帮助侵入控制计算机系统
【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
侵入控制计算机系统程序工具罪罚金多少
根据《中华人民共和国刑法》第二百八十五条第三款之规定,提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。頭條萊垍
依据《刑法修正案(七)》第9条增订的《刑法》第285条第3款的规定,犯提供非法侵入或者控制计算机信息系罪的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。萊垍頭條
侵入控制计算机系统程序工具罪
非法侵入别人的计算机属于犯罪行为。
根据《中华人民共和国刑法》:
第二百八十五条【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
提供侵入计算机
根据《中华人民共和国刑法》第二百八十五条规定:提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。
帮助侵入控制计算机系统的方法
主动防御系统(英文:Active Protection Systems,缩写:APS),是指通过探测装置获得来袭弹药(反坦克导弹、火箭)的运动特征,然后通过计算机控制对抗装置,使来袭弹药无法直接命中被防护目标的系统。
拦截型APS是发射拦截弹药(抛射拦截弹丸或发射拦截火箭)硬杀伤来摧毁来袭弹药。美国主动防御系统可以有效拦截来袭的导弹和火箭弹。
非法侵入控制计算机
1.非法侵入计算机信息系统的违反治安管理行为与非法侵入计算机信息系统罪的区别條萊垍頭
非法侵入计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。我国刑法第285条规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。頭條萊垍
侵入控制计算机系统程序工具罪缓刑概率
1、修订贪污受贿犯罪定罪量刑标准,对巨贪增加“终身监禁”措施
(1)定罪量刑标准大修:由以前规定的单纯的数额标准,修改为数额+情节的标准;
(2)对特别重大贪污受贿犯罪被判处死刑缓期执行的犯罪分子增加了可以终身监禁的措施:被判处死刑缓期执行的,人民法院根据犯罪情节等情况可以同时决定在其死刑缓期执行二年期满依法减为无期徒刑后,终身监禁,不得减刑、假释;
2、加大行贿罪处罚力度,严密惩治法网
(1)加大了行贿罪的处罚力度;
(2)严密了惩治行贿犯罪的法网,增加规定了向国家机关工作人员的近亲属等特定关系人行贿的犯罪;
原规定
修正案(九)
对犯行贿罪的,处五年以下有期徒刑或者拘役;因行贿谋取不正当利益,情节严重的,或者使国家利益遭受重大损失的,处五年以上十年以下有期徒刑;情节特别严重的,处十年以上有期徒刑或者无期徒刑,可以并处没收财产。
对犯行贿罪的,处五年以下有期徒刑或者拘役,并处罚金;因行贿谋取不正当利益,情节严重的,或者使国家利益遭受重大损失的,处五年以上十年以下有期徒刑,并处罚金;情节特别严重的,或者使国家利益遭受特别重大损失的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。
行贿人在被追诉前主动交待行贿行为的,可以减轻处罚或者免除处罚。
行贿人在被追诉前主动交待行贿行为的,可以从轻或者减轻处罚。其中,犯罪较轻的,对侦破重大案件起关键作用的,或者有重大立功表现的,可以减轻或者免除处罚。
新增
为谋取不正当利益,向国家工作人员的近亲属或者其他与该国家工作人员关系密切的人,或者向离职的国家工作人员或者其近亲属以及其他与其关系密切的人行贿的,处三年以下有期徒刑或者拘役,并处罚金;情节严重的,或者使国家利益遭受重大损失的,处三年以上七年以下有期徒刑,并处罚金;情节特别严重的,或者使国家利益遭受特别重大损失的,处七年以上十年以下有期徒刑,并处罚金。
3、收买被拐卖的妇女、儿童罪一律追究刑事责任
刑法修正案(九)草案审议期间,“人贩子一律死刑,收买者一律无期”的议论一日之间迅速占领微信朋友圈,虽然事后被认为是营销手段,但确实抓住了国人对“拐卖儿童”极度痛恨心理和敏感神经。当时的法律人群体,不断从刑法制度架构和社会管理的角度论证上述舆论的不可取,仍不能说服敏感的妈妈们。本次修正案,对收买被拐卖的妇女、儿童罪的规定进行了修改,从符合条件“可以不追究刑事责任”改为一律追究刑事责任,也算一定程度顺应民意。
原规定
修正案(九)
收买被拐卖的妇女、儿童,按照被买妇女的意愿,不阻碍其返回原居住地的,对被买儿童没有虐待行为,不阻碍对其进行解救的,可以不追究刑事责任。
收买被拐卖的妇女、儿童,对被买儿童没有虐待行为,不阻碍对其进行解救的,可以从轻处罚;按照被买妇女的意愿,不阻碍其返回原居住地的,可以从轻或者减轻处罚。
4、废除嫖宿幼女罪,以强奸罪论、从重处罚
1997年刑法修订,嫖宿幼女罪成为了单独的刑法罪名,与刑法中的强奸罪相区别。可以说,在刑法诸多罪名之中,可能再没有一个罪名能像嫖宿幼女罪那样引发巨大的废止呼声。2009年发生在贵州习水的“嫖宿幼女案”将废止呼声推向极致。本次修法大修,嫖宿幼女罪的存废之争也算有了定论。
5、对部分犯罪增加并处财产刑
◆ 对非国家工作人员行贿罪
◆ 伪造、变造、买卖国家机关公文、证件、印章罪
◆ 盗窃、抢夺、毁灭国家机关公文、证件、印章罪
◆ 伪造公司、企业、事业单位、人民团体印章罪
◆ 伪造、变造居民身份证罪(今后罪名或修改)
◆ 非法生产、销售间谍专用器材罪(今后罪名或修改)
◆ 组织、利用会道门、邪教组织、利用迷信破坏法律实施罪
◆ 组织、利用会道门、邪教组织、利用迷信致人死亡罪
◆ 受贿罪
◆ 行贿罪
◆ 对单位行贿罪
◆ 介绍贿赂罪
◆ 单位行贿罪
6、对部分罪名增设单位犯
◆ 虐待罪
◆ 非法生产、销售间谍专用器材罪
◆ 非法侵入计算机信息系统罪
◆ 非法获取计算机信息系统数据、非法控制计算机信息系统罪
◆ 提供侵入、非法控制计算机信息系统程序、工具罪
◆ 破坏计算机信息系统罪
◆ 拒不执行判决、裁定罪
7、取消9个“备而不用”死刑罪名
本次刑法大修,下列9个罪名不再适用死刑:
◆ 走私武器、弹药罪
◆ 走私核材料罪
◆ 走私假币罪
◆ 伪造货币罪
◆ 集资诈骗罪
◆ 组织卖淫罪
◆ 强迫卖淫罪
◆ 阻碍执行军事职务罪
◆ 战时造谣惑众罪
8、虚假诉讼入刑
以捏造的事实提起民事诉讼,妨害司法秩序或者严重侵害他人合法权益的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;情节严重的,处三年以上七年以下有期徒刑,并处罚金。
9、司法工作人员、诉讼参与人泄露案件信息或构罪
司法工作人员、辩护人、诉讼代理人或者其他诉讼参与人,泄露依法不公开审理的案件中不应当公开的信息,造成信息公开传播或者其他严重后果的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。公开披露、报道上述案件信息,情节严重的,追究刑事责任。
10、备受律师界关注和争论的扰庭罪
原规定
修正案(九)
聚众哄闹、冲击法庭,或者殴打司法工作人员,严重扰乱法庭秩序的,处三年以下有期徒刑、拘役、管制或者罚金。
有下列扰乱法庭秩序情形之一的,处三年以下有期徒刑、拘役、管制或者罚金:
(一)聚众哄闹、冲击法庭的;
(二)殴打司法工作人员或者诉讼参与人的;
(三)侮辱、诽谤、威胁司法工作人员或者诉讼参与人,不听法庭制止,严重扰乱法庭秩序的;
(四)有毁坏法庭设施,抢夺、损毁诉讼文书、证据等扰乱法庭秩序行为,情节严重的。
11、重罚老赖,法定最高刑提升至七年
原规定
修正案(九)
对人民法院的判决、裁定有能力执行而拒不执行,情节严重的,处三年以下有期徒刑、拘役或者罚金。
对人民法院的判决、裁定有能力执行而拒不执行,情节严重的,处三年以下有期徒刑、拘役或者罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
12、猥亵男性或构成犯罪
原规定
修正案(九)
以暴力、胁迫或者其他方法强制猥亵妇女或者侮辱妇女的,处五年以下有期徒刑或者拘役。
以暴力、胁迫或者其他方法强制猥亵他人或者侮辱妇女的,处五年以下有期徒刑或者拘役
13、将绑架中的“撕票”从结果犯改为行为犯,提升故意伤害被绑架人,致人重伤的量刑
但从罪过形式看,致使被绑架人死亡,可能包括行为人过失致人死亡,刑法修正案(九)对过失致被绑架人死亡的量刑似乎变轻了。
原规定
修正案(九)
犯前款罪,致使被绑架人死亡或者杀害被绑架人的,处死刑,并处没收财产。
犯前款罪,杀害被绑架人的,或者故意伤害被绑架人,致人重伤、死亡的,处无期徒刑或者死刑,并处没收财产。
14、未将毒驾纳入危险驾驶罪,将校车、旅客运输业务超员、超速行驶规定为犯罪
(1)将从事校车业务或者旅客运输,严重超过额定乘员载客,或者严重超过规定时速行驶,以及违反危险化学品安全管理规定运输危险化学品,危及公共安全的行为规定为犯罪。同时规定,机动车所有人、管理人负有直接责任的,追究刑事责任。
(2)因毒品种类繁多、快速检测技术手段不成熟以及非刑罚措施已经足够周全等原因,“毒驾”未列入刑法修正案(九)。
15、增加“从业禁止”的非刑罚性处置措施
因利用职业便利实施犯罪,或者实施违背职业要求的特定义务的犯罪被判处刑罚的,人民法院可以根据犯罪情况和预防再犯罪的需要,禁止其自刑罚执行完毕之日或者假释之日起从事相关职业,期限为三年至五年。被禁止从事相关职业的人违反人民法院依照前款规定作出的决定的,由公安机关依法给予处罚;情节严重的,依照本法第三百一十三条的规定(拒不执行判决、裁定罪)定罪处罚。
16、加大对恐怖主义犯罪的打击力度,完善相关罪名的设定
2013年以来,新疆发生多起暴力恐怖袭击案,对我国的民族团结和新疆的经济建设造成了极大的破坏。全球恐怖主义势力也有所抬头。本次刑法大修,对恐怖主义犯罪的整个链条,包括组织、领导、参加、资助、培训、招募、运送人员、准备工具、联络、策划、宣扬、煽动等各环节和参与方式进行打击。
构成涉恐犯罪的行为一览:
◆ 组织、领导、参加恐怖活动组织
◆ 资助恐怖活动组织、资助实施恐怖活动的个人、资助恐怖活动培训
◆ 为恐怖活动组织、实施恐怖活动或者恐怖活动培训招募、运送人员
◆ 为实施恐怖活动准备凶器、危险物品或者其他工具
◆ 组织恐怖活动培训或者积极参加恐怖活动培训
◆ 为实施恐怖活动与境外恐怖活动组织或者人员联络的
◆ 为实施恐怖活动进行策划或者其他准备
◆ 以制作、散发宣扬恐怖主义、极端主义的图书、音频视频资料或者其他物品,或者通过讲授、发布信息等方式宣扬恐怖主义、极端主义,或者煽动实施恐怖活动
◆ 利用极端主义煽动、胁迫群众破坏国家法律确立的婚姻、司法、教育、社会管理等制度实施
◆ 以暴力、胁迫等方式强制他人在公共场所穿着、佩戴宣扬恐怖主义、极端主义服饰、标志
◆ 明知是宣扬恐怖主义、极端主义的图书、音频视频资料或者其他物品而非法持有,情节严重的
17、通过信息网络实施的侮辱罪、诽谤罪的自诉案件,人民法院可以要求公安机关提供协助
18、从严规定出售、非法提供公民个人信息罪的犯罪构成,提升法定最高刑,对特殊来源构成犯罪的从重处罚
原规定
修正案(九)
国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
19、非法获取公民个人信息罪的表述有修改
原规定
修正案(九)
窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
20、打击家暴:虐待罪的被害人没有能力告诉,或者无法告诉的,不适用“告诉才处理”,有监护、看护的职责的人实施虐待重罚
原规定
修正案(九)
虐待家庭成员,情节恶劣的,处二年以下有期徒刑、拘役或者管制。
犯前款罪,致使被害人重伤、死亡的,处二年以上七年以下有期徒刑。
第一款罪,告诉的才处理。
第一款罪,告诉的才处理,但被害人没有能力告诉,或者因受到强制、威吓无法告诉的除外。
对未成年人、老年人、患病的人、残疾人等负有监护、看护职责的人虐待被监护、看护的人,情节恶劣的,处三年以下有期徒刑或者拘役。
21、多次抢夺公私财物,即使达不到数额较大的标准,也构成犯罪
22、暴力袭警未单独设立罪名
暴力袭击正在依法执行职务的人民警察,以妨害公务罪从重处罚。
23、不得使用假“身份证、护照、社会保险卡、驾驶证”
伪造、变造居民身份证的犯罪作了修改,将证件的范围扩大至护照、社会保障卡、驾驶证等依法可以用于证明身份的证件,并进一步规定,在依照国家规定应当提供身份证明的活动中,使用伪造、变造的或者盗用他人的居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件,情节严重的,追究刑事责任。
24、非法生产、销售间谍专用器材罪修改,惩处范围有所扩大,最高刑提升
原规定
修正案(九)
非法生产、销售窃听、窃照等专用间谍器材的,处三年以下有期徒刑、拘役或者管制。
非法生产、销售专用间谍器材或者窃听、窃照专用器材的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;情节严重的,处三年以上七年以下有期徒刑,并处罚金
25、在国家考试中,组织作弊、卖作弊器材、卖题、替考或构成犯罪
帮助侵入控制计算机系统的软件
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测技术 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统 入侵检测技术的分类: 入侵检测系统所采用的技术可分为特征检测与异常检测两种。 1 .特征检测: 特征检测 (Signature-based detection) 又称 Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 2 .异常检测: 异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 入侵检测系统的工作步骤 对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。 信息收集 入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。 当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。 1.系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 2.目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。 3.程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。 4. 物理形式的入侵信息 这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。 信号分析 对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。 1. 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。 2.统计分析 统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。 3.完整性分析 完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。 入侵检测系统典型代表 入侵检测系统的典型代表是ISS公司(国际互联网安全系统公司)的RealSecure。它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而最大程度地为企业网络提供安全。 入侵检测功能 ·监督并分析用户和系统的活动 ·检查系统配置和漏洞 ·检查关键系统和数据文件的完整性 ·识别代表已知攻击的活动模式 ·对反常行为模式的统计分析 ·对操作系统的校验管理,判断是否有破坏安全的用户活动。 ·入侵检测系统和漏洞评估工具的优点在于: ·提高了信息安全体系其它部分的完整性 ·提高了系统的监察能力 ·跟踪用户从进入到退出的所有活动或影响 ·识别并报告数据文件的改动 ·发现系统配置的错误,必要时予以更正 ·识别特定类型的攻击,并向相应人员报警,以作出防御反应 ·可使系统管理人员最新的版本升级添加到程序中 ·允许非专家人员从事系统安全工作 ·为信息安全策略的创建提供指导 ·必须修正对入侵检测系统和漏洞评估工具不切实际的期望:这些产品并不是无所不能的,它们无法弥补力量薄弱的识别和确认机制 ·在无人干预的情况下,无法执行对攻击的检查 ·无法感知公司安全策略的内容 ·不能弥补网络协议的漏洞 ·不能弥补由于系统提供信息的质量或完整性的问题 ·它们不能分析网络繁忙时所有事务 ·它们不能总是对数据包级的攻击进行处理 ·它们不能应付现代网络的硬件及特性 入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究