|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
入侵检测系统(Intrusion Detection System,IDS)作为防火墙之后的第二道安全屏障,通过从计算机系统或网络中的若干关键点收集网络的安全日志、用户的行为、网络数据包和审计记录等信息并对其进行分析,从中检查是否有违反安全策略的行为和遭到入侵攻击的迹象,入侵检测系统根据检测结果,自动做出响应。IDS的主要功能包括对用户和系统行为的监测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计跟踪,以及违反安全策略的用户行为的检测等。入侵检测通过实时地监控入侵事件,在造成系统损坏或数据丢失之前阻止入侵者进一步的行动,使系统能尽可能地保持正常工作。与此同时,IDS还需要收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
|
|
|
|
入侵检测系统有效地弥补了防火墙系统对网络上的入侵行为无法识别和检测的不足,入侵检测系统的部署,使得在网络上的入侵行为得到了较好的检测和识别,并能够进行及时的报警。然而,随着网络技术的不断发展,网络攻击类型和方式也在发生着巨大的变化,入侵检测系统也逐渐地暴露出如漏报、误报率高、灵活性差和入侵响应能力较弱等不足之处。
|
|
|
|
入侵防御系统(IPS)是在入侵检测系统的基础上发展起来的,入侵防御系统不仅能够检测到网络中的攻击行为,同时能够主动地对攻击行为发出响应,对攻击进行防御。两者相较,主要存在以下两种区别:
|
|
|
|
(1)在网络中的部署位置的不同。IPS一般是作为一种网络设备串接在网络中的,而IDS一般是采用旁路挂接的方式,连接在网络中。
|
|
|
|
(2)入侵响应能力的不同。IDS设备对于网络中的入侵行为,往往是采用将入侵行为记入日志,并向网络管理员发出警报的方式来处理的,对于入侵行为并无主动地采取对应措施,响应方式单一;而入侵防御系统检测到入侵行为后,能够对攻击行为进行主动防御,例如丢弃攻击连接的数据包以阻断攻击会话,主动发送ICMP不可到达数据包、记录日志和动态生成防御规则等多种方式对攻击行为进行防御。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
针对操作系统的监控,如果我们需要监控磁盘管理、文件系统、内存、CPU等方面的内容,下面给出相关的一些监控建议。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
①显示每个文件系统的使用率,检测文件系统空闲空间的大小。
|
|
|
|
②剪裁文件系统——删除指定的CORE文件和其他文件。
|
|
|
|
③显示文件系统的mount on device、type、size等内容。
|
|
|
|
④可以监控特殊的文件系统,如NFS, CD-ROM。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
④显示内存的实存、所有虚存和kernel的状态等信息。
|
|
|
|
|
|
|
|
②监测CPU参数,包括CPU idle, CPU waits, CPU system usage, CPU user usage, run queue length。
|
|
|
|
③显示CPU context switches的总数。
|
|
|
|
④显示CPU处理系统任务和完成用户任务的时间比例。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
编写嵌入式软件有两种选择:一是自己编写内核;二是使用现成的操作系统。如果嵌入式软件只需要完成一项非常小的工作,例如在电动玩具、空调中,就不需要一个功能完整的操作系统。但如果系统的规模较大、功能较复杂,那么最好还是使用一个现成的操作系统。可用于嵌入式系统软件开发的操作系统有很多,但关键是如何选择一个适合开发项目的操作系统,可以从以下几点进行考虑:
|
|
|
|
(1)操作系统提供的开发工具。有些实时操作系统只支持该系统供应商的开发工具,因此,还必须从操作系统供应商处获得编译器、调试器等;而有的操作系统应用广泛,且有第三方工具可用,因此选择的余地比较大。
|
|
|
|
(2)操作系统向硬件接口移植的难度。操作系统到硬件的移植是一个重要的问题,是关系到整个系统能否按期完工的一个关键因素。因此,要选择那些可移植性程度高的操作系统,以避免因移植带来的种种困难。
|
|
|
|
(3)操作系统的内存要求,有些操作系统对内存有较大要求。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
