《入侵检测系统(IDS)基本介绍》由会员分享,可在线阅读,更多相关《入侵检测系统(IDS)基本介绍(4页珍藏版)》请在金锄头文库上搜索。
1、入侵检测系统 (IDS) 基本介绍入侵检测是信息安全领域很热门的话题之一, 本文主要是介绍入侵检测系统的一些基 本知识。1 入侵检测的必要性谈到网络安全,人们第一个想到的是防火墙。但随着技术的发展,网络日趋复杂, 传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统技术的研究和开发。 传统的 防火墙在工作时, 会有两个方面的不足。 首先, 防火墙完全不能阻止来自内部的袭击, 其次, 由于性能的限制, 防火墙通常不能提供实时的入侵检测能力, 而这一点, 对于现在层出不穷 的攻击技术来说是至关重要的。 入侵检测系统可以弥补防火墙的不足, 为网络安全提供实时 的入侵检测及采取相应的防护手段。2
2、入侵检测的定义入侵检测 (intrusion detection) 简单地说就是通过实时地分析数据来检测、记录和终止 非法的活动或入侵的能力。 在实际应用中, 入侵检测比以上简单的定义要复杂得多, 一般是 通过各种入侵检测系统 (Intrusion Detection System IDS) 来实现各种入侵检测的功能。入侵 检测系统通过对入侵行为的过程与特征进行研究, 使安全系统对入侵事件和入侵过程作出实 时响应,包括切断网络连接、记录事件和报警等。入侵检测系统主要执行如下任务: 监视、分析用户及系统活动。 系统构造和弱点的审计。 识别反映已知进攻的活动模式并向相关人士报警。异常行为模式的统计
3、分析。 评估重要系统和数据文件的完整性。 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。3 入侵检测系统的分类根据检测数据的采集来源, 入侵检测系统可以分为: 基于网络的入侵检测系统 (NIDS) 和基于主机的入侵检测系统 (HIDS) :基于主机的入侵检测系统 (HIDS) :HIDS 一般是基于代理的, 即需要在被保护的系 统上安装一个程序。 HIDS 用于保护关键应用的服务器,实时监视可疑的连接、系 统日志、非法访问的闯入等,并且提供对典型应用的监视,如 Web 服务器应用。 基于主机的入侵检测系统有 :ISS RealSecure 、 Intruder Alter 、 Cybe
4、rSafe Centrax IDS 、Emera expert-BSM 、金诺网安 KIDS 、天阗主机版等。 基于网络的入侵检测系统 (NIDS) : NIDS 捕捉网络传输的各个数据包,并将其与 某些已知的攻击模式或签名进行比较, 从而捕获入侵者的入侵企图。 NIDS 可以无 源地安装,而不必对系统或网络进行较大的改动。基于网络的入侵检测系统有:Cisco Secure IDS 、 NFR IDS 、 Anzen Flight Jacket 、 NetProwler 、 ISS RealSecure 、 天阗网络版等 根据检测原理,入侵检测系统可以分为:异常检测和滥用检测两种,然后分别对其
5、 建立检测模型:异常检测:在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过 程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模 型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在 何种程度上将一个行为标为“异常” ,并如何做出具体决策。例如,某个用户一般 会在星期一到星期五之间登录,但现在发现他在周六早上 3:00 登录,此时基于异 常的入侵检测系统就会发出警告。从理论上说,这种系统通常只能检测邮出系统 有问题产生,而并不知道产生问题的原因所在。滥用检测:在滥用检测中,入侵过程及它在被观察系统中留下的踪迹是决策的基 础。所以,可事先定义某些特
6、征的行为是非法的,然后将观察对象与之进行比较 以做出判别。滥用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能 够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无 法检测系统未知的攻击行为,从而产生漏警。据公安部计算机信息系统安全产品 质量监督检验中心的报告,国内送检的入侵检测产品中95是属于使用入侵模板进行模式匹配的特征检测产品, 其他 5是采用其他检测方式的产品。 国外的入侵 检测产品也基本上都是采用滥用检测模型的。4 入侵检测系统的组成特点入侵检测系统一般是由两部分组成:控制中心和探测引擎。控制中心为一台装有控 制软件的主机, 负责制定入侵监测的策略, 收集来自
7、多个探测引擎的上报事件, 综合进行事 件分析,以多种方式对入侵事件作出快速响应。探测引擎负责收集数据,作处理后,上报控 制中心。控制中心和探测引擎是通过网络进行通讯的,这些通讯的数据一般经过数据加密。HIDS的探测引擎为安装在被监测主机上的age nt,它会监控系统的基本事件日志,这些基本事件包括登录错误尝试、 建立新帐号、 访问异常等等; 有些产品会监控某些具有敌 意行为的核心消息; 更加高级的 HIDS 系统还会监视特洛木马代码和后门程序的安装, 甚至 中断一些不合理的进程。HIDS 系统因为需要在所有的被监控系统上安装代理程序, 这个代理程序会消耗 CPU 周期,对于那些每个 CPU 周
8、期都很宝贵的机器来说, HIDS 可能会严重影响整个系统的效率。 但 HIDS 也有一个特别突出的优点, 那就是可以集中控制和解析系统日志, 多数企业在没有 事情发生的情况下一般不会查看系统日志,在这种情况下 HIDS 系统的优点就非常明显。HIDS 系统的典型组网图如图一所示。控制中心Manager/cosoleWWW server防火墙8AgentAgentDNS图一典型HIDS组网图NIDS的探测引擎为一个网络嗅探器。嗅探器有两个网卡, 一个网卡用于和控制中心进行通讯,另一个网络接口卡设置为“混合”模式,然后将通过这个网卡的每个数据帧捕获进来。网络嗅探器检查每个穿过被监控网段的数据,查找
9、出符合已知攻击模式或特征的数据包,看是否对被保护的网络构成威胁,然后按照预先定义的策略自动报警,阻断和记录日志等。NIDS它可以监测一个共享网络或交换机网络中Span过来的多个网段的流量。NIDS最突出的优点是 NIDS设备是无源的。多数情况下,系统的其他部分甚至不知 道NIDS的存在;而且配置NIDS设备也不需要系统管理员的介入,这是HIDS所做不到的。但NIDS设备对传输是非常敏感的,很多NIDS产品目前能够处理的网络带宽为100Mbps,所以多数NIDS设备都不适合用在高带宽的网络环境中。典型的NIDS组网图如图二。控制台和嗅控 器交互数据防火墙In ter net网络嗅探器WWW se
10、rver控制台和嗅控 器交互数据DNS server控制中心Manager/cosoleI图二典型NIDS组网图5入侵检测系统的发展现状现代的入侵检测系统起源于80年代未、90年代初。1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)。该系统第一次直接将网络流作为审计数据来源,因而可以在 不将审计数据转换成统一格式的情况下监控异种主机。 从此之后, 入侵检测系统发展史翻开 了新的一页,两大阵营正式形成:基于网络的 IDS 和基于主机的 IDS 。为了提高 IDS 产品、组
11、件及与其他安全产品之间的互操作性,美国国防高级研究计 划暑(DARPA)和互联网工程任务组的入侵检测工作组(IDWG)发起制定了一系列建议草案,从体系结构、 API 、通信机制、语言格式等方面规范IDS 的标准。 DARPA 提出的建议是公共入侵检测框架 (CIDF) ,最早由加州大学戴维斯分校安全实验室主持起草工作。 1999 年 6 月 IDWG 就入侵检测也出台了一系列草案。但是,这两个组织提出的草案或建议目前还处 于逐步完善之中,尚未作被采纳为广泛接受的国际标准。目前市场上还没有一种完全相同的统一的 IDS 解决方案。 IDS 产品多种多样,有些 产品易于安装, 支持的功能丰富,但却不
12、能用于高带宽的环境中; 有些产品性能稳定, 但用 户对其的用户界面和各种统计曲线却感到不满。 有些产品功能强大简洁, 受到许多小型用户 的青睐,但处理不了大数量级的事件。其次, IDS 产品几乎每年都发生很大的变化,无论是书本介绍的内容、杂志中的各 种评论,还是 Internet 上看到的各种资源,应留意一下这些信息的时效性。有些问题可能是 一直存在的, 但谁解决了它们以及是如何解决的往往在六个月的时间内就会发生了变化。像防火墙之类的产品已经比较成熟了,但现在其性能、速率和价格却相差很大,更不用说IDS这种目前还不是太成熟的技术了。简而言之,在选择 IDS 产品时,企业需要清楚本系统的各种需求参数,并选择一种 适合这些参数的产品。
