今天讓我們一起來了解一下圍界入侵監(jiān)測的監(jiān)測步驟有哪些吧。
(1)信息收集。入侵檢測的第一步是信息收集,內容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。而且,需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點(不同網(wǎng)段和不同主機)收集信息,這除了盡可能擴大檢測范圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的昂好標識。
當然,入侵檢測很大程度上依賴于收集信息的可靠性和正確性,因此,很有必要只昶用所知道的真正的和精確的軟件來報告這些信息。
因為黑客經(jīng)常替換軟件以搞混和移走這些信息,例如替換被程序調用的子程序、庫和其他工具。黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣,而實際上不是。
例如,UNIX系統(tǒng)的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同于文件的文件(票客隱藏了初始文件并用另一版本代替)。
這需要保證用來檢測網(wǎng)絡系統(tǒng)的軟件的完整性,特別是入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息。
(2)信號分析。對上述四類收集到的有關系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息,一般通過三種技術手段進行分析:模式匹配、統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。