入侵检测技术综之不可忽视的社会工程学

核心提示： 2.2.2基于网络的入侵检测系统 基于网络的入侵检测系统通过网络监视来实现数据提取，在Internet中，入侵检测技术综之不可忽视的社会工程学(7)，局域网普遍采用IEEE 802.3协议，该协议定义主机进行数据传输时采用子网广播的方式，网络监视的主要问题是监视数据量过于庞大并且它不能结合

2.2.2基于网络的入侵检测系统

基于网络的入侵检测系统通过网络监视来实现数据提取。在Internet中，局域网普遍采用IEEE 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式，任何一台主机发送的数据包，都会在所经过的子网中进行广播，也就是说，任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下，主机的网卡对每一个到达的数据包进行过滤，只将目的地址是本机的或广播地址的数据包放入接收缓冲区，而将其他数据包丢弃，因此，正常情况下网络上的主机表现为只关心与本机有关的数据包，但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略，使网卡能够接收经过本网段的所有数据包，无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式，目前绝大部分网卡都提供这种设置，因此，在需要的时候，对网卡进行合理的设置就能获得经过本网段的所有通信信息，从而实现网络监视的功能。在其他网络环境下，虽然可能不采用广播的方式传送报文，但目前很多路由设备或交换机都提供数据报文监视功能。

网络监视具有良好的特性：理论上，网络监视可以获得所有的网络信息数据，只要时间允许，可以在庞大的数据堆中提取和分析需要的数据；可以对一个子网进行检测，一个监视模块可以监视同一网段的多台主机的网络行为；不改变系统和网络的工作模式，也不影响主机性能和网络性能；处于被动接收方式，很难被入侵者发现；可以从低层开始分析，对基于协议攻击的入侵手段有较强的分析能力。网络监视的主要问题是监视数据量过于庞大并且它不能结合操作系统特征来对网络行为进行准确的判断。

由于基于网络的入侵检测方式具有较强的数据提取能力，因此目前很多入侵检测系统倾向于采用基于网络的检测手段来实现。