加固Linux系统的安全防线_中_基于内核的LIDS入侵检测技术.pdfVIP

软 件 园 科技浪潮 □ 文｜ 田国航 加固Linux 系统的安全防线(中) 基于内核的LIDS 入侵检测技术 在总第62期 《科技浪潮》“基于 计算机系统中若干关键点的信息，检查网 （Misuse Detection,MD）。它们各有所长，在 netfilter/iptables的软件防火墙”一文的讨 络或系统中是否存在违反安全策略的行为 本文中，我们所要讨论的是一种综合Linux 论中，我们得知防火墙是实施访问控制策 和被攻击的迹象。进行入侵检测的软件与 内核态LIDS模块和用户态管理工具的纯软 略的系统，对流经的网络流量进行检查， 件入侵检测技术。基于网络的入侵检测机 硬件的组合便是入侵检测系统（Intrusion 拦截不符合安全策略的数据包。它旨在拒 Detection System,IDS）。 制将在下期予以介绍。 绝那些明显可疑的网络流量，但仍然允许 一般而言，入侵检测通过网络封包或 某些流量通过，而且防火墙对来自内部的 信息的收集，检测可能的入侵行为，并且 基于内核的入侵检测技术 攻击也无能为力。随着信息安全风险系数 能在入侵行为造成危害前及时发出报警， ——LIDS 不断提高，曾经作为最主要安全防范手段 通知系统管理员并进行相关的处理措施。 随着GNU/Linux系统的普及应用， 的防火墙，已经不能满足人们对网络和系 为了达成这个目的，入侵检测系统应包含 Linux系统存在的一些安全问题被越来越多 统安全的需求。作为防火墙极其有益的补 三个必要功能的组件：信息来源、分析引 地暴露出来。这些问题主要可以分为以下 充，IDS（入侵检测系统）能够帮助网络系 擎和响应组件。 几个方面。 统快速发现恶意攻击，它扩展了系统管理 ●信息来源（Information Source）：为 1）、文件系统未受到保护 员的安全管理能力（包括安全审计、监视、 检测可能的恶意攻击，IDS所检测的网络或 系统中很多重要的文件，例如 /bin/ 进攻识别和响应），提高了信息安全基础 系统必须能提供足够的信息给IDS，资料来 login，一旦黑客入侵后，他可以上传修改 结构的完整性 （如图１所示）。 源收集模组的任务就是要收集这些信息作 过的login文件来代替/bin/login，然后他 为IDS分析引擎的资料输入。 就可以不需要任何登陆名和密码就登陆系 ● 分析引擎（Analysis Engine）：利用 统。这常被称为Trojan house。 统计或规则的方式，找出可能的入侵行为 2）、进程未受到保护 并将事件提供给响应组件。 系统上运行的进程是为某些系统功能 ● 响应模组（Response Component）： 所服务的，例如HTTPD是一个Web服务器 能够根据分析引擎的输出来采取应有的行 来满足远程客户端对于Web的需求。作为 动。通常具有自动化机制，如主动通知系 Web服务器系统，保护其进程不被非法终 统管理员、中断入侵者的连接和收集入侵 止是很重要的。但是当入侵者获得了ROOT 信息等。 权限后，我们却无能为力。 图1入侵检测在企业内网的位置 入侵检测系统依照信息来源收集方式 3）、系统管理未受保护 很多系统管理，例如，模块的装载/ 的不同，可以分为基于主机（Host-Based 什么是IDS