入侵检测技术综之不可忽视的社会工程学

核心提示： ◆ 异常行为模式的统计分析； ◆ 评估重要系统和数据文件的完整性； ◆ 操作系统的审计跟踪管理，并识别用户违反安全策略的行为，入侵检测技术综之不可忽视的社会工程学(5)， 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，通常来说基

◆ 异常行为模式的统计分析；

◆ 评估重要系统和数据文件的完整性；

◆ 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。

2.入侵检测技术简介

2.1入侵检测系统功能构成

一个入侵检测系统的功能结构如图一所示，它至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。

事件提取功能负责提取与被保护系统相关的运行数据或记录，并负责对数据进行简单的过滤。

入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹，将授权的正常访问行为和非授权的不正常访问行为区分开，分析出入侵行为并对入侵者进行定位。

入侵响应功能在分析出入侵行为后被触发，根据入侵行为产生响应。

由于单个入侵检测系统的检测能力和检测范围的限制，入侵检测系统一般采用分布监视集中管理的结构，多个检测单元运行于网络中的各个网段或系统上，通过远程管理功能在一台管理站点上实现统一的管理和监控。

2.2入侵检测系统分类

入侵检测系统根据其检测数据来源分为两类[7]：基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统从单个主机上提取数据（如审计记录等）作为入侵分析的数据源，而基于网络的入侵检测系统从网络上提取数据（如网络链路层的数据帧）作为入侵分析的数据源。通常来说基于主机的入侵检测系统只能检测单个主机系统，而基于网络的入侵检测系统可以对本网段的多个主机系统进行检测，多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。