免费智能真题库 > 历年试卷 > 电子商务设计师 > 2012年下半年 电子商务设计师 上午试卷 综合知识
  第42题      
  知识点:   入侵检测   入侵检测系统的分类   基于网络的入侵检测系统   基于主机的入侵检测系统   来源   入侵检测系统
  关键词:   入侵检测系统   数据   网络   入侵检测        章/节:   防止非法入侵       

 
根据原始数据的来源入侵检测系统可以分为基于主机的入侵检测系统、基于网络的入侵检测系统和(42)。
 
 
  A.  基于异常入侵检测系统
 
  B.  基于应用的入侵检测系统
 
  C.  基于集中式入侵检测系统
 
  D.  在线检测系统
 
 
 

 
  第42题    2010年下半年  
   49%
在入侵检测技术中,(42)是根据用户的行为和系统资源的使用状况判断是否存在网络入侵。
  第42题    2011年下半年  
   31%
在入侵检测技术中,(42)负责判断并产生警告信息。
  第34题    2020年下半年  
   38%
在入侵检测系统中,( )负责存放各种中间和最终数据。
   知识点讲解    
   · 入侵检测    · 入侵检测系统的分类    · 基于网络的入侵检测系统    · 基于主机的入侵检测系统    · 来源    · 入侵检测系统
 
       入侵检测
               入侵检测的基本概念
               入侵检测技术是一种利用入侵者留下的痕迹,发现来自外部或内部非法入侵的技术。它通过从计算机网络或计算机系统中的关键点收集信息,并进行分析,发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
               入侵检测技术是对入侵行为的发觉,起着主动防御的作用,是网络安全中极其重要的部分。它以探测与控制为技术本质,通过分析、审计记录,识别系统中任何不应该发生的活动,采取相应的措施报告并制止入侵活动。
               入侵检测扮演的是网络安全系统中侦察与预警的角色,能够协助网络管理员发现并处理已知的入侵,通过对入侵检测系统所发出的警报的处理,网络管理员可以有效地配置其他的安全产品,以使整个网络安全系统达到最佳工作状态,尽可能降低因攻击而带来的损失。
               入侵检测系统的组成
               入侵检测系统(Intrusion Detection System,IDS)是进行入侵检测的软件与硬件的组合。入侵检测系统通常由事件产生器、事件分析器、事件数据库、响应单元等基本组件构成。
               (1)事件产生器。事件产生器负责原始数据的采集,它对数据流、日志文件等进行追踪,然后将收集到的原始数据转换为事件,并向系统的其他部分提供此事件。
               (2)事件分析器。事件分析器负责接收事件信息,然后对其进行分析,并判断是否是入侵行为或异常现象,最后将判断结果转为警告信息。
               (3)事件数据库。事件数据库负责存放各种中间和最终数据。它从事件产生器或事件分析器接收数据,一般会将数据进行较长时间的保存。它可以是复杂的数据库,也可以是简单的文本文件。
               (4)响应单元。响应单元根据警告信息做出反应,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
               入侵检测系统的分类
               从不同角度,入侵检测系统有不同的分类。
               (1)根据原始数据来源,可以分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统。
               基于主机的入侵检测系统通过监视与分析主机的审计记录和日志文件来检测入侵,主要用于保护运行关键应用的服务器。
               基于网络的入侵检测系统侦听网络上的所有分组,采集数据,分析可疑现象,主要用于实时监控网络关键路径的信息。
               基于应用的入侵检测系统可以说是基于主机的入侵检测系统的一个特殊子集,也可以说是基于主机入侵检测系统实现的进一步细化,所以其特性、优缺点与基于主机的入侵检测系统基本相同,其主要特征是使用监控传感器在应用层收集信息。
               (2)根据检测原理,可以分为异常入侵检测系统和误用入侵检测系统。
               异常入侵是指能够根据异常行为和使用计算机资源的情况检测出来的入侵。异常入侵检测试图用定量的方式描述可以接受的行为特征,以区分非正常的、潜在的入侵行为。
               误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵,与异常入侵检测不同,误用入侵检测能直接检测不利或不可接受的行为。
               (3)根据体系结构,可以分为集中式入侵检测系统、等级式入侵检测系统和协作式入侵检测系统。
               集中式的入侵检测系统可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。在等级式入侵检测系统中,定义了若干个分等级的监控区域,每个入侵检测系统负责一个区域,每一级入侵检测系统只负责所监控区的分析,然后将当地的分析结果传送给上一级入侵检测系统。协作式入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统,这些入侵检测系统不分等级,各司其职,负责监控当地主机的某些活动。
               (4)根据工作方式,可以分为离线检测系统和在线检测系统。
               离线检测系统是一种非实时工作的系统,在事件发生后分析审计事件,从中检查入侵事件。在线检测对网络数据包或主机的审计事件进行实时分析,可以快速反应,保护系统的安全,但在系统规模较大时,难以保证实时性。
               除此之外,入侵检测系统还有多种其他分类方式。
 
       入侵检测系统的分类
        从不同角度,入侵检测系统有不同的分类。
        (1)根据原始数据来源,可以分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统。
        基于主机的入侵检测系统通过监视与分析主机的审计记录和日志文件来检测入侵,主要用于保护运行关键应用的服务器。
        基于网络的入侵检测系统侦听网络上的所有分组,采集数据,分析可疑现象,主要用于实时监控网络关键路径的信息。
        基于应用的入侵检测系统可以说是基于主机的入侵检测系统的一个特殊子集,也可以说是基于主机入侵检测系统实现的进一步细化,所以其特性、优缺点与基于主机的入侵检测系统基本相同,其主要特征是使用监控传感器在应用层收集信息。
        (2)根据检测原理,可以分为异常入侵检测系统和误用入侵检测系统。
        异常入侵是指能够根据异常行为和使用计算机资源的情况检测出来的入侵。异常入侵检测试图用定量的方式描述可以接受的行为特征,以区分非正常的、潜在的入侵行为。
        误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵,与异常入侵检测不同,误用入侵检测能直接检测不利或不可接受的行为。
        (3)根据体系结构,可以分为集中式入侵检测系统、等级式入侵检测系统和协作式入侵检测系统。
        集中式的入侵检测系统可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。在等级式入侵检测系统中,定义了若干个分等级的监控区域,每个入侵检测系统负责一个区域,每一级入侵检测系统只负责所监控区的分析,然后将当地的分析结果传送给上一级入侵检测系统。协作式入侵检测系统将中央检测服务器的任务分配给多个基于主机的入侵检测系统,这些入侵检测系统不分等级,各司其职,负责监控当地主机的某些活动。
        (4)根据工作方式,可以分为离线检测系统和在线检测系统。
        离线检测系统是一种非实时工作的系统,在事件发生后分析审计事件,从中检查入侵事件。在线检测对网络数据包或主机的审计事件进行实时分析,可以快速反应,保护系统的安全,但在系统规模较大时,难以保证实时性。
        除此之外,入侵检测系统还有多种其他分类方式。
 
       基于网络的入侵检测系统
        基于网络的入侵检测系统,简称为NIDS。NIDS通过侦听网络系统,捕获网络数据包,并依据网络包是否包含攻击特征,或者网络通信流是否异常来识别入侵行为。NIDS通常由一组用途单一的计算机组成,其构成多分为两部分:探测器和管理控制器。探测器分布在网络中的不同区域,通过侦听(嗅探)方式获取网络包,探测器将检测到攻击行为形成报警事件,向管理控制器发送报警信息,报告发生入侵行为。管理控制器可监控不同网络区域的探测器,接收来自探测器的报警信息。一般说来,NIDS能够检测到以下入侵行为:
        . 同步风暴(SYN Flood);
        . 分布式拒绝服务攻击(DDoS);
        . 网络扫描;
        . 缓冲区溢出;
        . 协议攻击;
        . 流量异常;
        . 非法网络访问。
        当前,NIDS的软件产品有许多,国外产品有Session Wall、ISS RealSecure、Cisco Secure IDS等,国内的IDS产品公司有东软集团、北京天融信网络安全技术有限公司、绿盟科技集团股份有限公司、华为技术有限公司等。此外,因特网上有公开源代码的网络入侵检测系统Snort。Snort是轻量型的NIDS,它首先通过libpcap软件包监听(sniffer/logger)获得网络数据包,然后进行入侵检测分析。其主要方法是基于规则的审计分析,进行包的数据内容搜索/匹配。目前,Snort能检测缓冲区溢出、端口扫描、CGI攻击、SMB探测等多种攻击,还具有实时报警功能。
        基于网络的入侵检测系统的优点:
        . 适当的配置可以监控一个大型网络的安全状况;
        . 基于网络的入侵检测系统的安装对已有网络影响很小,通常属于被动型的设备,它们只监听网络而不干扰网络的正常运作;
        . 基于网络的入侵检测系统可以很好地避免攻击,对于攻击者甚至是不可见的。
        基于网络的入侵检测系统的缺点:
        . 在高速网络中,NIDS很难处理所有的网络包,因此有可能出现漏检现象;
        . 交换机可以将网络分为许多小单元VLAN,而多数交换机不提供统一的监测端口,这就减少了基于网络的入侵检测系统的监测范围;
        . 如果网络流量被加密,NIDS中的探测器无法对数据包中的协议进行有效的分析;
        . NIDS仅依靠网络流量无法推知命令的执行结果,从而无法判断攻击是否成功。
 
       基于主机的入侵检测系统
        基于主机的入侵检测系统,简称为HIDS。HIDS通过收集主机系统的日志文件、系统调用以及应用程序的使用、系统资源、网络通信和用户使用等信息,分析这些信息是否包含攻击特征或异常情况,并依此来判断该主机是否受到入侵。由于入侵行为会引起主机系统的变化,因此在实际的HIDS产品中,CPU利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。HIDS一般适合检测以下入侵行为:
        . 针对主机的端口或漏洞扫描;
        . 重复失败的登入尝试;
        . 远程口令破解;
        . 主机系统的用户账号添加;
        . 服务启动或停止;
        . 系统重启动;
        . 文件的完整性或许可权变化;
        . 注册表修改;
        . 重要系统启动文件变更;
        . 程序的异常调用;
        . 拒绝服务攻击。
        HIDS中的软件有许多,下面列举几个例子来说明。
               SWATCH
               SWATCH(The Simple WATCHer and filer)是Todd Atkins开发的用于实时监视日志的PERL程序。SWATCH利用指定的触发器监视日志记录,当日志记录符合触发器条件时,SWATCH会按预先定义好的方式通知系统管理员。SWATCH有一个很有用的安装脚本,可以将所有的库文件、手册页和PERL文件复制到相应目录下。安装完成后,只要创建一个配置文件,就可以运行程序了。
               Tripwire
               Tripwire是一个文件和目录完整性检测工具软件包,用于协助管理员和用户监测特定文件的变化。Tripwire根据系统文件的规则设置,将已破坏或被篡改的文件通知系统管理员,因而常作为损害控制测量工具。
               网页防篡改系统
               网页防篡改系统的基本作用是防止网页文件被入侵者非法修改,即在页面文件被篡改后,能够及时发现、产生报警、通知管理员、自动恢复。其工作原理是将所要监测的网页文件生成完整性标记,一旦发现网页文件的完整性受到破坏,则启动网页备份系统,恢复正常的网页。
               基于主机的入侵检测系统的优点:
               . 可以检测基于网络的入侵检测系统不能检测的攻击;
               . 基于主机的入侵检测系统可以运行在应用加密系统的网络上,只要加密信息在到达被监控的主机时或到达前解密;
               . 基于主机的入侵检测系统可以运行在交换网络中。
               基于主机的入侵检测系统的缺点:
               . 必须在每个被监控的主机上都安装和维护信息收集模块;
               . 由于HIDS的一部分安装在被攻击的主机上,HIDS可能受到攻击并被攻击者破坏;
               . HIDS占用受保护的主机系统的系统资源,降低了主机系统的性能;
               . 不能有效地检测针对网络中所有主机的网络扫描;
               . 不能有效地检测和处理拒绝服务攻击;
               . 只能使用它所监控的主机的计算资源。
 
       来源
        (1)由信息技术支持工程师提供。召集有经验的信息技术支持工程师,要求他们提供知识库的内容,知识库的建立并不是某个人智慧的积累,毕竟一个人的知识和经验有限,我们需要在企业中营造这样一种乐意共享自身知识的氛围,能够提供有效知识条目的工程师能够获得奖励。发布一系列奖惩和鼓励措施。
        (2)从过往的事件和问题的处理日志中提炼。事件与问题的处理过程需要详细记录,能为下一次处理相同事件提供指导和参考。知识库内容可以从这些处理日志中提炼后获得,事件处理步骤的详细记录对于知识库内容的建立有着重要的帮助。
 
       入侵检测系统
        入侵检测系统(Intrusion Detection System, IDS)可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络连接等。
        1)基本概念
        入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。对于入侵检测而言的网络攻击可以分为以下4类。
        (1)检查单IP包(包括TCP、UDP)首部即可发觉的攻击,如winnuke、ping of death、land.c、部分OS detection、source routing等。
        (2)检查单IP包,并同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞、缓存溢出攻击等。
        (3)通过检测发生频率才能发觉的攻击,如端口扫描、SYN Flood、smurf攻击等。
        (4)利用分片进行的攻击,如teadrop、nestea、jolt等。
        进行入侵检测的软件与硬件的组合就是入侵检测系统。入侵检测系统的原理模型如下图所示。入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
        
        入侵检测系统的原理模型
        2)任务
        入侵检测系统执行的主要任务包括监视、分析用户及系统活动;审计系统构造的弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
        3)步骤
        入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应(被动响应和主动响应)。
        信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。
        数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。
        入侵检测系统在发现入侵后会及时做出响应,包括切断网络连接、记录事件和报警等。响应一般分为主动响应(阻止攻击或影响进而改变攻击的进程)和被动响应(报告和记录所检测出的问题)两种类型。
        4)入侵检测系统技术
        可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录,识别特定的模式,生成检测报告和最终的分析结果。
        发现入侵检测一般采用如下两项技术。
        (1)异常发现技术。异常发现技术假定所有入侵行为都是与正常行为不同的。它的原理是,假设可以建立系统正常行为的轨迹,所有与正常轨迹不同的系统状态则视为可疑企图。异常阈值与特征的选择是其成败的关键。其局限在于:并非所有的入侵都表现为异常,而且系统的轨迹难以计算和更新。
        (2)模式发现技术。模式发现技术是假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,所有已知的入侵方法都可以用匹配的方法发现。模式发现技术的关键是如何表达入侵的模式,以正确区分真正的入侵与正常行为。模式发现的优点是误报少;局限是只能发现已知的攻击,对未知的攻击无能为力。
        5)入侵检测系统的分类
        通常,入侵检测系统按其输入数据的来源分为以下3类。
        (1)基于主机的入侵检测系统。其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵。
        (2)基于网络的入侵检测系统。其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵。
        (3)分布式入侵检测系统。能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,系统由多个部件组成,采用分布式结构。
        另外,入侵检测系统还有其他一些分类方法。如根据布控物理位置可分为基于网络边界(防火墙、路由器)的监控系统、基于网络的流量监控系统以及基于主机的审计追踪监控系统;根据建模方法可分为基于异常检测的系统、基于行为检测的系统和基于分布式免疫的系统;根据时间分析可分为实时入侵检测系统和离线入侵检测系统。
        6)入侵检测的方法
        入侵检测的方法主要有以下几种。
        (1)静态配置方法。静态配置方法通过检查系统的当前配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息),而不是系统中的活动。所以,采用静态配置分析方法需要尽可能了解系统的缺陷,否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。
        (2)异常性检测方法。异常性检测技术是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是,在许多环境中,为用户建立正常行为模式的特征轮廓,以及确定用户活动的异常性报警的阈值都是比较困难的事,所以仅使用异常性检测技术不可能检测出所有的入侵行为。
        (3)基于行为的检测方法。通过检测用户行为中那些与已知入侵行为模式类似的行为,以及那些利用系统的缺陷或间接违背系统安全规则的行为,来判断系统中的入侵活动。
        入侵检测方法虽然能够在某些方面取得好的效果,但总体看来各有不足,因而越来越多的入侵检测系统都同时采用几种方法,以互补不足,共同完成检测任务。
        7)入侵检测系统的结构
        目前,CIDF(通用入侵检测架构组织)和IETF都试图对入侵检测系统进行标准化。CIDF阐述了一个入侵检测系统的通用模型,将入侵检测系统分为以下4个组件。
        (1)事件产生器。CIDF将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。事件产生器是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
        (2)事件分析器。事件分析器分析得到的数据,并产生分析结果。
        (3)响应单元。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以是简单的报警。
        (4)事件数据库。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
        在这个模型中,前三者以程序的形式出现,而最后一个常是文件或数据流。入侵检测系统的几个组件常位于不同的主机上。一般会有3台机器,分别运行事件产生器、事件分析器和响应单元。
        8)入侵检测系统的标准化
        IETF的Internet草案工作组(IDWG)专门负责定义入侵检测系统组件之间,以及不同厂商的入侵检测系统之间的通信格式,目前只有相关的草案(Draft),还未形成正式的RFC文档。IDWG文档有以下4类。
        (1)入侵警报协议(IAP)。该协议是用于交换入侵警报信息、运行于TCP之上的应用层协议。
        (2)入侵检测交换协议(IDXP)。这个应用层协议是在入侵检测实体间交换数据,提供入侵检测报文交换格式(IDMEF)报文、无结构的文本和二进制数据的交换。
        (3)IDMEF。IDMEF是数据存放格式隧道(Tunnel)文件,允许块可扩展交换协议(Beep)对等体能作为一个应用层代理,用户通过防火墙得到服务。
        (4)IAP。IAP是最早设计的通信协议,它将被IDXP替换,IDXP建立在Beep基础之上,Tunnel文件配合IDXP使用。
        9)IDS与防火墙的比较
        IDS不同于防火墙的是,它是一个监听设备,没有挂接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的Hub式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:尽可能靠近攻击源和受保护资源。这些位置通常是:服务器区域的交换机,Internet接入路由器之后的第一台交换机,重点保护网段的局域网交换机等。两者的不同点如下表所示。
        
        IDS与防火墙功能的比较
   题号导航      2012年下半年 电子商务设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第42题    在手机中做本题