入侵检测系统的信息收集

时间：2013-8-18

入侵检测的基础是信息收集,内容包括系统,网络,数据及用户活动的状态和行为.而且,需要在计算机网络系统中的若干不同关键点收集信息,尽可能扩大检测范围,当然,入侵检测很大程序上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息,因此黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序,库和其他工具,黑客对系统的修改可能使系统功能扮演但表面上看起来跟正常的一样,例如,UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件,这需要保证用来检测网络系统的软件的完整性,特别是是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息.入侵检测利用的信息一般来自以下4个方面;
1.系统和网络日志文件
  黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件,日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统,通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序.
2.目录和文件中的不期望的改变
  网络环境中的文件系统包含了很多软件和数据文件,其中包含有重要信息的文件和私有数据文件经常是黑客修改或破坏的目标,目录和文件中的不期望的改变,特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号.
3.程序执行中的不期望行为
  网络系统上的程序执行一般包括操作系统,网络服务,用户启动的程序和特定目的的应用,例如数据库服务器,每个在系统上执行的程序由一到多个进程来实现
4.物理形式的入侵信息
   包括两个方面的内容,一是未授权的对网络硬件的连接;二是对物理资源的未授权访问,黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件,由此,黑客就可以知道网上的由用户加上去的不安全设备,然后利用这些设备访问网络.