基于主机的入侵检测系统运行在需要监视的系统上。它们监视系统并判断系统上的活动是否可接受。如果一个网络数据包已经到达它要试图进入的主机,要想准确地检测出来并进行阻止,除防火墙和网络监视器外,还可用第三道防线来阻止,即“基于主机的入侵检测”,其入侵检测结构如下图所示。
基于主机的入侵检测结构
两种基于主机的入侵检测类型是:
●网络监视器。它监视主机的网络连接,并试图判断这些连接是否是一个威胁。并可检查出网络连接表达的一些试图进行的入侵类型。记住,这与基于网络的入侵检测不同,因为它只监视它所运行的主机上的网络通信,而不是通过网络的所有通信。
基于此种原因,它不需要网络接口处于混杂模式。
●主机监视器。它监视文件、文件系统、日志或主机其他部分,查找特定类型的活动,进而判断是否是一个入侵企图(或一个成功的入侵)之后通知系统管理员。
1.监视主机的网络连接
在数据包到达主机系统的网络层之前,检查试图访问主机的数据包是可以的。这种机制试图在到达的数据包能够对主机造成破坏之前,截获该数据包而保护该主机。
可以采取的活动主要有:
●检测试图与未授权的TCP或UDP端口进行的连接。如果试图连接没有服务的端口,这通常表明入侵者在搜索和查找漏洞。(www.xing528.com)
●检测进来的端口扫描。这是一个一定要警惕的问题,并给防火墙发警告或修改本地的IP配置以拒绝可能的入侵者主机的访问。
可以执行这种监视类型的两种软件产品分别是ISS公司的Real Secure和Port Sentry。
2.监视登录活动
尽管管理员已经做了最大努力,同时刚刚配置并不断检查入侵检测软件,但仍然可能有某些入侵者采取目前都不知道的入侵攻击方法进入系统。一个攻击者可以通过各种方法(包嗅探器或其他)获得一个网络密码,从而进入该系统。
查找系统上的“异常”活动是如HostSentry软件的日常工作。这种类型的包监视器发现登录或退出操作,即给系统管理员发送警告,告知该活动是异常的或不希望出现的。
3.监视Root的活动
获得目标系统的超级用户(Root)或管理员的访问权限,是所有入侵者的目标。但除了在特定的时间内对系统进行定期维护外,对如Web服务器或数据库服务器,进行良好的维护和在可靠的系统上对超级用户进行维护,通常是几乎没有或很少进行的活动。但入侵者不信任系统维护,他们很少在定期的维护时间工作,而经常是在上面进行很长时间的活动。他们在该系统上执行很多不一般的操作,有时候比系统管理员执行的还多。
4.监视文件系统
一旦一个入侵者侵入了一个系统(虽然已尽最大努力使得入侵检测系统发挥最佳效果,但也不能完全排除入侵者侵入系统的可能性),就要改变系统的文件。如:一个成功入侵者可能想要安装一个包嗅探器或者端口扫描检测器,或修改一些系统文件或程序,使得系统不能检测出他们在周围进行的入侵活动。在一个系统上安装软件通常包括修改系统的某些部分,这些修改通常包括修改系统上的文件或库。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
