基于主机的入侵检测系统有哪些
按照检测对象的不同,基于主机的入侵检测系统可以分为两类:网络连接检测和主机文件检测。
1.网络连接检测
网络连接检测是对试图进入该主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害。
网络连接检测可以有效地检测出是否存在攻击探测行为,攻击探测几乎是所有攻击行为的前奏。系统管理员可以设置好访问控制表,其中包括容易受到攻击探测的网络服务,并且为它们设置好访问权限。如果入侵检测系统发现有对未开放的服务端口进行网络连接,说明有人在寻找系统漏洞,这些探测行为就会被入侵检测系统记录下来,同时这种未经授权的连接也被拒绝。
2.主机文件检测
通常入侵行为会在主机的各种相关文件中留下痕迹,主机文件检测能够帮助系统管理员发现入侵行为或入侵企图,及时采取补救措施。
主机文件检测的检测对象主要包括以下几种:
(1)系统日志。系统日志文件中记录了各种类型的信息,包括各用户的行为记录。如果日志文件中存在异常的记录,就可以认为已经或正在发生网络入侵行为。这些异常包括不正常的反复登录失败记录、未授权用户越权访问重要文件、非正常登录行为等。
(2)文件系统。恶意的网络攻击者会修改网络主机上包含重要信息的各种数据文件,他 们可能会删除或者替换某些文件,或者尽量修改各种日志记录来销毁他们的攻击行为可能留下的痕迹。如果入侵检测系统发现文件系统发生了异常的改变,例如一些受限访问的目录或文件被非正常地创建、修改或删除,就可以怀疑发生了网络入侵行为。
(3)进程记录。主机系统中运行着各种不同的应用程序,包括各种服务程序。每个执行中的程序都包含了一个或多个进程。每个进程都存在于特定的系统环境中,能够访问有限的系统资源、数据文件等,或者与特定的进程进行通信。黑客可能将程序的进程分解,致使程序中止,或者令程序执行违背系统用户意图的操作。如果入侵检测系统发现某个进程存在着异常的行为,就可以怀疑有网络入侵。