網(wǎng)絡(luò)入侵檢測是對入侵行為的檢測����。它通過收集和分析網(wǎng)絡(luò)行為、安全日志��、審計數(shù)據(jù)�����、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象��。入侵檢測作為一種積極主動地安全防護技術(shù)�����,提供了對內(nèi)部攻擊�、外部攻擊和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵�。因此被認為是防火墻之后的第二道安全閘門�,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測。入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn):監(jiān)視�����、分析用戶及系統(tǒng)活動;系統(tǒng)構(gòu)造和弱點的審計;識別反映已知進攻的活動模式并向相關(guān)人士報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理�,并識別用戶違反安全策略的行為。
從系統(tǒng)結(jié)構(gòu)上來看�����,入侵檢測系統(tǒng)至少包括信息源��、分析引擎和響應(yīng)三個功能模塊��。信息源為分析引擎提供原始數(shù)據(jù)進行入侵分析;分析引擎執(zhí)行實際的入侵或異常行為檢測;分析引擎的結(jié)果提交給響應(yīng)模塊,響應(yīng)模塊采取必要和適當?shù)拇胧?����,阻止進一步的入侵行為或回復受損害的系統(tǒng)��。
架構(gòu)
無線入侵檢測系統(tǒng)用于集中式和分散式兩種����。集中式無線入侵檢測系統(tǒng)通常用于連接單獨的sensors ,搜集數(shù)據(jù)并轉(zhuǎn)發(fā)到存儲和處理數(shù)據(jù)的中央系統(tǒng)中���。分散式無線入侵檢測系統(tǒng)通常包括多種設(shè)備來完成IDS的處理和報告功能�。分散式無線入侵檢測系統(tǒng)比較適合較小規(guī)模的無線局域網(wǎng)����,因為它價格便宜和易于管理。當過多的sensors需要時有著數(shù)據(jù)處理sensors花費將被禁用��。所以�����,多線程的處理和報告的sensors管理比集中式無線入侵檢測系統(tǒng)花費更多的時間�����。
IDS是計算機的監(jiān)視系統(tǒng)���,它通過實時監(jiān)視系統(tǒng)��,一旦發(fā)現(xiàn)異常情況就發(fā)出警告��。以信息來源的不同和檢測方法的差異分為幾類:根據(jù)信息來源可分為基于主機IDS和基于網(wǎng)絡(luò)的IDS�����,根據(jù)檢測方法又可分為異常入侵檢測和誤用入侵檢測。不同于防火墻��,IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備��,沒有跨接在任何鏈路上����,無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作���。因此�,對IDS的部署�����,唯一的要求是:IDS應(yīng)當掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上��。在這里����,"所關(guān)注流量"指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進行統(tǒng)計���、監(jiān)視的網(wǎng)絡(luò)報文。在如今的網(wǎng)絡(luò)拓撲中,已經(jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò),絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)�。因此,IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置�。這些位置通常是:服務(wù)器區(qū)域的交換機上;Internet接入路由器之后的第一臺交換機上;重點保護網(wǎng)段的局域網(wǎng)交換機上��。由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展�,許多公司投入到這一領(lǐng)域上來����。Venustech(啟明星辰)����、Internet Security System(ISS)��、思科���、賽門鐵克等公司都推出了自己的產(chǎn)品��。
這種GSM通話加密漏洞已經(jīng)存在好幾年了,而這種方式主要是通過如下的方式��。黑客只要發(fā)送一條偽裝成自于運營商的短信,他就能收到一條手機返送的錯誤信息,其中包含了算出該SIM卡數(shù)字密鑰的所有必要信息��。算出數(shù)字密匙之后,再發(fā)送一條短信他就能夠竊聽通話����、竊取所有數(shù)據(jù),或是控制手機進行發(fā)送短信和購買等操作。而這種破解方式只要在一部普通的計算機里兩分鐘就可以搞定����。當然這些只是針對較老數(shù)據(jù)加密標準(DES)的SIM卡,更新的三重DES標準則不受影響�����。
其次��,sim卡如果被黑客攻擊入侵�,可以去營業(yè)點下載最近一段時間的通話記錄和短信記錄、上網(wǎng)記錄等��,發(fā)現(xiàn)有不正常的號碼經(jīng)常出現(xiàn)也意味著被入侵過���。
所以最好的預防sim卡被黑客入侵的方法就是盡量減少sim卡的更換�����,尤其是對于新買回來的sim卡一定要妥善處理,將序列號等其他相關(guān)號碼收藏起來�����,不要隨便亂扔。對于已經(jīng)沒用的或者已經(jīng)無法使用的sim卡也不要隨手丟棄��,以免被不法分子拾到進行交易�。
入侵檢測系統(tǒng)用于檢測系統(tǒng)異常���,目的是想在黑客對網(wǎng)絡(luò)還沒有造成實質(zhì)損害時捕獲他們�����。這種系統(tǒng)可以是基于網(wǎng)絡(luò)的也可以是基于主機的����?�;谥鳈C的入侵檢測系統(tǒng)安裝在客機上�,而基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)位于網(wǎng)絡(luò)上
入侵檢測系統(tǒng)的工作是尋找已知攻擊的簽名以及違反常規(guī)的活動����。這些異常被壓入堆棧���,在協(xié)議層和應(yīng)用層進行檢測���。入侵檢測系統(tǒng)可以有效的檢測出如“圣誕樹”掃描�,域中毒以及畸形信息包等����。
SNOPT是一個不錯的基于網(wǎng)絡(luò)的檢測系統(tǒng)�����,它是免費的可以運行于Linux和Windows兩種系統(tǒng)��。安裝一個簡單方法是開辟一個端口�,并允許該端口獲取所有穿過該節(jié)點的信息。把SNOPT安裝在你選擇的系統(tǒng)上����,然后通過“只接收”網(wǎng)線把它連入網(wǎng)絡(luò)。完成對它的規(guī)則設(shè)置后就可以使用。
