(fā)動(dòng)的初期不易被確認(rèn)。分布式攻擊是近期最常用的攻擊手段。



　　攻擊對(duì)象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體，但近期來(lái)的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng)，且有愈演愈烈的趨勢(shì)�，F(xiàn)已有專(zhuān)門(mén)針對(duì)IDS作攻擊的報(bào)道。攻擊者詳細(xì)地分析了IDS的審計(jì)方式、特征描述、通信模式找出IDS的弱點(diǎn)，然后加以攻擊。



　　今后的入侵檢測(cè)技術(shù)大致可朝下述三個(gè)方向發(fā)展。



　　分布式入侵檢測(cè)：第一層含義，即針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法；第二層含義即使用分布式的方法來(lái)檢測(cè)分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測(cè)信息的協(xié)同處理與入侵攻擊的全局信息的提取。



　　智能化入侵檢測(cè)：即使用智能化的方法與手段來(lái)進(jìn)行入侵檢測(cè)。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識(shí)與泛化。利用專(zhuān)家系統(tǒng)的思想來(lái)構(gòu)建入侵檢測(cè)系統(tǒng)也是常用的方法之一。特別是具有自學(xué)習(xí)能力的專(zhuān)家系統(tǒng)，實(shí)現(xiàn)了知識(shí)庫(kù)的不斷更新與擴(kuò)展，使設(shè)計(jì)的入侵檢測(cè)系統(tǒng)的防范能力不斷增強(qiáng)，應(yīng)具有更廣泛的應(yīng)用前景。應(yīng)用智能體的概念來(lái)進(jìn)行入侵檢測(cè)的嘗試也已有報(bào)道。較為一致的解決方案應(yīng)為高效常規(guī)意義下的入侵檢測(cè)系統(tǒng)與具有智能檢測(cè)功能的檢測(cè)軟件或模塊的結(jié)合使用。



　　全面的安全防御方案：即使用安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估，然后提出可行的全面解決方案。


摘自《賽迪網(wǎng)》