现在随着时代的发展互联网事业飞速发展,诞生出很多依靠互联网创业的年轻人。他们的网站就是他们他们的事业。而现在也有很多破坏者,他们运用自己的黑客渗透入侵技术,破坏这些年轻创业者的网站,甚至把他们的网站据为己有。入侵检测的重要性,之前我也有讲过了,现在我就来和大家简单的分析一下,什么是入侵检测,以及几个享有好评的入侵监测系统。
入侵检测系统通俗来讲,就是一种就是对所有的网络传输系统进行即时监控的一种系统,在系统发现可疑的传输信号的时候,发出警报,或者直接采取主动的反应措施的网络安全设施。他与一般的网络安全设施有所不同的地方就是,入侵监测系统是一种可以采取积极主动的安全防护技术。
入侵检测系统(IDS)可以检查几乎所有你的网络空间的进入以及发出的网络活动,并且确认他的可疑模式,入侵检测系统能够利用这种可以的模式,来指明想要进入你的系统进行破坏的网络攻击或者系统攻击。入侵检测系统不同于防火墙,主要的区别是防火墙关注的重点是阻止入侵行为的发生。而入侵监测系统却是可以在入侵发生的时候,对入侵的黑客的入侵等级进行评估,并且向你已经入侵的黑客发出警报。而且入侵检测系统还可以持续观察来源自系统内部的攻击,这点防火墙就做不到。所以从这个方面来讲,入侵监测系统在安全工作方面要比防火墙做得更好,更加的全面。接下来再来说说几个比较著名的入侵检测系统:
1.Snort:这是好评较高的开源IDS,它是采用灵活的最基本的语言来描述所有的网络信号源,将签名、协议和不正常行为结合在一起的进行全方位的检测。而且他的更新速度极快,成为全球部署最为广泛的入侵检测技术,并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处理程序,Snort可以检测几乎是所有的的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意,用户需要检查免费的BASE来分析Snort的警告。
2.OSSEC HIDS:这一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外,它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎,互联网供应商、大学和数据中心都乐意运行 OSSEC HIDS,以监视和分析其防火墙、IDS、Web服务器和身份验证日志
3.Fragroute/Fragrouter:是一个能够逃避网络入侵检测的工具箱,这是一个自分段的路由程序,它能够截获、修改并重写发往一台特定主机的通信,可以实施多种攻击,如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集,可以对发往某一台特定主机的数据包延迟发送,或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲,这个工具是用于协助测试网络入侵检测系统的,也可以协助测试防火墙,基本的TCP/IP堆栈行为。可不要滥用这个软件呵。
4.BASE:又称基本的分析和安全引擎,BASE是一个基于PHP的分析引擎,它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口,这种接口能够发现不同匹配模式的警告,还包括一个数据包查看器/解码器,基于时间、签名、协议、IP地址的统计图表等。
5.Sguil:这是一款被称为网络安全专家监视网络活动的控制台工具,它可以用于网络安全分析。其主要部件是一个直观的GUI界面,可以从 Snort/barnyard提供实时的事件活动。还可借助于其它的部件,实现网络安全监视活动和IDS警告的事件驱动分析。
经过以上的分析,我相信大家对入侵检测系统已经有了一个大概的了解。但是这些系统也不是绝对完美的,有矛就会有盾。也有一些厉害的黑客,能够运用自己的知识技能,对你进行攻击。盾于矛都有了,接下来就看运用它们的人怎么发挥了。