帐户|非法获取计算机信息系统数据罪-入侵检测的发展方向及安全防范_网络安全|博览会|安周|中央宣

非法获取计算机信息系统数据罪-入侵检测的发展方向及安全防范

来源：长昊商业秘密律师（非法获取计算机信息系统数据罪、非法获取计算机信息系统数据）

一、计算机网络存在的安全问题

导致计算机网络信息安全受到成胁的主要是黑客的入侵,而根本原因在于网络存在安全问题,主要表现在:

(一) 固有的安全漏洞和不正确的系统维护措施。
现在,新的操作系统或应用软件刚一上市,漏洞就已被找出。没有任何一个系统可以排除漏洞的存在,想要修补所有的漏洞简直比登天还难。缓冲区溢出。这是攻击中最容易破利用的系统漏洞。很多系统不检查程序与缓冲区间的变化的情况下,就接收任何长度的数据输入,把溢出部分放住堆栈内,系统还照常执行命令。系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击,但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时,管理人员应仔细分析危险程度,并马上采取补救措施。有时候,虽然我们已经对系统进行了维护,对软件进行了更新或升级,但由于路由器及防火墙的过滤规则过于复杂,系统又可能会出现新的漏洞。所以,及时、有效地改变管理可以大大降低系统所承受的风险。

(二) 合法工具的滥用和低效的系统设计与检测能力。
大部分系统都配备了用以改进系统管理及服务质量的工具软件,但遗憾的是,这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度:例如:NBTSTAT命令是用来给系统管理员提供远程节点的信息的。但是破坏者也用达一命令收集对系统有威胁性的信息,例如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。另一个最常被利用的工具是网包嗅探器,系统管理员用此工具来监控及分发网包,以便找出网络的潜在问题。黑客如要攻击网络,则先把网卡变成功能混杂的设备,截取经过网络的包(包括所有未加密的口令和其他敏感信息),然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。在不重视信息保护的情况下设计出来的安全系统会非常“不安全”,而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务,并且需要妥善的管理。

文章插图
二、入侵检测概述及其分类

（一）入侵检测概述。入检检测是对入侵行为的发觉,是基于入侵者的行为不同于合法用户的行为,并且是通过可量化的方式表现出来的,假定它从计算机网络或计算机系统中的若干个关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
(二)入侵检测技术分类。进行入侵检测的软件和硬件组合就是入侵检测系统,入侵检测技术主要有两种分类方法:按检测的数据来源分类和按采用的检测机制分类。

1、按照检测数据的来源,可将入侵检测技术分为基于主机的入侵检测(HID)和基于网络的入侵检测(NID)。基于主机的入侵检测技术的数据来自要检测的主机或系统,它对计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计纪录等进行分析,从而发现异常和越权行为。基于网络的入侵检测技术的数据来自网络上的数据包,通常将一台计算机上的网卡设置成混杂模式,实进监听所在网段内的数据包并进行分析。
2、按照所采用的检测机制,入侵检测技术可分为异常检测技术和误用检测技术。异常检测技术基于一种假设:入侵行为是异常行为的一个子集。异常检测在建立了正常行为统计模式以后,对系统行为、用户行为进行统计,并与已知的正常行为模式进行比较,当发现系统行为或用户行为与其正常行为在统计意义上显著偏离时,就认为发生了异常行为,进而怀疑有入侵行为发生。误用检测系统将已知的攻击行为和攻击方式模型化,并作为系统知识库,在用户行为中检测、查找这些模式。