入侵(精选12篇)
(1)对网络上信息的监听
(2)对用户身份的仿冒
(3)对网络上信息的篡改
(4)对发出的信息予以否认
(5)对信息进行重发
对于一般的常用入侵方法主要有
1.口令入侵
所谓口令入侵,就是指用一些软件解开已经得到但被人加密的口令文档,不过许多 已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传,使得入侵电脑网络系统有时变得相当简单,一般不需要很深入了解系统的内部结构,是初学者的好方法。
2.特洛伊木马术
说到特洛伊木马,只要知道这个故事的人就不难理解,它最典型的做法可能就是把一个能帮助 完成某一特定动作的程序依附在某一合法用户的正常程序中,这时合法用户的程序代码已被该变,
一旦用户触发该程序,那么依附在内的 指令代码同时被激活,这些代码往往能完成 指定的任务。由于这种入侵法需要 有很好的编程经验,且要更改代码、要一定的权限,所以较难掌握。但正因为它的复杂性,一般的系统管理员很难发现。
3.监听法
这是一个很实用但风险也很大的 入侵方法,但还是有很多入侵系统的 采用此类方法,正所谓艺高人胆大。
网络节点或工作站之间的交流是通过信息流的转送得以实现,而当在一个没有集线器的网络中,数据的传输并没有指明特定的方向,这时每一个网络节点或工作站都是一个接口。这就好比某一节点说:“嗨!你们中有谁是我要发信息的工作站。”
此时,所有的系统接口都收到了这个信息,一旦某个工作站说:“嗨!那是我,请把数据传过来。”联接就马上完成。
有一种叫sniffer的软件,它可以截获口令,可以截获秘密的信息,可以用来攻击相邻的网络。
4.E-mail技术
5.病毒技术
1、规则树的构造
Snort是一种开源的轻量级网络入侵检测系统, 它使用了一种简单、高效的规则描述语言来对入侵特征规则进行描述。该规则的格式在逻辑上分为两个部分:规则头 (Rule Header) 和规则选项 (Rule Options) 。规则头包含了规则动作、协议类型、IP源地址和目的地址、源端口和目的端口等信息。而规则选项则包含报警信息以及用来判定此报文是否为攻击报文的其它信息。我们借鉴Snort在内存中组织规则的方式, 采用动态生成三维链表的方式构造规则的语法树, 规则链表的结构如图1所示。
系统首先读取规则文件, 然后依次读取每一条规则并进行解析, 系统在内存中对规则进行组织, 采用链表的方式来构建, 规则语法树最顶层的规则结构按规则动作组成链, 包括activation、dynamic、alert、pass、log, 以Rule List Node结构表示。其次, 在具有相同规则动作的基础上, 按照不同的协议类型, 如TCP、UDP、ICMP等再分成几条链表。规则树节点 (RTN) 中包含的是多个规则的共有属性 (协议类型、IP地址和端口号) , 而不同的检测属性选项则包含在不同的选项树节点 (OTN) 中。
2、规则与数据包的匹配
规则链表构造完成以后, 需要一个方法来指导链表寻找数据包。规则匹配的过程实质上就是对所捕获的网络数据包与规则树进行匹配的过程。如果检测到数据包与某一条规则相匹配, 则表示检测到一个攻击, 然后按照规则所指定的行为进行处理, 如果遍历所有的规则都没有找到与之匹配的规则, 则系统认为该报文是正常的报文。
在得到数据结构后, 入侵检测系统便利用其中包含的信息在规则树上进行检索, 检测是否有某条规则与之匹配。检测函数将根据不同的协议使用相应的规则链表对当前数据包进行检查。当数据包到达入侵检测模块时, 将首先通过规则头以下面的顺序进行导航:activation、dynamic、alert、pass、log。然后遍历规则树节点 (RTN) , 检查数据包中的源/目的IP地址、协议类型、端口号等信息是否匹配, 如果不匹配, 转入规则头链表的下一个节点继续检查, 如果所有规则头均不匹配, 则表示没有已经定义的入侵发生, 函数值返回0;如果规则树节点 (RTN) 匹配成功, 则进入该RTN的选项树节点 (OTN) 进行匹配, 每个选项关键字都与具体的处理函数相对应。如果匹配成功, 则表明有入侵发生, 调用相应的选项关键字处理函数, 函数值返回1;反之, 如果在遍历选项树节点 (OTN) 之后没有发现匹配, 则说明没有已经定义的入侵发生, 函数值返回0。在处理带有content关键字的规则与数据包有效载荷的匹配问题时, 要调用匹配算法与数据包有效载荷进行匹配, 然后根据检测结果对可能发生的入侵行为调用相应的处理函数进行处理。
3、结语
患病的母亲去世了。对11年来一直看护她的耐尔(莉莉·泰勒饰)而言,与其说是打击不如说使她终于松了一口气,她因看护母亲得了严重的失眠症。当她接到奇怪的电话,得知失眠症实验室的实验后立刻参加了应征。挂心马罗教授为了进行这次实验特地借用一间被称为鬼屋的大房子,召集3名男女作为被测者,治疗失眠症只是一个借口。迎接耐尔的是管理人达多里夫妇(布鲁斯·达恩与玛丽安·塞尔蒂斯饰),耐尔被这对形色诡异的夫妇吓了一跳,但迈进房子后,她似乎是一个有生命的处所。
耐尔很快就与性格外向且漂亮的塞奥意气相投了。在她之后,卢克(欧文·威文森饰)、马罗和他的两个助手也相继到来。马罗向大家讲述了这个旧屋的来历,它是130年前的纺织业大亨休·克莱因为妻子和没能出生的孩子建的,从那以后,由于奇怪的传闻让人们都不敢接近这座屋子……钢琴的琴弦突然崩断,助手受了重伤而离去,让剩下的4个人心头笼罩了一层不祥的预感。
是夜,耐尔睡在自己的房间里,突然被震耳欲聋的轰鸣声吵醒,她跑进隔壁塞奥的房间,接着响起了恐怖的叫声,那叫声在两个人的房间前停了下来,有人开始砸门并试图破门而入,此时房间的温度急剧下降,俩人简直象突然掉进了地狱一般,她们互相紧抱着一个劲儿地祈祷,但这一切都随着卢克的出现而突然停止,卢克说他只听到了她们的叫声却没有听到轰鸣声。当晚,3个人都确信有什么东西在这座房子里闹鬼,而且是非常邪恶的东西……
自那天以后,不断有奇怪的现象在耐尔周围发生,她的精神濒临崩溃。一天夜里,有人在睡着的耐尔耳边低语:“耐尔,救我!”并且在床下出现带血的脚印。耐尔跟着那它走去,发现脚印一直延续到地下的一间密室。这是屋主克莱因的书房,耐尔在那里找到了工场的帐本,她发现有很多10来岁的孩子们一个接一个地消失,那么召唤她的是那些孩子们的灵魂吗?如果是那些孩子们到底去了什么地方呢……
耐尔无意中从马罗的记录里了解到实验的真象,于是3人决定让马罗承认事实,然后离开这座屋子。可是耐尔无法忘记孩子们的声音,再一次进入地下室寻找克莱因的秘密,她偶然翻开一本相册,收藏在相册中的克莱因的第二任妻子向耐尔指出了隐藏秘密的地方,那就是在大客厅中的巨大暖炉……
制作手记
影片改编自1959年出版的夏利·杰克逊的小说《The Haunting of Hill House》,这部书给后来的鬼屋故事以巨大影响,史蒂芬·金格与理查德·马西森受到它的启发,写出了小说《闪光》和《地狱之家》(电影《地狱之家》的原作),金格盛赞“它是这100年来传奇小说中最出类拔萃的。”确实,那真是深刻嵌入脑海的恐怖。
《难以忘怀》的制片人斯桑·阿诺尔德和德那·亚科弗·罗斯以前就是杰克逊小说的喜爱者,为了实现自己的夙愿,改拍这部影片,二人被恐怖题材吸引还有另外一个原因,那就是“遗传”,阿诺尔德的父亲是导演《大亚马逊人鱼》、《缩小的人类》影片的导演;而罗斯的父亲则是同样描述鬼屋的电影《恶魔居住的房屋》、《恐怖振子》等的制片人,两代人都有相同的嗜好,导演简·戴·鲍恩听了本片的拍摄计划后,打电话给制片人说无论如何也要导演该片,因为他很喜欢恐怖电影,他说:“我没想过这是一部改拍片,原片《报应》受时代限制,没有令人战栗的视觉要素,而我则要以更图解性的展示来尽量接近杰克逊的原作风貌。”的确,本片与《报应》截然不同,充满了视觉震撼。
影片中鬼屋的设计创意是营造恐怖气氛不可或缺的重要部分,担任影片布景设计的是以《恋之黑暗·爱之光明》一片获奥斯卡奖的尤吉尼奥·萨奈蒂。他为了忠实反映19世纪时美国暴发户们的审美品味,参考报业大王哈斯特的府邸原型,混合了哥德式、印度式、罗马式等要素,还在屋中揉进了克莱因的“疯狂”,这里到处都装饰着阴森森的雕像和浮雕,萨奈蒂不忘特意加上一句声明:“当然这不是我的喜好和品味。”
导演:简·戴·鲍恩 卡尔·沃尔特·林登劳勃
主演:廉姆·尼森
莉莉·泰勒
凯瑟琳·泽塔-琼斯
欧文·威尔逊
梦工厂出品
(编译 桃子)
自从IPS面市之日起,围绕IPS和IDS之间关系的讨论就不断升温,成为安全业界的一大热点。一派认为“IPS将取代IDS”,一派认为“IDS会和IPS共存”,直至IDC年度安全市场报告明确指出IDS和IPS是两个独立的市场,这场讨论才趋于平淡。
来自中国人民银行的专家表示,从用户角度来讲,目前已经基本认同IDS和IPS是两类产品,并不存在IPS要替代IDS的可能,但在选择产品和具体部署时,有相当一部分的用户还是存在疑惑。“在实际应用中应如何选择和区分两类产品”成为广大用户关心的话题。
“IDS入侵检测系统注重全面检测、有效呈现;IPS则更擅长深层防御、精确阻断。”国内入侵检测领袖企业启明星辰这样描述IDS与IPS的区别,
从实际应用来说,IPS既非IDS的替代品,更非IDS的延伸者,而是术业有专攻,侧重不同的方面,是为了满足企业风险管理需求的两种不同解决方案。启明星辰从长时间的用户调查和实际应用状况中,总结出了IDS和IPS的应用条件。如果一个企业属于低风险的类别,他们往往只关注风险控制,不关注检测与监控,风险管理要求不高,选择IPS产品即可;高风险行业如金融、电信等,不仅关注风险控制,而且关注风险管理,这样的企业既需要IDS,也需要IPS;对于一些监管机构/部门来说,往往更关注风险管理的检测与监控,监督风险控制的改进状况,因此IDS是比较合适的产品。
启明星辰产品管理中心总工万卿说:“IDS和IPS将继续共存,这已经是一个不争的事实。这个观点是从客户的实际应用中得来的。启明星辰目前拥有完善的IDS和IPS产品线,将根据客户的不同需求,为客户设计不同的解决方案组合,达到风险管理和风险控制并举的目的。”
题记:昨天休息的时候,一个朋友给我信息说他公司的服务器被黑了,破坏者不停的修改替换主页,搞的他都怕了,查到了那家伙的ip地址,包括身份证号码,家庭住址,报警网警说会处理的,但是一直没人问津。也感叹一下有关部门态度,拿着我们纳税人的养着,却这样给我们服务。有关部门是否也该“市场经济”一把就好了。昨天过去帮他把服务器弄了一下,答应他给他整理一个文档出来的,昨天晚上一想,既然整理了,那就好好整理下,希望此文能给那些想处理好网站的安全而又没钱请专人做的公司以及个人能有点小小的帮助吧。此文为昨天在朋友整理服务器的全程记录,由于考虑到安全的原因,网站目录或者文件名称可能与其网站程序有差异。
本文的宗旨:可能有的人会问,关于Windows系统下的防止webshell的文章那么多,我再写此文简直多此一举,此言差亦。纵观以前大家写的关于windows下的防止webshell的文章,发现了一个小小的bug,那就是没有从源头上制止webshell的执行,就是说webshell可以上传到服务器(有时候是可以跳过默认上传目录的),但是有的还是能把当前站点给黑了的,就是可以将主页给替换了的。此文就是解决这样的一个问题,至于c盘的权限以及组件的删除什么的,以前的一些文章已经写的非常不错了,我在这里也就不再赘述了。
目前流行的通过web入侵的方法:
1、sql注入法:通过sql注入获取一定的后台权限,或者直接通过sql数据库备份一个shell。最早的出现的时间应该是在的时候了,通过经典的’or’ ’=’进化而来的。前54nb的小竹写的《sql注入天书》,可算是sql注入的经典,相应推出的nbsi的注入工具也是sql注入工具中的典范了。至今俺还保存着当初推出的beta版到现在的各种修改版。
2、上传法:指的是通过系统提供的web上传功能来直接上传一个shell来获取web控制权限。初出现的的,最早出现在dvbbs论坛的上传组建上,其原因是由于windows系统对于文件名的检查的顺序的问题;后来相继又出现了一种就是现在的动易的前身动力文章系统3.6版本,出现的多文件上传过滤不严引起的可以直接上传cer文件的方法。这两种方法应该是上传漏洞鼻祖了。其代表工具有:最早出现的臭要饭的upload工具,还有一个比较经典的就是桂林老兵写的那个,通用性极强。
3、还有一种就是所谓的旁注法了,其方法主要是通过whois工具查找服务器的域名列表,然后通过上述两种方法来获取权限,进而来入侵同一服务器上的目标的,因为其是通过服务器上的其他网站来入侵目标的,因而就称其为旁注了。最早出现的文章应该是B.C.T的老大h4k_b4n写的文章,那时候B.C.T还没有成立呢。
上面了解了下流行的web入侵方法,那下面来看下常用的web的网站系统的一些功能,下面动态的系统和静态的系统来分别说明下。
1、动态的系统:常用的功能有,文章发布,主要是将数据写到数据库中asp常用的主要是access和sql server。文章发布中可以需要一些上传图片的功能。基本目录结构及其所需要的最低的权限如下:
database //为数据库存在目录,可能有的系统的存放目录不一样,这里为了更直观,将其写为database。需要的权限有读取和修改权限,如果有备份数据功能的可能还要有写入的权限。
upload //上传图片的目录,需要有写入和读取的权限,修改权限。
images //系统使用的图片目录,读取权限即可
admin //后台管理目录,一般为asp文件,需要有读取权限。
/根目录,一般存放为asp文件,需要有读取权限。
2、静态页面的系统:指的是一些内容页生成静态页面,而主页和二级页面为动态的系统,现在这种系统居多,
主要的功能有,上传图片,生成静态页面,acess数据库的可能还有个数据库备份功能。其基本目录结构如下:
database //为数据库存在目录,可能有的系统的存放目录不一样,这里为了更直观,将其写为database。需要的权限有读取和修改权限,如果有备份数据功能的可能还要有写入的权限。
upload //上传图片的目录,需要有写入和读取的权限。
images //系统使用的图片目录,读取权限即可
admin //后台管理目录,一般为asp文件,需要有读取和执行权限。
/根目录,一般存放为asp文件,需要有读取以及执行权限。
/html//此目录为生成静态页面的目录。需要有读取,修改以,写入权限。此文仅仅讨论生成的后缀为html,htm的情况。也是大部分程序生成的都为这些了。对比动态的多了一个生成静态页面的目录。
下面进入本文的重点:安全的设置。
对于sql注入的防范防范最好的是将所有的客户端提交的进入sql查询的参数全部过滤掉,这个对管理员的要求比较高了,需要懂程序开发才可以搞定的。而有一种比较简单的方法就是使用笔者以前写的一个小工具sql通用防注入系统.可以到我的网站下载:www.neeao.com/blog/article-2285.html.
主要说下如何防止上传漏洞的产生,sql注入比较好发现,对于上传的话如果懂的朋友也是可以用工具检测出来的,当然最好的方法就是修改程序,替换上传组件了。但这个相对于sql通用防注入的防范来说比较难了,没有通用的工具了。那么我们可以用服务器上的权限设置来防止破坏者上传或者上传后执行webshell。
1、先按照以前人总结的防止webshell文章给每个站点设置一个单独的账户,在这里,我为了方面说明,姑且假设我设置的web站点的主目录为:d:webneeao.com,添加的iis匿名账户为web_neeao.com,所属组为guests。
2、设置web主目录的权限,删除除了administrators和system两个账户外的所有账户的访问权限,添加web_neeao.com,账户,将其权限设置为读取。并替换子目录下所有目录及文件权限,删除继承上级目录的权限。
3、设置上传目录的权限,我这里按照我上面列出的上传目录为uplaod,将其权限设置为读取及和写入还有修改权限,或许你有一个以上的上传目录,可以同样这样设置。
4、设置数据库目录的权限,我的数据库目录是database,将其权限设置为读取,写入和修改。或许你有一个以上的数据库目录,可以同样这样设置。
5、images目录权限,读取
6、admin目录,读取。
7、html目录,读取,写入。
上面的是针对磁盘的权限的设置,但是这样还是不行的,我们可以看出一些目录还是有写权限的,比如database、upload,以及html目录,如果asp文件传到这些目录的话同样是可以威胁网站安全的。
下面我们来看IIS中的设置:
在IIS管理器中左侧的站点列表中,单击站点前面的+符合,可以看到下面有目录的列表,在database目录上单击鼠标右键,属性,将其脚本执行权限去掉,设置为无。Upload目录和html目录同样这样设置。这里需要注意下database目录设置的时候,可以将其目录设置重定向,防止访问者非法下载access数据库。
至此权限设置结束了,关于权限的设置,我将其总结为一句话就是:能执行就不给写,能写就不给执行。如果按照这样的原则设置的话,基本上通过web上传并执行webshell是基本不可能的了,就我目前所了解的方法来说。
by:Neeao[B.C.T]
梅涛
①当你在路边草地或自家庭院里发现一两只从未见过的甲虫时,你肯定不会感到惊讶。但在生物学家和生态学家们看来,这或许不是件寻常小事。专家们把这种原本生活在异国它乡、通过非自然途径迁移到新的生态环境中的“移民”称为“生物入侵者”。
②在人类文明的早期,陆路和航海技术尚不发达,自然界中的生态平衡并没有受到太大破坏。在自然条件下,一颗蒲公英的种子可能随风飘荡几十千米后才会落地,如果各种条件适合,它会在那里生根、发芽、成长;山间溪水中的鱼虾可能随着水流游到大江大河中安家落户……凡此种种,都是在没有人干预的条件下缓慢进行的,时间和空间跨度都非常有限,因此不会造成生态系统的严重失衡。
③如果一个物种在新的生存环境中不受同类的食物竞争以及天敌伤害等诸多因素制约,它很可能会无节制地繁衍。1988年,几只原本生活在欧洲大陆的斑贝(一种类似河蚌的软体动物)被一艘货船带到北美大陆。当时,这些混杂在仓底货物中的“偷渡者”并没有引起当地人的注意,它们被随便丢弃在五大湖附近的水域中 。然而令人始料不及的是,这里竟成了斑贝的“天堂”。由于没有天敌的制约,斑贝的数量便急剧增加,五大湖内的疏水管道几乎全被它们“占领”了。到目前为止,人们为了清理和更换管道已耗资数十亿美元。来自亚洲的天牛和南美的红蚂蚁是另外两种困扰美国人的“入侵者”,前者疯狂破坏芝加哥和纽约的树木,后者则专门叮咬人畜,传播疾病。
④“生物入侵者”在给人类造成难以估量的经济损失的同时,也对被入侵地的其他物种以及物种的多样性构成极大威胁。二战期间,棕树蛇随一艘军用货船落户关岛。这种栖息在树上的爬行动物专门捕食鸟类,偷袭鸟巢,吞食鸟蛋。从二战至今,关岛本地的11种鸟类中已有9种被棕树蛇赶尽杀绝。
⑤许多生物学家和生态学家将”生物入侵者”的增多归咎于日益繁荣的国际贸易,事实上许多“生物入侵者”正是搭乘跨国贸易的“便车”达到“偷渡”目的的。以目前全球新鲜水果和蔬菜贸易为例,许多昆虫和昆虫的卵附着在这些货物上,其中包括危害性极大的害虫,如地中海果蝇等。尽管各国海关动植物检疫中心对这些害虫严加防范,但由于进出口货物的数量较大,很难保证没有漏网之“虫”。
⑥一些生物学家们指出,一旦某种“生物入侵者”在新的环境中站稳脚跟并大规模繁衍,其数量将很难控制。即使在科学技术高度发达的今天,面对那些适应能力和 繁殖能力极强的动植物,人们仍将束手无策。
⑦生物学和生态学界的一些学者主张人类不应该过多地干预生物物种的迁移过程,因为失衡是暂时的,一个物种在新的环境中必然遵循物竞天择的法则。“生物入侵者”并不是都能够生存下来,能够生存下来的就是强者,即使生态系统中的强者也同样受到该系统中各种因素的制约,不可能为所欲为,因此,自然界的平衡最终会得以实现。然而更多的学者则持反对意见,他们认为自然调节的过程是非常漫长的,如果听任“生物入侵者”自由发展,许多本土物种将难逃绝种厄运,自然界的物种多样性将受到严重破坏。另外,“生物入侵者”给人类社会造成的经济损失就高达两千多亿美元,面对这样的天文数字,人们岂能无动于衷?
1、第①段中作者使用“移民”一词,而不是直接使用“生物”一词,好处是什么?(3分)
2、第③段中举了“斑贝”的例子,作者的主要用意是什么?(3分)
3、将第④段中“关岛本地的11种鸟类中已有9种被棕树蛇赶尽杀绝”改为“关岛本地的多种鸟类中已被棕树蛇赶尽杀绝”好不好?为什么?(3分)
4、根据选文提供的信息,下列说法中错误的一项是 。(3分)
A、在自然条件下,生物迁移不会造成生态系统的严重失衡,因为这种迁移是在没有人为干预的条件下缓慢进行的。
B、亚洲的天牛和南美的红蚂蚁“入侵”美国后,造成了很大危害。
C、即使在科学技术高度发达的今天,面对那些适应和繁殖能力极强的“ 生物入侵者”,人们仍将束手无策。
D、只有少数学者认为应该通过人为方式来干预生物物种的迁移过程,从而解决“生物入侵者”的问题。
5、读了本文后,你认为可以采取哪些措施来防止“生物入侵者”对人类社会的危害?(至少提出两条措施)(4分)
答案:
1、“移民”一词在此处具有比喻意味,使说明语言更加生动。(3分)
2、主要是用来说明“如果一个物种在新的生存环境中不受同类的食物竞争以及天敌伤害等诸多因素制约,它很可能会无节制地繁衍”这句话。(3分)
3、不好,原句中使用了具体的数据,能更精确地说明棕树蛇对当地鸟类的危害程度。(3分,不回答理由的不给分)
4、D(3分)
Unfortunately, these giant snails are someof the world’s most destructive snails, carryingdiseases that can cause problems in humans.
Not like most snails, giant African landsnails don’t just eat decaying organic matter orleaf molds; they eat the plants themselves,which pose a huge threat to agriculture, one ofFlorida’s main industries. What’s more, they’renot picky. They eat over five hundred species ofplants, and even chew through stucco(灰泥) andplastic containers. The snails can grow to beeight inches long—as big as rats—and to weigh more than one pound. They’re so huge, in fact, that theirshells have been known to blow out tires.
The real trouble is that giant African land snails reproduce very quickly. Under optimal(最理想的) conditions—such as warm, tropical Florida—one snail can lay up to a thousand or so eggs a year. And their typicallife span is three to five years, with some living as long as nine years.
阅读短文后,从每题所给的四个选项(A、B、C、D)中,选出最佳选项。
1. We can infer from the passage that ________ .
A. giant African land snails are welcome to Florida
B. Florida is popular among many midwesterners
C. many mid-westerners like giant African land snails
D. the weather in Florida is too warm for those snails to live
2. What do most snails usually eat?
A. Decaying organic matter. B. Leaf molds.
C. Plants, stucco and plastic containers. D. Both A and B.
3. According to the passage, giant African land snails may not do harm to ________ .
A. human health B. agriculture
C. tires D. iron and steel
4. How long can giant African land snails probably live?
A. As long as rats can do. B. No more than a year.
C. Three to nine years. D. A thousand years.
参考答案与解析
1. 选B。从文章第一段可知,佛罗里达州受美国许多中西部地区的人们喜爱。
2. 选D。本题的答案可从第三段的第一句得出。
3. 选D。根据文中出现的cause problems in humans、posea huge threat to agriculture、blow out tires,可以排除A、B、C三个选项,答案为D。
不久前美国科学家宣布说,他们发现了16种新的月亮水母,而且这种海洋生物目前正在向全世界海域“大举入侵”。 月亮水母是通过船只被运往世界各处水域的。它们“搭便车”来到了新的栖息地点,而这通常会对当地的原生物种产生不利影响。
导致入侵的凶手
原本隔着千山万水的生物,怎么会一下子“杀”了进来呢?说到底,人类有很大的责任。由于人类的跨地域活动频繁,为这些生物“恐怖分子”的潜入提供了条件。
科学家一致认为,全球海洋生物物种多样性的破坏,主要是由船舶压载水引发的。过去为了使船体行驶平稳,人们常常在船底堆积上石子、沙砾和铁等重物,现在则直接抽入海水。货船出发时,人们将海水作为压舱水抽上来,抵达目的地后再将其就地排放。这种做法就使每艘货轮如同“特洛伊木马”,里面暗藏着杀机四伏的各国水生物。据统计,一艘载重10万吨的货船携带的压载水量达到5万至6万吨,每年全球船舶携带的压载水大约有100亿吨,每天全球船舶在压载水中携带的生物有7000多种;每过9个星期,一种新的海洋生物入侵者就会被释放。
到目前为止,全球已确认有500种左右的生物物种是由船舶压载水传播的。这些外来海洋生物一旦入侵到新的适宜生存的区域中,就能发生不可控制的“雪崩式”大量繁殖,疯狂地掠夺当地生物的食物,造成有害寄生虫和病原体的大面积迅猛传播,甚至引发本地物种灭绝。负责监督海洋的国际海事组织(IMO)将这些船载的入侵者称为“对世界海洋卫生最严重的威胁之一”。
50种外来者入侵中国
中国是世界十大海洋运输国之一,国际自然资源保护联合会公布的世界上100种最危险的外来生物物种中已有一半入侵到中国,每年由于生物入侵造成的直接经济损失高达574亿元,其中海洋入侵生物是主要成因之一。近些年来,中国沿海赤潮越来越严重,其重要原因之一是外来生存能力较强的赤潮生物的危害。通过船舶压载水带来的外来赤潮生物主要有洞刺角刺藻、新月圆柱藻、方格直链藻等16种藻类。这些外来赤潮生物对生态适应性强,分布广,只要环境适宜,就可发生赤潮,导致海洋生态系统的结构与功能彻底崩溃,对海域原有生物群落和生态系统的稳定性构成极大的威胁。
如何杜绝入侵
压载水引发外来海洋生物入侵,已经成为全世界航运国共同面临的威胁,对于压载水的防治已经到了必须正视的程度。
为了防范外来物种的入侵,最好的办法是让它们没有“乔迁新居”的机会和场所。国际海事组织于2004年2月通过了《船舶压载水沉淀物控制和管理国际公约》,制定了严格的压载水排放标准,许多航运大国也加强了对压载水的监管力度。全球各地的海运官员也尝试采用从紫外线到臭氧等一切措施来处理压舱水,但这些大部分还没有应用到海洋运输之中。
一个中年男子正骑着自行车,嘴里嚼着泡泡糖,还眉飞色舞哼着小曲。红灯亮了,自行车还一如既往地向前奔着。“黑色妖怪”摇身一变,一辆货车稳稳地向自行车驶去。中年男子霎时脸色发青双手颤抖。“砰”的一声,惨不忍睹的悲剧发生了……“黑色妖怪”嘿嘿地冷笑了几声,化作一股黑烟飘走了。
这时候“黑色妖怪”又把目光转移到一个小学生的身上,只见一个小学生在马路上奔跑嬉戏着,他兴奋地拽着书包在空中尽情挥舞。根本没顾到擦间在他身边奔驰的车辆,一位警察焦急地奔跑过来,连忙把他拉到路旁对他说:“小朋友,交通安全是不可疏忽的。不要在这玩,这里很危险。”那个小学生连忙点点头。警察一走,他又继续嬉戏着还偷偷地做了个鬼脸。“黑色妖怪”觉得他太调皮了,于是摇身一变成了一辆飞快的车。只听见“啊”的一声尖叫,书包被重重的摔在了地上。悲剧再次发生了……“黑色妖怪”得意洋洋的转身离去。
“黑色妖怪”威胁着人类的安全,所以我们不能让他得逞,我们应时时注意交通安全,不要让“黑色妖怪”在我们没有防备中掠夺了我们可贵的生命,让意外的鲜血画上生命的句号。其实“黑色妖怪”就是危险。阻止“黑色妖怪”入侵你做到了吗?
今天的早晨特别冷,窗外的风是冷酷无情的,它像皮鞭似的抽打着世界,像雄狮一般朝人们怒吼,无尽无休。听,“呼——呼——呼——”,狂风犹如滔滔黄河翻滚咆哮;看,路旁的树枝猛烈地摇动,到处尘土飞扬,似万马奔腾而过。看了,听了,这番情景后,我不禁打了一个冷战。今天一定要多添一些衣服。
可到学校以后,我在发现我穿得算少了。同学们有的.穿着长长的大衣,有的穿着厚厚的棉袄,还有的穿上了暖和的羽绒服。
上课时,每个同学们都把两手放进口袋里,头缩起来,真像个缩头乌龟。我真希望快点放学,投进我温暖的被窝!
坐盼右盼,终于放学了!我走在回家的路上,风来了,它轻轻地割你的面颊,然后飞快地逃走。当你不提防时,它又悄悄地来了,咬你的耳朵,舔你的鼻子,最后放肆地,狠狠地抽打你,还怪声怪气地笑着。
帕里斯·希尔顿VS林赛·罗翰
史塔沃斯·尼亚科斯三世——家族船运事业的继承人,身家丰厚,本来就是希尔顿从别人那里抢来的吃食,没想到却被一个叫林赛的小丫头片子得了手。希尔顿前脚离开美国去澳大利亚没几个小时,便有人看到史塔沃斯和林赛一起在洛杉矶EIement俱乐部寻欢作乐,大跳艳舞,俱乐部的酒保爆料,“林赛整晚都和他呆在一块,两人亲密得不行”。出来混总是要还的,“抢人高手”希尔顿也没躲开。
希尔顿使大招:借刀杀人
没过多久,林赛就中了黑客的陷害,手机密码疑似泄露,因为这段时间有朋友频频接到不少恶心的语音邮件,来电显示均注明,这些信息来自林赛。“他们以为是林赛打的这些电话,但真相并非如此,有人假冒了她的名义。”当时林赛就怀疑这件事和希尔顿有关,她接受采访时说:“除了讨人厌的尖叫,那些恶作剧电话的内容和希尔顿在‘firecrotch’录像带里说的话如出一辙,显然,她大概很喜欢这么做。”而她的发言人也谨慎表态,的确有人猜测是希尔顿干的,因为那声音相当耳熟。
八卦掌热评:所谓小人报仇,无所不用,她可能不直接把飞刀砍在你的身上,却有可能在砍死别人之后,在墙上写上你的大名。
卡梅隆·迪亚茨VS帕里斯·希尔顿
好莱坞女星卡梅隆·迪亚茨与帕里斯·希尔顿同住比弗利山,虽然未算深交,但也谈得上几句,早先好歹也算是一对不错的邻居,后来突然反目。若说是反目,倒不如说是卡梅隆拍案,只因有一个吃腥又不擦嘴的魔术师男人夹在中间。
该魔术师叫CrissAngel,有星闻杂志爆料其本来就为一已婚男子,同时又是卡梅隆的男友,关系已经混乱成一汪泥潭,却偏偏希尔顿不嫌脏,非要横插一腿,在Criss到都城某酒店表演时一同前往,并被好事记者拍下“大胆”照片若干。照片上希尔顿一如既往的“勇猛”,所以,卡梅隆突然与希尔顿反目成仇,实在不难理解。
卡梅隆使大招:落井下石
希尔顿倒霉就倒霉在自己是个有缝的蛋,后来锒铛入狱,虽是短期,却也让卡梅隆得了个空笑骂的机会。卡梅隆可算抓住这个做正人君子的好时机,引用希尔顿的事例一脸凛然地教授年轻人做人之道,冷嘲热讽夹枪带棒,总算是出了口恶气。
八卦掌热评:作恶多端的人就怕被清算的那一天,多年被其欺侮的人一起跳出来反攻,那日子可就难过了。
暧昧也冷脸
要说因真枪真刀闹过抢与被抢之事而翻脸在情理之中,有些“跳跃性”的尴尬却是让人摸不着头脑,看来有时尴尬不仅因为陌生而产生,也与某种东西联系过密有关。
蔡依林VS Hebe
新城国语颁奖礼晚会上,先后与周杰伦传绯闻的蔡依林及SHE分获5个奖,奖上平分秋色,蔡依林和SHE里的Hebe却是私下波澜暗涌,较劲无比,两人摆明了一副“有你没我”的架势,拍大合照时虽然站前后排,但Hebe只顾与组员研究裙子,蔡依林曾一度八卦向后望,但并没与她们谈话,直至拍完合照下台,二人竟然互当透明,一个向左走,一个向右走!
刘锡明VS倪震
著名大美女周慧敏不爱豪门不爱星,偏是将芳心许给了文曲星倪震,同居多年,深居简出,安心做家妇,但是关于倪震的风流事却一直未减。有八卦媒体说倪震常瞒着周慧敏四处“勾女”。有名有姓的除以“短信攻势”勾引陈颖妍外,还有与女模特EstherShum吃饭,甚至到女方香闺长聚两小时云云,狗仔队更是拍到倪震和漂亮美眉约会。随即有报道指出,周倪二人感情面临分手考验,因为狗仔队发现,倪震在自己的私宅铜锣阁过夜,大家都认为他是被周慧敏赶了出来。这时有一个叫做刘锡明的过气艺人被人翻了出来:报告,我有话讲。
刘锡明使大招:翻旧账
刘锡明提到的是十几年前的事,当时他与周慧敏因合演电视剧《乌金血剑》而传出绯闻,其间他在某电台节目中,透露出对周慧敏的欣赏和好感。据刘锡明说,这惹来倪震的不满,他利用自己的媒体资源对刘锡明进行疯狂的诽谤,甚至以“毒瘤明”来称呼他,直接或间接地对他的职业生涯造成严重打击,被迫于1994年离开香港娱乐圈。
八卦掌热评:翻旧账本不是男子汉所为之事,只是其中真伪,怕是只有翻找出过刊才能判定,假如刘锡明所讲是真,那也难怪倪震被骂,汝非君子,也莫怪我小人啦。
邵美琪VS蒙嘉慧
一个是“前”,一个是“现”,同是郑伊健的“女友”,两人间的年代却相隔久远。在没跟郑伊健拍拖之前,蒙嘉慧和邵美琪合作《妙手仁心II》时,除了戏里有对手戏,每天开工时还有说有笑。可自从蒙嘉慧成为郑伊健的新欢,她与邵美琪的关系变得微妙起来。在TVB剧集《通天干探》中,两人几乎没有对手戏;宣传新剧时,蒙、邵首次碰头,全程没有交谈,神态也是尴尬无比。
乐基儿VS舒淇
当年黎明和舒淇分手,坊间传闻大多是因黎明迷恋上了金喜善,后来才有的极其像舒淇的乐基儿,两人又是一对“隔代人”。前不久在一场口红秀上,乐基儿被记者夸奖唇厚很Sexy,并被问到她觉得谁的唇最靓?她竟主动提及黎明的前女友舒淇:“我觉得舒淇的嘴唇最靓!”看来这女人间的暗自别扭到什么时候都难以放下啊!
关键词:入侵,检测,系统
1 入侵检测系统的体系结构
CIDF是一套规范, 它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议, 符合CIDF规范的IDS可以共享检测信息, 相互通信, 协同工作, 还可以与其它系统配合实施统一的配置响应和恢复策略。CIDF早期由美国国防部高级研究计划局赞助研究, 现在由CIDF工作组负责, 这是一个开放组织。实际上CIDF已经成为一个开放的共享的资源。
CIDF的标准化工作的重点在于集成各种IDS使之协同工作, 实现各IDS之间的组件重用, 所以CIDF也是构建分布式IDS的基础。
CIDF将一个入侵检测系统分为一些彼此独立又相互协作的组件:事件产生器 (Event generators) ;事件分析器 (Event analyzers) ;响应单元 (Response units) ;事件数据库 (Event databases) 。图1给出了CIDF的系统体系结构。CIDF将入侵检测系统需要分析的数据统称为事件 (event) , 它可以是网络中的数据包, 也可以是从系统日志等其它途径得到的信息。事件产生器是IDS的检测部件, 它的目的是从整个计算环境中获得事件, 并向系统的其它部分提供此事件。事件分析器是IDS的决策部件, 负责对原始检测数据进行分析, 以判断是否有以及有何种入侵行为发生。响应单元也称为反应器, 是IDS的执行部件, 负责对已经检测出的入侵作出相应的动作, 它可以发出切断网络连接、改变文件属性等强烈反应, 甚至发动对攻击者的反击, 也可以只是简单的报警。事件数据库是IDS的存储部件, 是对存放各种中间和最终数据的地方的统称, 它可以是复杂的数据库, 也可以是简单的文本文件。
在现有的入侵检测系统中的数据采集部分、分析部分和响应部分分别对应于CIDF的事件产生器、事件分析器和响应单元, 入侵检测系统日志 (log) 则对应于事件数据库。目前CIDF标准还没有正式确立, 也没有一个入侵检测商业产品采用该标准, 但因为入侵检测系统的特殊性, 各种入侵检测系统的模型实际上都有很大的相似性。各种入侵检测系统各自为阵, 系统之间的互操作性很差, 因此各厂商都在按照CIDF进行信息交换的标准化工作。
2 入侵检测系统分类
目前的入侵检测系统主要有4种分类方法, 分述如下:
2.1 根据检测时采用的技术分类
根据检测时采用的技术分类, 分为两种:
1) 基于异常检测的检测系统
基于异常检测的检测系统根据使用者的行为或资源使用状况来判断是否入侵, 而不依赖于具体行为是否出现来检测, 能发现一些未知的入侵行为。其优点是对具体系统的依赖性相对较小。缺点在于误检率很高, 尤其在用户数目众多或工作行为经常改变的环境中。
2) 基于误用检测的检测系统
基于误用检测的检测系统大多是通过对一些具体的行为判断和推理, 从而检测出入侵。通常是标识一些已知的入侵行为。其优点是由于依据具体特征库进行判断, 准确度较高。缺点在于对具体的系统依赖性太强, 移植性不好。
2.2 根据系统检测的对象分类
根据系统检测的对象进行分类, 分为如下三种:
1) 基于主机的入侵检测系统 (HIDS)
早期基于主机的入侵检测是通过监视与分析主机的审计记录来检测入侵。这些系统的实现也不全在目标主机上, 例如使用网络将主机的信息传送到中央分析单元。基于主机的入侵检测系统在发展过程中也融入了其它技术, 如通过定期检查关键系统文件和可执行文件以便发现意外的变化。基于主机的入侵检测系统具有如下的优点:可监视特定的系统活动;适用于加密的及交换的环境;对网络流量不敏感;不要求额外的硬件设备。
2) 基于网络的入侵检测系统 (NIDS)
基于网络的入侵检测系统在共享网段上对通过网络的所有通信业务数据进行侦听, 采集原始网络包作为数据源并分析可疑现象。由于这类系统并不需要主机提供严格的审计, 因而对主机资源消耗少, 并且由于网络协议是标准的, 它可以提供对网络通用的保护而无需顾及异构主机不同架构。基于网络的入侵检测系统具有如下的优点:可检测低层协议的攻击;攻击者不易转移证据;实时检测和响应;可靠性好;操作系统无关性;不占用被检测系统的资源。但是, 基于网络的入侵检测系统也有如下一些明显的弱点容易受到拒绝服务攻击;不适合于交换式网络;不适合于加密环境。
3) 混合入侵检测 (Hybrid IDS)
基于主机和基于网络的IDS系统都能发现对方无法检测到的一些入侵行为, 它们有各自的优点, 并且互为补充。所以一种真正有效的入侵检测系统应该是将二者结合起来, 以提供更加有效的入侵检测和保护措施。混合入侵检测系统就是综合了HIDS和NIDS两种结构特点的入侵检测系统, 既可发现网络中的攻击信息, 也可从系统日志中发现异常情况。它最终可能是IDS市场的主角。
2.3 根据工作方式分类
根据工作方式来分, 分为如下两种:
1) 实时入侵检测 (在线式)
对网络数据包或主机的审计数据等进行实时分析, 可以快速反应, 保护系统的安全。但在系统规模较大时, 难以保证实时性。
2) 事后入侵检测 (离线式)
通过事后分析审计事件和文件等, 从中检测入侵事件。这可以分析大量事件, 调查长期的情况, 有利于其它方法建立模型。但由于是在事后进行, 不能对系统提供及时的保护。而且很多入侵在完成后都将审计事件去掉, 无法进行分析。
2.4 根据控制方式分类
根据控制方式可分为二种:
1) 集中式入侵检测系统
集中式入侵检测系统中, 无论监视的网络有多少主机, 数据分析都在一个固定的位置进行。这类系统有IDES, IDIOT, NADIR, NSM等。
2) 分布式入侵检测系统
分布式入侵检测系统中, 可根据网络中主机的分布, 将数据分析均匀的分布到许多不同位置进行, 这类系统有DIDS, GrIDS, E-MERALD, AAFID等。根据分布的程度, 又可在分为部分分布式和完全分布式结构 (或称层次性分布式和完全性分布式) 。
3 主要入侵检测技术的对比分析
应用于入侵检测系统中的技术有很多, 不同类型的入侵检测系统采用的技术是不一样的, 但这些技术也不是独立的, 它们存在着交叉的关系, 在入侵检测中经常是结合使用的。从大策略上而言, 主要分为异常检测技术和误用检测技术, 在这两种策略中, 又分为多种具体的技术, 主要有以下这些技术。
3.1 模式匹配
模式匹配就是将收集到的信息与己知的网络入侵和系统误用模式规则库进行比较, 从而发现违反安全策略的行为的技术。它常用于误用检测, 该过程可以很简单 (如通过字符串匹配以寻找一个简单的条目或指令) , 也可以很复杂 (如利用正规的数学表达式来表示安全状态的变化) 。
模式匹配技术的优点在于:只需收集相关的数据集合, 且技术已相当成熟;与病毒防火墙采用的方法一样, 检测准确率和效率都相当高。但它也存在缺陷, 必须对攻击模式本身进行描述, 以提取攻击手段的特征, 把已知的攻击方法翻译成可以为检测模型所使用的模式并非一件容易的工作;并且它只能检测已知模式的攻击, 不能检测到从未出现的黑客攻击手段, 因此需要不断的升级以对付不断出现的黑客攻击手法。
3.2 协议分析和命令解析
协议分析与命令解析也可以说是模式匹配技术的某种扩展, 它的提出主要是区别早期以字符串内容匹配为主的模式匹配技术, 它结合高速数据包捕捉、协议分析和命令解析来进行入侵检测, 给入侵检测带来了许多优势:提高性能和准确性, 并且系统资源消耗小。
命令解析技术中, 入侵检测引擎包括了多种不同的命令语法解析器, 能对不同的高层协议, 如Telnet, FTP, HTTP, SNMP, SMTP, DNS等的用户命令进行详细地分析, 以查出可能的入侵行为;而使用协议分析技术, 则在检测时会按照协议将数据包解码, 还会进行诸如重组之类的工作, 这可带来检测效率和准确性上的提高。
3.3 模型推理
攻击者攻击系统时往往采用一定的行为程序, 如猜测口令的程序, 这种行为程序构成了某种具有一定行为特征的模型, 根据这种模型所代表的攻击意图的行为特征, 可以实时的检测出恶意的攻击企图。采用基于模型的推理方法能够为某些行为建立特定的模型, 编写对应的攻击脚本, 以能够监视具有特定行为特征的某些活动, 从而检测出非法的用户行为, 常用于误用检测系统。为准确判断, 一般要为不同的攻击者和不同的系统建立特定的攻击脚本。当有证据表明某种特定的攻击模型发生时, 系统应当收集其它证据来确认它是否为真正的攻击, 既不能漏报攻击, 使信息系统受到损害, 又要尽可能的避免错报。
这种方法要求建立一个不同攻击者的各种攻击行为序列的数据库, 这是其主要缺点。因为这在大型系统中是不可能的, 优点在于可以仅仅审计一些主要事件, 减少了系统的工作量。
3.4 状态转换
这种方法根据入侵者在进行入侵时所执行的某些行为序列的特征, 为入侵行为建立模型, 将入侵行为表示为目标系统的状态转移, 常用于误用检测系统。在分析审计事件时, 若系统按照己知入侵特征建立的布尔表达式, 从安全状态转移到不安全状态, 则可认为是入侵事件。
这种方法的优点在于:可以减少审计事件的分析范围;可以检测协同攻击;可以检测分布在多个对话中的攻击;在一定程度上可以预测下一步的攻击方向。同时也存在缺点:能够检测的入侵检测形式简单;事件分析的复杂度高;对不能由审计事件表达的入侵无法检测。
3.5 知识库/专家库
所谓专家系统是基于一套根据专家经验事先定义的规则的推理系统, 专家库的建立依赖于知识库的完备性, 而后者又取决于审计记录的完备性和实时性。基于专家系统的攻击检测技术是根据安全专家对可疑行为进行分析检验所形成的一套推理规则, 并构成相应的专家系统, 进而对有关行为进行检测分析, 这种技术常用于误用检测系统, 但有些专家库也提供了正常行为模型, 可以用于异常检测系统。
总的来说, 专家系统对历史数据的依赖性比基于统计技术的审计系统少。因此系统的适应性比较强, 可以较灵活地适应广泛的安全策略和检测需要。但迄今为止, 解决推理系统和谓词演算的可计算的技术还不成熟, 而且专家系统往往是不可移植的, 其知识库也是不完备的, 因而不宜单独用于入侵检测。
3.6 统计分析
基于统计分析的攻击检测技术依赖于对历史行为的建模以及早期的证据或模型, 这种技术常用于异常检测系统中。使用统计分析方法, 需要首先给系统对象 (如用户、文件、目录和设备等) 创建一个统计描述, 统计正常使用时的一些测量属性 (如访问次数、操作失败次数和延时等) , 生成主体的行为特征原型文件, 运行时检测系统检测当前的状态, 将测量属性的平均值与网络、系统的行为进行比较, 当观察值在正常值范围之外时, 就认为有入侵发生。
统计手段的主要特点是它可以自适应学习用户行为或网络状态, 完善特征文件, 从而具有较高检出率和可用性, 能够检测到未知的入侵和较为复杂的入侵。但是, 统计方法具有一些明显的缺点。例如需要分析大量的审计数据, 使用的阈值难以确定;可能被入侵者训练;系统的正常行为模型建立困难等。
3.7 神经网络
在入侵检测方面, 目前软计算方法也是一个趋势, 包括神经网络、遗传算法和模糊技术。其中神经网络技术研究比另两个成熟些, 该技术通常用于异常检测系统。
这种技术使用神经网络对系统审计数据进行处理, 从中归纳总结出用户的行为模式, 并据此区分用户的行为正常与否, 也可用网络中的正常数据包和已知的攻击数据包对神经网络进行训练, 然后再识别攻击。总之, 它是以用户的正常行为特征信息的量度值作为神经网络的输入来构造基于神经网络的入侵检测系统, 能对实时检测得到的信息进行有效的处理, 并做出攻击可能性的判断。
神经网络具有自适应、自组织和自学习的能力, 可用于解决传统的统计分析技术所面临的问题, 比如难于建立确切的统计分布、难于实现方法的普适性、算法实现比较昂贵、系统臃肿且难于剪裁等, 从而能够处理一些环境信息十分复杂、背景知识不清楚的问题, 并且这种技术允许样本有较大的缺损和畸变。
3.8 预测模式生成
预测模式生成技术用于异常检测系统, 它是以如下假设为前提的:审计事件的序列不是随机的而是符合可识别的模式。预测模式生成技术试图基于己经发生的事件来预测未来事件, 如果一个与预测统计概率偏差较大的事件发生, 则被标志为攻击。
与普通的统计方法的区别在于它增加了对事件顺序和相互关系的分析, 从而扩大了检测范围。具体方法是先根据已有的事件集合按时间顺序统计出规律, 并随时间的变化和新事件的加入不断改变规律, 当发生事件的时间规律发生异常时, 即认为是入侵。
这种方法的主要优点在于能够在一定程度上防止入侵者对系统的训练;其缺点在于难以建立准确的系统事件随时间的变化的发生规律, 而且未被这些规律描述的入侵脚本将不会被标志为入侵。
3.9 完整性分析
完整性分析技术主要关注某个文件或对象是否被更改, 这经常包括文件和目录的内容及属性。它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制, 称为消息摘要函数 (例如MD5算法) , 它能识别哪怕是微小的变化。
这种技术的优点是不管何种入侵, 只要是成功的攻击导致了文件或其它对象的任何改变, 它都能够发现, 缺点是一般以批处理方式实现, 不用于实时响应, 通常用于事后分析。尽管如此, 完整性检测方法还应该是网络安全产品的必要手段之一。
4 小结
该文是对入侵检测系统的一个概述, 首先介绍了入侵检测的概念、体系结构和分类, 然后介绍了在入侵检测中使用的一些主要技术。
参考文献
[1]王嘉昀.基于移动Agent技术的IDS研究[D].四川:电子科技大学, 2005.
[2]王晓桦.基于移动Agent的分布式入侵检测系统技术与研究[D].青岛:青岛大学, 2005.
