入侵检测系统帮你找出漏洞端口

　据研究显示，木马病毒已占据了病毒总数的90%以上，各种木马病毒在网络上横行，穿梭于各个页面，甚至分布到众多的个人PC之中。种植木马病毒，盗取账号已成为黑客们的主要盈利方式。没有绝对安全的防御措施，所以我们不得不面对系统被入侵这个现实问题，被入侵之后怎么办呢？查杀木马呗，其实远没这么简单，我们不但要杀掉病毒，还要找到漏洞的根源。我们要有这样的意识：“中了木马后，想把他找出来，看看它是用什么端口入侵的。”只有这样才能令系统更安全。这就需要用到入侵检测，下面我们具体看看入侵检测到底是什么。

　　入侵检测：（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。

　　入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

　　入侵检测系统所采用的技术可分为特征检测与异常检测两种。

　　1、特征检测 (Signature-based detection) 又称 Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

　　2、异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

　　入侵检测的主要作用：

　　监督并分析用户和系统的活动

　　检查系统配置和漏洞

　　检查关键系统和数据文件的完整性

　　识别代表已知攻击的活动模式

　　对反常行为模式的统计分析

　　对操作系统的校验管理，判断是否有破坏安全的用户活动。

　　入侵检测系统和漏洞评估工具的优点在于：

　　提高了信息安全体系其它部分的完整性

　　提高了系统的监察能力

　　跟踪用户从进入到退出的所有活动或影响

　　识别并报告数据文件的改动

　　发现系统配置的错误，必要时予以更正

　　识别特定类型的攻击，并向相应人员报警，以作出防御反应

　　可使系统管理人员最新的版本升级添加到程序中

　　允许非专家人员从事系统安全工作

　　为信息安全策略的创建提供指导

　　必须修正对入侵检测系统和漏洞评估工具不切实际的期望：这些产品并不是无所不能的，它们无法弥补力量薄弱的识别和确认机制

　　在无人干预的情况下，无法执行对攻击的检查

　　无法感知公司安全策略的内容

　　不能弥补网络协议的漏洞

　　不能弥补由于系统提供信息的质量或完整性的问题

　　它们不能分析网络繁忙时所有事务

　　它们不能总是对数据包级的攻击进行处理

　　它们不能应付现代网络的硬件及特性

　　入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到用户们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。我们作为终端用户也要养成良好的安全意识，加强防范意识，对出现的问题进行根本的解决，从根源彻底杜绝漏洞。