随着互联网技术和信息技术的飞速发展,网络安全风险系数不断提高,曾经作为最主要网络安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙有益补充的入侵检测系统(IDS),能够帮助网络快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对网络攻击和网络入侵的实时保护。
入侵检测的研究可以追溯到JamesP.Anderson在1980年的工作,他首次提出了“威胁”等术语,这里所指的“威胁”与入侵的含义基本相同,将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问企图,致使系统不可靠或无法使用。1987年DorothyE.Denning首次给出一个入侵检测的抽象模型,并将入侵检测作为一个新的安全防御措施提出。 在过去的20年里,网络技术在不断发展,攻击者攻击能力在不断提高,攻击工具与攻击手法日趋复杂多样,特别是以黑客为代表的攻击者对网络的威胁日益突出,他们不遗余力地与网络安全进行着斗争。攻击技术和手段的不断发展,也促使IDS从一个简单单一的产品发展成为一种网络安全防护的重要手段。
1、网络安全面临的挑战
攻击者可以从容地对那些没有安全保护的网络进行攻击和入侵,如进行拒绝服务攻击、从事非授权的访问、肆意窃取和篡改重要的数据信息、安装后门监听程序以便随时获得内部信息、传播计算机病毒、摧毁主机等。攻击和入侵事件给这些机构和企业带来了巨大的经济损失,甚至直接威胁到国家的安全。攻击者为什么能够对网络进行攻击和入侵呢?原因在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置,主要表现在操作系统、协议、应用程序、网络设备等几个方面。 攻击者常用的入侵方法如下: (1)利用系统的内部缺陷和漏洞
●对于口令字的攻击:口令字是一般安全系统所采取的最简单的安全措施。许多攻击行为从突破口令字入手,有的采用程序强力攻击的办法登录到远程网络,或采用口令字典进行猜测的办法,发现设置十分简单的口令字从而进入到系统。据美国国防部对1995年入侵行为统计表明,有约250000次攻击是由于通过破解口令字造成的。
●系统中协议的脆弱性:在网络运行的许多协议中,有一些协议存在着安全漏洞。如ICMP
(InternetControlMessageProtocol),这种协议很容易被拒绝服务攻击所利用。Ping是ICMP中常用的命令之一,它的连接请求可以被
攻击者利用,发出许多无效的连接请求,可以造成经由的中间主机和被攻击的主机或系统崩溃。IMAP(Internet Message Access Protocol)是网络上另一种常见协议,攻击者可以通过IMAP和POP3取得UNIX系统下的根目录权限,执行各种命令,获取敏感信息和超级用户的权限。TCP/IP握手协商协议也可以被拒绝服务攻击所利用。
●缓冲区溢出:这是对系统危害较大的攻击手段,在许多系统中,应用程序和缓冲区都不检查数据的特性,它允许接受任意长的数据,这可能造成系统的堆栈或缓冲区溢出,造成系统瘫痪。
(2)利用合法的系统管理工具
许多系统为了方便管理员对网络进行管理和控制,开发了许多系统工具,如果这些工具使用不当就会给攻击者以可乘之机,危害网络安全,如Packetsniffer、Portscan等。 (3)利用系统维护阶段的疏忽
互联网技术和信息技术的飞速发展
