集中空调系统
戒瘾入侵检测是信息安全领域很热门的话题之一,本文主要是介绍入侵检测系统的一些基本知识。
1 入侵检测的必要性
谈到网络安全,人们第一个想到的是防火墙。但随着技术的发展,网络日趋复杂,传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统技术的研究和开发。传统的防火墙在工作时,会有两个方面的不足。首先,防火墙完全不能阻止来自内部的袭击,其次,由于性能的限制,防火墙通常不能提供实时的入侵检测能力,而这一点,对于现在层出不穷的攻击技术来说是至关重要的。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段。 2 入侵检测的定义
入侵检测(intrusion detection)简单地说就是通过实时地分析数据来检测、记录和终止非法的活动或入侵的能力。在实际应用中,入侵检测比以上简单的定义要复杂得多,一般是通过各
种入侵检测系统(Intrusion Detection System—IDS)来实现各种入侵检测的功能。入侵检测系统通过对入侵行为的过程与特征进行研究,使安全系统对入侵事件和入侵过程作出实时响应,包括切断网络连接、记录事件和报警等。
入侵检测系统主要执行如下任务:
⏹ 监视、分析用户及系统活动。
⏹ 系统构造和弱点的审计。 引擎
⏹ 识别反映已知进攻的活动模式并向相关人士报警。
⏹ 异常行为模式的统计分析。
⏹ 评估重要系统和数据文件的完整性。
⏹ 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
人与野兽3 入侵检测系统的分类
根据检测数据的采集来源,入侵检测系统可以分为:基于网络的入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS):
戴可普⏹ 基于主机的入侵检测系统(HIDS):HIDS一般是基于代理的,即需要在被保护的系统上安装一个程序。HIDS用于保护关键应用的服务器,实时监视可疑的连接、系统日志、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。基于主机的入侵检测系统有:ISS RealSecure 、Intruder Alter、CyberSafe Centrax IDS 、Emera expert-BSM、金诺网安KIDS、天阗主机版等。
⏹ 基于网络的入侵检测系统(NIDS): NIDS捕捉网络传输的各个数据包,并将其与某些已知的攻击模式或签名进行比较,从而捕获入侵者的入侵企图。NIDS可以无源地安装,而不必对系统或网络进行较大的改动。基于网络的入侵检测系统有:Cisco Secure IDS 、 NFR IDS、 Anzen Flight Jacket 、 NetProwler、ISS RealSecure 、 天阗网络版等
根据检测原理,入侵检测系统可以分为:异常检测和滥用检测两种,然后分别对其建立检测模型:
⏹ 异常检测:在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”,并如何做出具体决策。例如,某个用户一般会在星期一到星期五之间登录,但现在发现他在周六早上3:00登录,此时基于异常的入侵检测系统就会发出警告。从理论上说,这种系统通常只能检测邮出系统有问题产生,而并不知道产生问题的原因所在。
⏹ 滥用检测:在滥用检测中,入侵过程及它在被观察系统中留下的踪迹是决策的基础。所以,可事先定义某些特征的行为是非法的,然后将观察对象与之进行比较以做出判别。滥用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏警。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用其他检测方式的产品。国外的入侵检测产品也基本上都是采用滥用检测模型的。 4 入侵检测系统的组成特点
入侵检测系统一般是由两部分组成:控制中心和探测引擎。控制中心为一台装有控制软件的主机,负责制定入侵监测的策略,收集来自多个探测引擎的上报事件,综合进行事件分析,以多种方式对入侵事件作出快速响应。探测引擎负责收集数据,作处理后,上报控制中心。控制中心和探测引擎是通过网络进行通讯的,这些通讯的数据一般经过数据加密。
HIDS的探测引擎为安装在被监测主机上的agent,它会监控系统的基本事件日志,这些基本事件包括登录错误尝试、建立新帐号、访问异常等等;有些产品会监控某些具有敌意行为的核心消息;更加高级的HIDS系统还会监视特洛木马代码和后门程序的安装,甚至中断一些不合理的进程。
HIDS系统因为需要在所有的被监控系统上安装代理程序,这个代理程序会消耗CPU周期,对于那些每个CPU周期都很宝贵的机器来说,HIDS可能会严重影响整个系统的效率。但HIDS也有一个特别突出的优点,那就是可以集中控制和解析系统日志,多数企业在没有事情发生的情况下一般不会查看系统日志,在这种情况下HIDS系统的优点就非常明显。
HIDS系统的典型组网图如图一所示。
图一 典型HIDS组网图
NIDS的探测引擎为一个网络嗅探器。嗅探器有两个网卡,一个网卡用于和控制中心进行通讯,另一个网络接口卡设置为“混合”模式,然后将通过这个网卡的每个数据帧捕获进来。网络嗅探器检查每个穿过被监控网段的数据,查出符合已知攻击模式或特征的数据包,看是否对被保护的网络构成威胁,然后按照预先定义的策略自动报警,阻断和记录日志等。NIDS它可以监测一个共享网络或交换机网络中Span过来的多个网段的流量。
NIDS最突出的优点是NIDS设备是无源的。多数情况下,系统的其他部分甚至不知道NIDS的存在;而且配置NIDS设备也不需要系统管理员的介入,这是HIDS所做不到的。但NIDS
设备对传输是非常敏感的,很多NIDS产品目前能够处理的网络带宽为100Mbps,所以多数NIDS设备都不适合用在高带宽的网络环境中。
典型的NIDS组网图如图二。
图二 典型NIDS组网图
5 入侵检测系统的发展现状
现代的入侵检测系统起源于80年代未、90年代初。1990年是入侵检测系统发展史上的一个
分水岭。这一年,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)。该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。清分机
为了提高IDS产品、组件及与其他安全产品之间的互操作性,美国国防高级研究计划暑(DARPA)和互联网工程任务组的入侵检测工作组(IDWG)发起制定了一系列建议草案,从体系结构、API、通信机制、语言格式等方面规范IDS的标准。DARPA提出的建议是公共入侵检测框架(CIDF),最早由加州大学戴维斯分校安全实验室主持起草工作。1999年6月IDWG就入侵检测也出台了一系列草案。但是,这两个组织提出的草案或建议目前还处于逐步完善之中,尚未作被采纳为广泛接受的国际标准。
目前市场上还没有一种完全相同的统一的IDS解决方案。IDS产品多种多样,有些产品易于安装,支持的功能丰富,但却不能用于高带宽的环境中;有些产品性能稳定,但用户对其的用户界面和各种统计曲线却感到不满。有些产品功能强大简洁,受到许多小型用户的青睐,但处理不了大数量级的事件。
其次,IDS产品几乎每年都发生很大的变化,无论是书本介绍的内容、杂志中的各种评论,还是Internet上看到的各种资源,应留意一下这些信息的时效性。有些问题可能是一直存在的,但谁解决了它们以及是如何解决的往往在六个月的时间内就会发生了变化。像防火墙之类的产品已经比较成熟了,但现在其性能、速率和价格却相差很大,更不用说IDS这种目前还不是太成熟的技术了。
简而言之,在选择IDS产品时,企业需要清楚本系统的各种需求参数,并选择一种适合这些参数的产品。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议