IDS入侵特征库创建实例解析　　IDS要有效地捕捉入侵行为，必须拥有一个强大的入侵特征数据库，这就如同公安部门必须拥有健全的罪犯信息库一样。但是，IDS一般所带的特征数据库都比较死板，遇到“变脸”的入侵行为往往相逢不相识。因此，管理员有必要学会如何创建满足实际需要的特征数据样板，做到万变应万变！本文将对入侵特征的概念、...

[阅读全文]

用LIDS增强系统安全4.4权限保护　　Capabilities类似于赋予进程的权限，root方式拥有所有权限，但存在权限绑定设置。在普通的内核中，当你从绑定设置中删除一个权限，再也没有人可以使用它了，直到下次重新启动。(关于普通使用可以参考http://www.netcom.com/spoon/lcap)。　　LID...

[阅读全文]

用LIDS增强系统安全4.配置LIDS系统　　4.1LIDS配置目录--“/etc/lids/”　　安装lidsadm以后，在/etc/lids/下会产生一个lids配置目录，当内核启动时，配置信息将被读入内核中来初始化LIDS系统。lids.conf这是用来储存LIDSACLs信息的文件。它包括定义事件进入类型的AC...

[阅读全文]

用LIDS增强系统安全3.建立安全的Linux系统　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。　　3.1下载LIDS补丁和相关正式的Linux内核　　可以从LIDSHome，LIDSFtpHome或最近的LIDSMirror获得LIDS补丁和系统管理工具。　　补丁名称是lids-x.xx...

[阅读全文]

用LIDS增强系统安全LIDS(Linux入侵侦察系统)是Linux内核补丁和系统管理员工具(lidsadm)，它加强了Linus内核。它在内核中实现了一种安全模式--参考模式以及内核中的MandatoryAccessControl（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统...

[阅读全文]

如何构建一个入门级入侵检测系统　　通常来说，一个企业或机构准备进军此领域时，往往选择从基于网络的IDS入手，因为网上有很多这方面的开放源代码和资料，实现起来比较容易，并且，基于网络的IDS适应能力强。有了简单网络IDS的开发经验，再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此，笔者将以基...

[阅读全文]

免费NIDS的构建与应用三、系统部署及运行本系统被部署在网络服务器所处的DMZ区，用来监控来自互联网和内网的网络流量。负责监控的网络探测器Snort使用无IP地址的网卡进行监听，以保证NIDS自身的安全;通过另一块网卡接入内网，并为其分配内网所使用的私有IP地址，以便从内网访问分析控制台程序ACID。通过启用Apach...

[阅读全文]

免费NIDS的构建与应用二、安装与配置在正式进行软件安装之前，请检查系统，确保拥有符合ANSI标准的C/C++编译器等软件开发工具。1．安装入侵事件数据库MySQL首先，以超级用户的身份登录系统，创建MySQL用户和MySQL用户组;然后，以MySQL身份登录，按照缺省配置将MySQL安装在/usr/local目录下；...

[阅读全文]

免费NIDS的构建与应用在“免费与付费IDS孰优孰劣？”一文，针对免费与付费IDS的不同，为用户介绍了免费或付费IDS的选购要点，下面我们以免费IDS为例，具体介绍如何构建和应用免费NIDS。一般说来，一个典型的网络攻击是以大量的端口扫描等手段获取所攻击对象的信息的，这个过程必然产生大量异常的网络流量，它预示着即将到来...

[阅读全文]

分布式IDS主要是指多种IDS的协同工作.在一个网络拓扑之中,HostBase和networkBasedIDS由于位置的不同,是无法互相代替的,由于攻击都是阶段性的,各个阶段的行为之间都是有联系的.所以可以基于这种异构IDS之间的协同达到检测攻击的作用.你可以想像IDS被细化和分割,形成很多小的数据源,每一个都有独立的...

[阅读全文]

　　1.什么是入侵检测，为什么需要入侵检测？　　1.1为什么需要入侵检测　　1.1.1黑客攻击日益猖獗，防范问题日趋严峻　　随着计算机技术的发展，在计算机上处理业务已由基于单机的数学运算、文件处理，基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统...

[阅读全文]

　　内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置，从而增强了内联网的安全性，有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用，下面笔者根据安全监控高风险事件来分析问题、提出对策，以供大家参考。　　事...

[阅读全文]

　　自从计算机以网络方式被连接开始，网络安全就成为一个重大问题，随着INTERNET的发展，安全系统的要求也与日俱增，其要求之一就是入侵检测系统。　　本文旨在介绍几种常见的入侵检测系统及其理论和实践，需要指出的是，本文仅仅是一篇介绍性的文章,即使我推荐了许多可能的系统，在你相信其可靠性前，还需要深入的研究做更近一步研究...

[阅读全文]

　　本文向大家介绍一些IDS技术术语，其中一些是非常基本并相对通用的，而另一些则有些生僻。由于IDS的飞速发展以及一些IDS产商的市场影响力，不同的产商可能会用同一个术语表示不同的意义，从而导致某些术语的确切意义出现了混乱。对此，本文会试图将所有的术语都囊括进来。随着IDS（入侵检测系统）的超速发展，与之相关的术语同样...

[阅读全文]

　　随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。　　一、入侵检测系统（I...

[阅读全文]

引言：63v海岸线网络安全资讯站我的一个好朋友前两天和我聊天的时候告诉我了一个故事：他在网上认识了一个人，告诉说自己是个网络黑客，而且说目前在国内没有进不去的主机。我的朋友被震住了，这样的水平太高了，但同时又心有疑虑。通过修改了自己FreeBSD的一些配置如banner以及用nc开了一些服务并备份删除了一些suid文件...

[阅读全文]

浅析网络入侵监测系统-IDS的应用　　（2）执行式样比对　　使用ngrep拦截网络资料往来很简单。然而，分析捕捉到的资料并从中抽取URL则略具难度。因为ngrep将资料输出拆成一行一行的，所以我们必须额外耗费很多精力，去重组输出的资料，并将该资料中的URL与已知的网络攻击行为模式做比对。　　此时，我向大家介绍另一个用来...

[阅读全文]

浅析网络入侵监测系统-IDS的应用很多文章介绍了如何通过建立，改善，以及分析服务器日记文件的种种方式，监测出来黑客入侵行为，但这些都是过去式，都是在入侵发生后你才知道存在这种行为而加以防范。最好的方法是能够在当场就能监测出恶意的网络入侵行为，并且马上采取防范反击措施加以纠正。因此即时监测黑客入侵行为并以程序自动产生响应...

[阅读全文]

主机入侵监测产品IDS应用示例　　海信数码科技有限公司的主机入侵监测产品IDS作为网络入侵监测工具，因为IDS对网络的流量有一定的限制，在网络安装过多的IDS时，将会对网络速度有较大的影响，所以根据网络的实际情况及安全性的要求，我们综合考虑了这两种需求，并做出了以下的布署方案。　　在每台需要保护的主机（如WWW服务器）...

[阅读全文]

入侵检测(IDS)系统　　ITA和防火墙　　防火墙会产生其它的连接问题。如果你试图连接处于防火墙保护下的代理，通常会因为防火墙只允许某些流量通过而失败。为了解决上述问题，请为该连接定义防火墙规则。　　定义策略和建立规则　　一旦你定义了策略，便可以开始使用它。你可以观看在PolicyLibrarytree下的策略。然而，...

[阅读全文]

入侵检测(IDS)系统　　LIDS能够保护什么？　　快速的浏览LIDS的文档就可以了解LIDS的一系列特性。而我认为下面的这些特性是最重要的：　　CAP_LINUX_IMMUTABLE当文件和外那间系统被标识"immutable"防止被写；CAP_NET_ADMIN防止篡改网络配置（例如：防止路由表被修改）；　　CAP...

[阅读全文]

入侵检测(IDS)系统　　配置LIDS:　　有一条特别要引起注意：在你的系统的下一次重启之前就应该配置好LIDS！我们应该使用lidsam来配置LIDS的配置文件/etc/lids.conf，而不能手动的修改。运行"lidsadm-h"可以获得一些关于如何使用lidsadm这个程序的帮助。LIDS提供了很多使用LIDS...

[阅读全文]

入侵检测(IDS)系统　　基于内核的入侵检测　　基于内核的入侵检测是一种相当巧妙的新型的Linux入侵检测系统。现在最主要的基于内核的入侵检测系统叫做LIDS。　　什么是LIDS？LIDS是一种基于Linux内核的入侵检测和预防系统。　　LIDS的保护目的是防止超级用户root的篡改系统重要部分的。LIDS主要的特点是...

[阅读全文]

入侵检测(IDS)系统　　入侵检测产品选择要点　　当您选择入侵检测系统时，要考虑的要点有：　　1.系统的价格　　当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素。　　2.特征库升级与维护的费用　　象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。　　3.对于网络...

[阅读全文]

入侵检测(IDS)系统　　专家系统　　用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关...

[阅读全文]

IDS的弱点和局限1NIDS的弱点和局限NIDS通过从网络上得到数据包进行分析，从而检测和识别出系统中的未授权或异常现象。1.1网络局限1.1.1交换网络环境由于共享式HUB可以进行网络监听，将给网络安全带来极大的威胁，故而现在网络，尤其是高速网络基本上都采用交换机，从而给NIDS的网络监听带来麻烦。1.1.1.1监听...

[阅读全文]

入侵检测规则基础知识规则的基础知识网络入侵检测系统规则是指我们在网络通讯中需要寻找的一种模式。为了让你对各种不同类型的规则有一个基本的概念，让我们来看一些可以用于鉴别的实例和方法。从某一固定IP发送的连接请求。这可以通过IP头文件中的原地址区域很容易地鉴别出来。带有非法TCP标记包的集合。这可以通过已知的合法与非法的标...

[阅读全文]

入侵检测技术发展方向无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面：　　入侵或攻击的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手...

[阅读全文]

入侵检测产品选购要点当您选择入侵检测系统时，要考虑的要点有：　　1.系统的价格　　当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素。　　2.特征库升级与维护的费用　　象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。　　3.对于网络入侵检测系统，最大可处理流量(...

[阅读全文]

入侵监测存在的三个问题和未来发展方向在网络世界中上演的的攻防战争将永远是一场没有尽头、“魔高一尺，道高一丈”的斗争。入侵检测系统往往被认为是保护网络系统的“最后一道安全防线”。今天的网络黑客已经学会将真正的攻击动作隐藏在大量虚假报警之中，这使得用户质疑。入侵检测系统往往被认为是保护网络系统的“最后一道安全防线”。今天的...

[阅读全文]