入侵检测:保障系统安全的多维度策略
1. 网络层面的初步防御
在网络安全防护中,防火墙是重要的防线。通过测量异常流量,能够识别可能被入侵的系统。即使流量符合允许的模式,也不能掉以轻心,因为应用程序漏洞利用在攻击服务时通常会使用应用程序的默认端口设置,所以监控流量内容有助于判断其是否具有恶意。不过,需要注意的是,许多公司政策可能会禁止使用实际捕获数据包的网络监控工具。
2. 主机入侵检测方法
当攻击者无法通过网络直接访问系统时,理论上系统是安全的。但网络中的服务器都在提供服务,如果服务所依赖的代码存在漏洞,就可能被攻击者利用。像 Snort 和 ACID 这类工具可以用于检测网络数据包中的攻击尝试,但如果攻击者使用的是这些工具尚未识别的技术,那么在网络层面可能无法察觉入侵,此时就需要采用其他技术来寻找可能的攻击。
2.1 日志文件分析
日志文件是寻找入侵痕迹的一种方法。不过,根据服务器的活动水平,这可能是一项艰巨的任务。如果攻击者是新手,可能会在数千条日志条目中留下一条反映其存在的记录,但如果攻击成功,攻击者可能会故意修改日志文件来隐藏入侵迹象。将日志文件放置在远程 syslog 服务器上可以降低这种清理尝试的影响。像 logsurfer 这样的工具可以帮助筛选大量日志条目,查找已知模式,但并非所有模式都已知,而且很多情况下日志文件会被篡改以消除痕迹。日志文件作为检测入侵的有价值工具,不应被忽视,它有时能提供攻击正在准备的早期预警,仔细审查日志可以发现来自意外来源的异常登录失败或其他系统的端口扫描等信息,这些信息不应被忽略。如果某个特定服务反复失败,可能表明攻击者了解代码中的漏洞,此时应快速检查是否有更新的补丁版本。
