黑客攻防与入侵检测_黑客入侵分析与检测

简述入侵检测常用的四种方法

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1、特征检测

特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2、异常检测

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

扩展资料

入侵分类：

1、基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。

这种类型的检测系统不需要额外的硬件．对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。

2、基于网络

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。

此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。

但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

3、分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。

参考资料来源：百度百科-入侵检测

简述入侵检测的过程

入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为。

是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测主要的局限性是仅仅可检测已知的弱点．对检测未知的入侵可能用处不大。

入侵检测的原理：

异常入侵检测原理构筑异常检测原理的入侵检测系统，首先要建立系统或用户的正常行为模式库，不属于该库的行为被视为异常行为。但是，入侵性活动并不总是与异常活动相符合，而是存在下列4种可能性：入侵性非异常；非入侵性且异常；非入侵性非异常；入侵性且异常。

设置异常的门槛值不当，往往会导致IDS许多误报警或者漏检的现象。IDS给安全管理员造成了系统安全假象，漏检对于重要的安全系统来说是相当危险的。

以上内容参考：百度百科-入侵检测

电脑被黑客侵入后会出现哪些现象?

第一标志：电脑频繁随机弹出窗口。如果你电脑有这样的现象，你可能已经遭到黑客攻击了。您的系统已经遭到破坏。恶意软件可绕过浏览器的抑制随机弹出窗口anti-up的机制。

第二标志，您的浏览器突然多了一个新的工具栏，这是很常见的事情。但是应该警惕了。来路不明的新工具栏，最好还是把它删除。如果不不能轻易的删除它，你可以重新把浏览器设置到默认选项。如果你想添加新的工具栏，在安装时要阅读许可协议，并确保工具栏是合法程序。但绝大多数人都不看许可协议，恶意软件就有了可乘之机。

第三标志：安装意外的软件。安装意外的软件意味着您的计算机系统有可能遭到黑客攻击。早期的恶意软件，大多数程序是计算机病毒。但现在的多数恶意软件程序是木马，这些木马通常很像合法的程序。很多时候这些恶意软件是通过合法安装其他程序时被安装到你的电脑，阅读许可协议是非常重要的。许可协议可能已经表明，他们将会安装一个或者多个其他程序。有时您可选择不安装，有时你没有这种选择。

第四标志：您搜索的页面，跳转到其他网页。许多黑客通过重新定向，让你跳转到其他网站，而这个网站并不是你想浏览的网站。当你点击网页时，黑客即可获取利益。如果您既有假工具栏程序，又被重新定向。你应该仔细察看你的系统，删除恶意程序软件，以摆脱跳转到其他网页的状况。

什么是入侵检测?

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。

它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

检测步骤

(1)信息收集。入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。

而且，需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的昂好标识。

当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只昶用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其他工具。

黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件(票客隐藏了初始文件并用另一版本代替)。

这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。

(2)信号分析。对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。