入侵及入侵檢測系統

Anderson在1980年給出了入侵的定義:入侵是指在非授權的情況下,試圖存取信息、處理信息或破壞系統以使系統不可靠、不可用的故意行為。網路入侵(hacking)通常是指具有熟練地編寫和調試電腦程式的技巧,並使用這些技巧來獲得非法或未授權的網路或檔案訪問,入侵進入公司內部網的行為。早先對計算機的非授權訪問稱為破解(cracking),而hacking則指那些熟練運用計算機的高手對計算機技術的運用。而隨著時間的推移,媒體宣傳導致了hacking變成了入侵的含義。現在hacker則稱為諸如LiI111s Torvalds(Linux之父)、Tim Berners-Lee (現代WWW之父〉及偷竊網路信息等犯罪者的同義詞。

入侵檢測是一項重要的安全監控技術,其目的是識別系統中入侵者的非授權使用及系統合法用戶的濫用行為,儘量發現系統因軟體錯誤、認證模組的失效、不適當的系統管理而引起的安全性缺陷並採取相應的補救措施。

圖5.2是一個不依賴於某些特殊系統、套用環境、系統缺陷和入侵類型的通用型入侵檢測模型。其基本思路為:入侵者的行為和合法用戶的異常行為是可以從合法用戶的正常行為中區別出來的。為定義用戶的正常行為就必須為該用戶建立並維護一系列的行為輪廓配置,這些配置描述了用戶正常使用系統的行為特徵。IDS可以利用這些配置來監控當前用戶活動並與以前的用戶活動進行比較,當一個用戶的當前活動與以往活動的差別超出了輪廓配置各項的門限值時,這個當前活動就被認為是異常的,並且它很可能就是一個入侵行為。