作为重要的网络安全工具,IDS可以对系统或网络资源进行实时检测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
1、入侵检测系统的构成与功能
入侵检测系统的4个部件组成:
1、事件发生器:提供事件记录流的信息源,从网络中获取所有的数据包,然后将所有的数据包传送给分析引擎进行数据分析和处理。
2、事件分析器:接收信息源的数据,进行数据分析和协议分析,通过这些分析发现入侵现象,从而进行下一步的操作。
3、响应单元:对基于分析引擎的数据结果产生反应,包括切断连接、发出报警信息或发动对攻击者的反击等。
4、事件数据库:存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测系统不但可以使网络管理人员及时了解网络的变化,而且能够给网络安全策略的制定提供指南,它在发现入侵后会及时作出响应,包括切断网络连接、记录事件、报警等。
入侵检测系统的基本功能有以下几点:
1、检测和分析用户与系统的活动。
2、审计系统配置和漏洞。
3、评估系统关键资源和数据文件的完整性。
4、识别已知攻击。
5、统计分析异常行为。
2、入侵检测系统的分类
2.1、按照检测类型划分
1、异常检测模型
异常检测模型(AnomalyDetection)的前提条件是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。例如,通过提交上千次相同的命令,来实施对POP3服务器的拒绝服务攻击,对付这种攻击的办法就是设定命令提交的次数,一旦超过这个设定的数系统将会发出警报。
2、特征检测模型
特征检测模型(Signature--basedDetection)又称误用检测模型(MisuseDetection),这一检测假设入侵者活动可以用一种模式表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。其检测方法与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。
2.2、按照检测对象划分
1、HIDS
HIDS系统的优点:
1、性能价格比高:在主机数量较少的情况下,这种方法的性能价格比可能更高。尽基于网络的入侵检测系统能很容易地广泛覆盖,但其价格通常是昂贵的。
2、更加精确:可以很容易地检测一-些活动,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于网络的系统中被发现。
3、视野集中:一旦入侵者得到了一个主机的用户名和口令,基于主机的代理是最有可能区分正常活动和非法活动的。
4、易于用户选择:每一个主机有其自己的代理,当然用户选择更方便了。
5、较少的主机:基于主机的方法有时不需要增加专门门的硬件平台。基于主机的入侵检测系统存在于现有的网络结构之中,包括文件服务器、Web服务器及其他共享资源。
6、对网络流量不敏感:用代理的方式--般不会因为网络流量的增加而丢掉对网络行为的监视。
7、适用于被加密的环境:由于基于主机的系统安装在遍布企业的各种主机上,它们比基于网络的入侵检测系统更适于交换,并且更适用于被加密的环境。
8、对分析“可能的攻击行为”非常有用;除了指出入侵者执行的危险命令,还能分辨出攻击行为:运行了什么程序、打开了哪些文件、执行了哪些系统调用。
HIDS系统的缺点,:
1、它必须安装在需要保护的设备上,如当一个数据库服务器需要保护时,就要在服务器本身安装入侵检测系统。
2、依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能,则必须重新配置,这将会给运行中的业务系统带来不可预见的性能影响。
2、NIDS
NIDS系统的优点:
1、隐蔽性好:一个网络上的检测器不像一个主机那样显眼和易被存取,因而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序,不提供网络服务,可以不响应其他计算机,因此可以做得比较安全。
2、视野更宽:基于网络的入侵检测甚至可以在网络的边缘上,即攻击者还没能接入网络时就被发现并制止。
3、较少的检测器:由于使用一个检测器就可以保护一个共享的网段,所以不需要很多的检测器。相反地,如果基于主机,则在每个主机。上都需要一个代理,这样的话,花费昂贵,而且难于管理。但是,如果在一个交换环境下,就需要特殊的配置。
5、操作系统无关性:基于网络的IDS作为安全监测资源,与主机的操作系统无关。与之相比,基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作,生成有用的结果。
6、占用资源少:在被保护的设备上不需要占用任何资源。
NIDS系统的缺点:
1、只能检查它直接连接网段的通信,不能检测在不同网段中的网络包。
3、处理加密的会话过程较困难。
3、入侵检测系统的部署
传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。
基于网络的入侵检测系统需要有传感器才能工作。如果传感器放置的位置不正确,入侵检测系统的工作也无法达到最佳状态。
一般可以采取以下选择:
1、放在边界防火墙之内:传感器可以发现所有来自Internet的攻击,然而如果攻击类型是TCP攻击,而防火墙或过滤路由器能封锁这种攻击,那么入侵检测系统可能就检测不到这种攻击。
2、放在边界防火墙之外:可以检测所有对保护网络的攻击事件,包括数目和类型。但是这样部署会使传感器彻底地暴露在黑客之下。
二、入侵防御系统
入侵防护系统(IntrusionPreventionSystem,简称IPS)是一种主动的、积极的入侵防范及阻止系统。它部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。IPS的检测功能类似于IDS,但IPS检测到攻击后会采取行动阻止攻击,可以说IPS是建立在IDS发展的基础上的新生网络安全产品。实时检测与主动防御是IPS最为核心的设计理念,也是它区别于防火墙和IDS的立足之本。
1、IPS主要的技术优势
1、在线安装:
IPS保留IDS实时检测的技术与功能,但是却采用了防火墙式的在线安装,即直接嵌入网络流量中,通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。
2、实时阻断:
IPS具有强有力的实时阻断功能,能够预先对入侵活动和攻击性网络流量进行拦截,以避免其造成任何损失。
3、先进的检测技术:
4、特殊规则植入功能:
5、自学习与自适应能力:
IPS串联于通信线路之内,是既具有IDS的检测功能,又能够实时中止网络入侵行为的新型安全技术设备。IPS由检测和防御两大系统组成,具备从网络到主机的防御措施与预先设定的响应设置。
2、入侵防御系统的分类
目前,从保护对象上可将IPS分为如下3类:
1、基于主机的入侵防护(HIPS):
用于保护服务器和主机系统不受不法分子的攻击和误操作的破坏。
2、基于网络的入侵防护(NIPS):
通过检测流经的网络流量,提供对网络体系的安全保护,一旦辨识出有入侵行为,NIPS就阻断该网络会话。
将基于主机的入侵防护扩展成为位于应用服务器之前的网络信息安全设备。
在ISO/OSI网络层次模型中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。
三、IDS、IRS、IPS的关联
入侵检测系统(IDS):
对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法;是一种侧重于风险管理的安全产品。
入侵响应系统(IRS):
深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析;考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击;应用入侵防御系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵。
入侵防御系统(IPS):
对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。IPS可以看作是IDS+IRS功能结合的衍生品。