入侵检测和漏洞检测系统

纯黑纯白

----入侵检测和漏洞检测系统是网络安全系统的一个重要组成部分，它不但可以实现复杂烦琐的信息系统安全管理，而且还可以从目标信息系统和网络资源中采集信息，分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击作出反应。

----入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。

----漏洞检测就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。这种技术通常采用两种策略，即被动式策略和主动式策略。

----一个健全的网络信息系统安全方案应该包括安全效用检验、安全审计、安全技术、安全教育与培训、安全机构与程序和安全规则等内容，是一个复杂的系统工程。安全技术是其中一个重要的环节，入侵检测和漏洞检测系统是安全技术的核心。目前经常使用的安全技术有防火墙、防病毒软件、用户认证、加密、入侵检测和漏洞检测系统等。防火墙作为防护措施中的一层能够起到一定的作用，但事实证明它是不充分的，防火墙充当了外部网和内部网的一个屏障，但并不是所有的外部访问都是通过防火墙的。比如，一个未经认证的调制解调器把内部网连到了外部网，就可以绕开防火墙，对系统的安全构成威胁。此外，安全威胁也可能来自内部，而防火墙本身也极容易被外部黑客攻破。入侵检测和漏洞检测系统是防火墙的重要补充，并能有效地结合其他网络安全产品的性能，对网络安全进行全方位的保护。

入侵检测
　

----1．常用的入侵检测技术

----入侵检测技术可分为五种：

----(1)基于应用的监控技术主要特征是使用监控传感器在应用层收集信息。由于这种技术可以更准确地监控用户某一应用的行为，所以这种技术在日益流行的电子商务中也越来越受到注意，其缺点在于有可能降低技术本身的安全。

----(2)基于主机的监控技术主要特征是使用主机传感器监控本系统的信息。这种技术可以用于分布式、加密、交换的环境中监控，把特定的问题同特定的用户联系起来；其缺点在于主机传感器要和特定的平台相关联，对网络行为不易领会，同时加大了系统的负担。

----(3)基于目标的监控技术主要特征是针对专有系统属性、文件属性、敏感数据、攻击进程结果进行监控。这种技术不依据历史数据，系统开销小，可以准确地确定受攻击的部位，受到攻击的系统容易恢复；其缺点在于实时性较差，对目标的检验数依赖较大。

----(4)基于网络的监控技术主要特征是网络监控传感器监控包监听器收集的信息。该技术不需要任何特殊的审计和登录机制，只要配置网络接口就可以了，不会影响其他数据源；其缺点在于如果数据流进行了加密，就不能审查其内容，对主机上执行的命令也感觉不到。此外，该技术对高速网络不是特别有效。

----(5)综合以上4种方法进行监控其特点是可提高侦测性能，但会产生非常复杂的网络安全方案，严重影响网络的效率，而且目前还没有一个统一的业界标准。

----2.入侵检测技术的选用

----在使用入侵检测技术时，应该注意具有以下技术特点的应用要根据具体情况进行选择：

----(1)信息收集分析时间：可分为固定时间间隔和实时收集分析两种。采用固定时间间隔方法，通过操作系统审计机制和其他基于主机的登录信息，入侵检测系统在固定间隔的时间段内收集和分析这些信息，这种技术适用于对安全性能要求较低的系统，对系统的开销影响较小；但这种技术的缺点是显而易见的，即在时间间隔内将失去对网络的保护。采用实时收集和分析技术可以实时地抑制攻击，使系统管理员及时了解并阻止攻击，系统管理员也可以记录黑客的信息；缺点是加大了系统开销。

----(2)采用的分析类型：可分为签名分析、统计分析和完整性分析。签名分析就是同攻击数据库中的系统设置和用户行为模式匹配。在许多入侵检测系统中，都建有这种已知攻击的数据库。这种数据库可以经常更新，以对付新的威胁。签名分析的优点在于能够有针对性地收集系统数据，减少了系统的开销，如果数据库不是特别大，那么签名分析比统计分析更为有效，因为它不需要浮点运算。

----统计分析用来发现偏离正常模式的行为，通过分析正常应用的属性得到系统的统计特征，对每种正常模式计算出均值和偏差，当侦测到有的数值偏离正常值时，就发出报警信号。这种技术可以发现未知的攻击，使用灵活的统计方法还可以侦测到复杂的攻击。当然，如果高明的黑客逐渐改变入侵模式，那么还是可以逃避侦测的，而且统计传感器发出虚警的概率就会变大。

----完整性分析主要关注某些文件和对象的属性是否发生了变化。完整性分析通过被称为消息摘录算法的超强加密机制，可以感受到微小的变化。这种分析可以侦测到任何使文件发生变化的攻击，弥补了签名分析和统计分析的缺陷，但是这种分析的实时性很差。

----(3)侦测系统对攻击和误用的反应：有些基于网络的侦测系统可以针对侦测到的问题作出反应，这一特点使得网络管理员对付诸如拒绝服务一类的攻击变得非常容易。这些反应主要有改变环境、效用检验、实时通知等。当系统侦测到攻击时，一个典型的反应就是改变系统的环境，通常包括关闭联接，重新设置系统。由于改变了系统的环境,因此可以通过设置代理和审计机制获得更多的信息，从而能跟踪黑客。狡猾的黑客通常瞄准侦测传感器和分析引擎进行攻击，在这种情况下，就有必要对这些传感器和引擎进行效用评估，看它们能否正常工作。许多实时系统还允许管理员选择一种预警机制，把发生的问题实时地送往各个地方。

----(4)侦测系统的管理和安装：用户采用侦测系统时，需要根据本网的一些具体情况而定。实际上，没有两种完全相同的网络环境，因此，就必须对采用的系统进行配置。比如，可以配置系统的网络地址、安全条目等。某些基于主机的侦测系统还提供友好的用户界面，让用户说明要传感器采集哪些信息。一个好的侦测系统会为用户带来方便，让用户记录系统中发生的安全问题，在运行侦测系统的时候，还可以说明一些控制功能和效用检验机制。

----(5)侦测系统的完整性：所谓完整性就是系统自身的安全性，鉴于侦测系统的巨大作用，系统设计人员要对系统本身的自保性能有足够的重视，黑客在发动攻击之前首先要对安全机制有足够的了解后才会攻击，所以侦测系统完整性就成为必须解决的问题，经常采用的手段有认证、超强加密、数字签名等，确保合法使用，保证通信不受任何干扰。

----(6)设置诱骗服务器：有的侦测系统还在安全构架中提供了诱骗服务器，以便更准确地确定攻击的威胁程度。诱骗服务器的目的就是吸引黑客的注意力，把攻击导向它，从敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质，随后把这些信息送到一个安全的地方，供以后查用。这种技术是否采用可根据网络的自身情况而定。

纯黑纯白

漏洞检测
　

----1.分类

----漏洞检测技术可分为5种：

----(1)基于应用的检测技术它采用被动的、非破坏性的办法检查应用软件包的设置，发现安全漏洞。

----(2)基于主机的检测技术它采用被动的、非破坏性的办法对系统进行检测。通常，它涉及到系统的内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密，把一些简单的口令剔除。因此，这种技术可以非常准确地定位系统存在的问题，发现系统漏洞。它的缺点是与平台相关，升级复杂。

----(3)基于目标的检测技术它采用被动的、非破坏性的办法检查系统属性和文件属性，如数据库、注册号等。通过消息文摘算法，对文件的加密数进行检验。其基本原理是消息加密算法和哈希函数，如果函数的输入有一点变化，那么其输出就会发生大的变化，这样文件和数据流的细微变化都会被感知。这些算法加密强度极大，不易受到攻击，并且其实现是运行在一个闭环上，不断地处理文件和系统目标属性，然后产生检验数，把这些检验数同原来的检验数相比较，一旦发现改变就通知管理员。

----(4)基于网络的检测技术它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本对系统进行攻击，然后对结果进行分析。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现平台的一系列漏洞，也容易安装。但是，它容易影响网络的性能，不会检验不到系统内部的漏洞。

----(5)综合的技术它集中了以上4种技术的优点，极大地增强了漏洞识别的精度。

----2.特点

----(1)检测分析的位置：在漏洞检测中，第一步是收集数据，第二步是数据分析。在大型网络中，通常采用控制台和代理结合的结构，这种结构特别适用于异构型网络，容易检测不同的平台。在不同威胁程度的环境下，可以有不同的检测标准。

----(2)报表与安装：漏洞检测系统生成的报表是理解系统安全状况的关键，它记录了系统的安全特征，针对发现的漏洞提出需要采取的措施。整个漏洞检测系统还应该提供友好的界面及灵活的配置特性。安全漏洞数据库可以不断更新补充。

----(3)检测后的解决方案：一旦检测完毕，如果发现了漏洞，那么系统可有多种反应机制。预警机制可以让系统发送消息、电子邮件、传呼等来报告发现了漏洞。报表机制则生成综合的报表列出所有的漏洞。根据这些报告可以采用有针对性的补救措施。同侦测系统一样，漏洞检测有许多管理功能,通过一系列的报表可让系统管理员对这些结果做进一步的分析。

----(4)检测系统本身的完整性：同样，这里有许多设计、安装、维护检测系统要考虑的安全问题。安全数据库必须安全，否则就会成为黑客的工具，因此，加密就显得特别重要。由于新的攻击方法不断出现，所以要给用户提供一个更新系统的方法，更新的过程也必须给予加密，否则将产生新的危险。实际上，检测系统本身就是一种攻击，如果被黑客利用，那么就会产生难以预料的后果。因此，必须采用保密措施，使其不会被黑客利用。

实现模型
　

----入侵检测和漏洞检测系统的实现是和具体的网络拓扑密切相关的，不同的网络拓扑对入侵检测和漏洞检测系统的结构和功能有不同的要求。通常情况下该系统在网络系统中可设计为两个部分：安全服务器（Securityserver）和侦测代理（Agent）。

----如附图所示，侦测代理分布在整个网络中，大体上有三种：一是主机侦测代理，二是网络设备侦测代理，三是公用服务器侦测代理。



----主机代理中有主机侦测代理和主机漏洞检测代理两种类型，其中侦测代理动态地实现探测入侵信号，并作出相应的反应；漏洞检测代理检测系统的配置、日志等，把检测到的信息传给安全服务器和用户。

----在网段上有唯一的代理负责本网段的安全。该代理主要完成本网段的入侵检测。

----在防火墙的外部还需有专门的代理负责公用服务器的安全，这些代理也要有侦测代理和主机漏洞检测代理两种类型。在安全服务器上，有一个网络漏洞检测代理从远程对网络中的主机进行漏洞检测。

----入侵检测代理在结构上由传感器、分析器、通信管理器等部件组成。顾名思义，传感器就是安全信息感受器，它侦测诸如多次不合法的登录，对端口进行扫描等信息。传感器中有过滤正常和非正常信息的能力，它只接受有意义的安全信息。分析器首先接收来自传感器的信息，把这些信息同正常数据相比较，将结果送往通信管理器，并动态地作出一定的反应。通信管理器再把这些信息分类，送往安全服务器。

----漏洞检测代理在结构上由检测器、检测单元、通信管理器等部件组成。检测器是检测单元的管理器，它决定如何调度检测单元。检测单元是一系列的检测项，通常是一些脚本文件。通信管理器把检测的结果发给用户和安全服务器。