第三章 化工生产过程检测及技术应用




             滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置
             的漏洞，而 IDS 监视和记录网络流量。如果在同一台主机上运行 IDS 和扫描器
             的话，配置合理的 IDS 会发出许多报警。一般来说，入侵检测系统可分为主机型

             （HIDS）和网络型（NIDS）。主机型入侵检测系统往往以系统日志、应用程序
             日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机
             收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵
             检测系统的数据源则是网络上的数据分组。往往将一台机子的网卡设于混杂模式

             （Promisc Mode），监听所有本网段内的数据分组并进行判断。一般网络型入侵
             检测系统担负着保护整个网段的任务。具体说来，入侵检测系统的主要有以下功
             能：第一，监测并分析用户和系统的活动。第二，核查系统配置和漏洞。第三，
             评估系统关键资源和数据文件的完整性。第四，识别已知的攻击行为。第五，统

             计分析异常行为。第六，操作系统日志管理，并识别违反安全策略的用户活动。
                 （二）IDS 的弱点和局限
                 1. 针对 IDS 的网络局限
                 （1）网络拓扑局限

                 对于一个较复杂的网络而言，通过精心发包，可以导致 NIDS 与受保护的主
             机收到的包的内容或者顺序不一样，从而绕过 NIDS 的监测。
                 （2）其他路由
                 由于一些非技术的因素，可能存在其他路由可以绕过 NIDS 到达受保护主机

             （如某个被忽略的 Modem，但 Modem 旁没有安装 NIDS）。如果 IP 源路由选项
             允许的话，可以通过精心设计 IP 路由绕过 NIDS。
                 （3）TTL
                 如果数据分组到达 NIDS 与受保护的主机的 HOP 数不一样，则可以通过精

             心设置 TTL 值来使某个数据分组只能被 NIDS 或者只能被受保护的主机收到，
             从而使 NIDS 的 Sensor 与受保护主机收到的数据分组不一样，从而绕过 NIDS 的
             监测。
                 （4）MTU

                 如果 NIDS 的 MTU 与受保护主机的 MTU 不一致的话（由于受保护的主机
             各种各样，其 MTU 设置也不一样），则可以精心设置 MTU 处于两者之间，并
             设置此包不可分片，使 NIDS 的 Sensor 与受保护主机收到的数据分组不一样，从



                                                                                  ·89·