计算机安全检测与监控介绍

 三、安全检测与监控

      （一）什么是入侵检测技术
      入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有：入侵——非法用户的违规行为；滥用——用户的违规行为。利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。入侵检测系统的应用，能使在入侵攻击对系统发生危害前，检测到入侵的攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加到知识库内，以增强系统的防范能力。

      （二）入侵检测产品

      经过几年的发展，入侵检测产品开始步入快速的成长期。一个入侵检测产品通常由两部分组成：传感器与控制台。传感器负责采集数据、分析数据并生成安全事件。控制台主要起到中央管理的作用，商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持Windows NT平台。从技术上看，这些产品基本上分为以下几类：基于网络的产品和基于主机的产品。混合的入侵检测系统可以弥补一些基于网络与主机的片面性缺陷。此外，文件的完整性检查工具也可看作是一类入侵检测产品。

      1、基于网络的入侵检测

      基于网络的入侵检测产品放置在比较重要的内段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。

      2、基于主机的入侵检测

      基于主机的入侵检测产品通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑，入侵检测系统就会采取相应的措施。

      3、混合入侵检测

      基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架起一套完整立体的主动防御体系。综合了基于网络和基于主机两种检测系统结构特点的入侵检测系统，既可发现网络中的攻击信息，也可以从系统日志中发现异常情况。

      4、文件完整性检查

      文件完整性检查系统用于检查计算机中自上次检查后文件的变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。文件的数字文摘通过Hash函数计算得到。不管文件长度如何，它的Hash函数计算结果是一个固定长度的数字。与加密算法不同，Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法，如DM5、SHA时，两个不同的文件几乎不可能得到相同的Hash结果。当文件一被修改，就可检测出来。

      （三）安全入侵检测对于预防黑客来说是很重要的

      在网络世界这个已经逐渐变得不安全的地方，我们也在思考着运用各种办法尽量使自己安全。我们的科研人员努力研制出了各种技术，安全检测技术就是一种比较有效的技术，我们只有认真学习其工作原理，了解其优缺点，才能真正做到关注网络世界，为网络世界的安全作出贡献。