入侵检测,顾名思义,就是对入侵行为的发现。入侵检测系统(IntrusionDetectionSystem,IDS)就是能够完成入侵检测功能的计算机软硬件系统。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测技术从计算机系统中的若干个节点获取不同信息,然后对数据进行分析,判定是否有违反安全策略的行为,从而对这些行为进行不同级别的告警。如图所示为入侵检测系统的主要工作方式。
入侵检测是一种能够积极主动地对网络进行保护的方法。由于攻击行为可以从外部网络发起,也可以从内部发起,还包括合法内部人员由于失误操作导致的虚假攻击,入侵检测会对以上三个方面进行分析。如果发现网络有受到攻击的迹象,那么就会对该行为做出相应的处理。入侵检测技术在监控网络的同时对网络的性能影响不大。可以简单地把入侵检测技术理解为一个有着丰富经验的网络侦查员,任务就是分析系统中的可疑信息,并进行相应的处理。入侵检测系统是一个相对主动的安全部件,可以把入侵检测看成网络防火墙的有效补充。
入侵检测技术的主要作用体现以下这些方面:
入侵检测系统一般不采取预防的措施来防止入侵事件的发生。入侵检测作为安全技术,主要目的有:
入侵检测技术模型的发展变化大概可以分成三个阶段,分别是集中式、层次式和集成式阶段。在每个阶段,研究人员都研究出对应的入侵检测模型。其中,研究者在集中式阶段研究出了通用入侵检测模型,在层次式阶段研究出了层次入侵检测模型,在集成式阶段研究出了管理式入侵检测模型。
Denning入侵检测模型是一个基于规则的匹配系统。该模型没有包含攻击方法和系统漏洞。它主要由主体、对象、审计记录、活动剖面、异常记录和规则集处理引擎六个部分组成。
根据系统各个模块运行的分布不同,可以将入侵检测系统分为如下两类。
(1)集中式入侵检测系统。集中式入侵检测系统的各个模块包括信息的收集和数据的分析以及响应单元都在一台主机上运行,这种方式适用于网络环境比较简单的情况。
(2)分布式入侵检测系统。分布式入侵检测系统是指系统的各个模块分布在网络中不同的计算机和设备上,分布性主要体现在数据收集模块上,如果网络环境比较复杂或数据流量较大,那么数据分析模块也会分布,按照层次性的原则进行组织。
按照入侵检测系统所采用的技术可以将其分为异常检测、误用检测。
通用的入侵检测的工作流程主要分为以下四步。
第一步:信息收集。信息收集的内容包括系统、网络、数据及用户活动的状态和行为。这一步非常重要,因为入侵检测系统很大程度上依赖于收集信息的可靠性和正确性。
第二步:信息分析,是指对收集到的数据信息进行处理分析。一般通过协议规则分析模式匹配、逻辑分析和完整性分析几种手段和方法来分析。
第三步:信息存储。当入侵检测系统捕获到有攻击发生时,为了便于系统管理人员对攻击信息进行査看和对攻击行为进行分析,还需要将入侵检测系统收集到的信息进行保存,这些数据通常存储到用户指定的日志文件或特定的数据库中。
第四步:攻击响应。对攻击信息进行了分析并确定攻击类型后,入侵检测系统会根据用户的设置,对攻击行为进行相应的处理,如发出警报、给系统管理员发邮件等方式提醒用户。或者利用自动装置直接进行处理,如切断连接、过滤攻击者的IP地址等,从而使系统能够较早地避开或阻断攻击。
1998年,MartyRoesch用C语言开发了开放源代码的入侵检测系统Snort。今天,Snort已发展成为一个多平台,具有实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测系统。在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。
Snort的结构由以下四大软件模块组成。
(1)数据包捕获模块:负责监听网络数据包,对网络进行分析。
(2)预处理模块:该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描、IP碎片等,数据包经过预处理后才传到检测引擎。
(3)检测模块:该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则匹配,就通知报警模块。
(4)报警/日志模块:经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配,则会触发一条报警。这条报警信息会传送给日志文件,甚至可以将报警传送给第三方插件。另外,报警信息也可以记入SQL数据库。
Snort拥有三大基本功能:嗅探器、数据包记录器和入侵检测。嗅探器模式仅从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式是把数据包记录到硬盘上。网络入侵检测模式是最复杂的,而且是可配置的。可以让Snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
由于现在网络发展迅速,网络传输速率大大加快,这造成了IDS工作的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技术的不完善,IDS的虚警率较高也是一大问题。
(1)分布式入侵检测。传统的入侵检测系统一般局限于单一的主机或网络架构,对异构系统及大规模网络的检测明显不足,同时不同的入侵检测系统之间不能协同工作。为此,分布式入侵检测技术是发展方向之一。
(2)应用层入侵检测。目前的入侵检测系统对应用层的入侵检测较少,因此应用层的入侵检测技术是发展方向之一。
(3)智能入侵检测。目前,入侵方法越来越多样化与综合化,速度也越来越快,尽管已经有智能体系、神经网络与遗传算法等方法应用在入侵检测领域,但这些还远远不够,需要对智能化的入侵检测系统进一步研究,以解决其自学习与自适应能力。
(4)与网络安全技术相结合。结合个人防火墙、网络防火墙、漏洞扫描、身份认证等安全技术与入侵检测技术相互联动,提供完整的网络安全保护。
总之,入侵检测系统作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时检测与分析,在网络系统受到危害之前拦截和响应入侵,它是信息系统安全不可或缺的一部分。
随着计算机网络的飞速发展,网络安全风险系数不断提高,曾经作为最主要安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙有益的补充,入侵检测系统能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全系统的完整性。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。
IDS作为网络安全架构中的重要一环,其重要地位有目共睹。但是IDS的缺点很明确,它只能提供报警,不能实施对攻击的阻断。
随着技术的不断完善和更新,IDS正呈现出新的发展态势,入侵防御系统IPS(IntrusionPreventionSystem)和入侵管理系统IMS(IntrusionManagementSystem)就是在IDS的基础上发展起来的新技术。
网络入侵检测技术发展到现在大致经历了三个阶段。
第一阶段:入侵检测系统IDS。IDS能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。但是IDS只能被动地检测攻击行为,而不能主动地把变化莫测的各种攻击阻止在网络之外。
第二阶段:入侵防御系统IPS。相对于IDS比较成熟的技术,IPS还处于发展阶段。IPS综合了防火墙、IDS、漏洞扫描与评估等安全技术,可以主动、积极地防范、阻止入侵。它部署在网络的进出口处,当检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断,这样攻击包将无法到达目标,从而可以从根本上避免攻击。
第三阶段:入侵管理系统IMS。IMS技术实际上包含了IDS、IPS的功能,并通过一个统一的平台进行统一管理,从系统的层次来解决各种入侵行为,对系统进行保护。
入侵防御系统IPS是一种计算机网络安全设施,是对防病毒软件、防火墙、身份认证等安全机制的有效补充。入侵防御系统IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时地中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。
绝大多数IDS系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报,并且IDS一般都是并联在网络当中的。有时当IDS发出警报时,攻击已经发生了,所以IDS不能实时阻止攻击的发生。
IPS是串联在网络当中的。它更倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除。
如下IPS系统工作原理图。它对每个网络数据包进行检查过滤,在发现攻击时会自己阻止攻击的发生。
IPS技术需要面对很多挑战,其中主要有三点:一是单点故障,二是性能瓶颈,三是误报和漏报。设计要求IPS必须以嵌入模式工作在网络中,这就可能造成瓶颈问题或单点故障。如果IDS出现故障,最坏的情况也就是造成某些攻击无法被检测到,而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转。如果IPS出现故障而关闭,用户就会面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。
入侵管理系统IMS技术实际上包含了IDS、IPS的功能,并通过一个统一的平台进行统一管理,从系统的层次来解决入侵行为。IMS技术是一个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。
IMS具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征,这些特征本身具有一个明确的层次关系。
第一,大规模部署是实施入侵管理的基础条件,一个有组织的完整系统通过大规模部署的作用,要远远大于单点系统简单的叠加。IMS对于网络安全监控有着同样的效用,可以实现从宏观的安全趋势分析到微观的事件控制。
第三,精确定位。入侵预警之后就需要进行精确定位,这是从发现问题到解决问题的必然途径。精确定位的可视化可以帮助管理人员及时定位问题区域,良好的定位还可以通过关联其他安全设备,进行合作抑制攻击的继续发生。IMS要求做到对外定位到边界,对内定位到设备。
第四,监管结合。监管结合就是把检测提升到管理,形成自改善的全面保障体系。监管结合最重要的是落实到对资产安全管理,通过IMS可以实现对资产风险的评估和管理。监管结合要通过人来实现,但并不意味着大量的人力投入。IMS具备良好的集中管理手段来保证人员的高效,同时具备全面的知识库和培训服务,能够有效提高管理人员的知识和经验,保证应急体系的高效运行。