第一章 入侵檢測系統概念
當越來越多的公司將其核心業務向網際網路轉移的時候,網路安全作為乙個無法迴避的問題呈現在人們面前。傳統上,公司一般採用防火牆作為安全的第一道防線。而隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨複雜多樣,單純的防火牆策略已經無法滿足對安全高度敏感的部門的需要,網路的防衛必須採用一種縱深的、多樣的手段。與此同時,當今的網路環境也變得越來越複雜,各式各樣的複雜的裝置,需要不斷公升級、補漏的系統使得網路管理員的工作不斷加重,不經意的疏忽便有可能造成安全的重大隱患。在這種環境下,入侵檢測系統成為了安全市場上新的熱點,不僅愈來愈多的受到人們的關注,而且已經開始在各種不同的環境中發揮其關鍵作用。
本文中的"入侵"(intrusion)是個廣義的概念,不僅包括被發起攻擊的人(如惡意的黑客)取得超出合法範圍的系統控制權,也包括收集漏洞資訊,造成拒絕訪問(denial of service)等對計算機系統造成危害的行為。
入侵檢測(intrusion detection),顧名思義,便是對入侵行為的發覺。它通過對計算機網
絡或計算機系統中得若干關鍵點收集資訊並對其進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟體與硬體的組合便是入侵檢測系統(intrusion detection system,簡稱ids)。與其他安全產品不同的是,入侵檢測系統需要更多的智慧型,它必須可以將得到的資料進行分析,並得出有用的結果。乙個合格的入侵檢測系統能大大的簡化管理員的工作,保證網路安全的執行。
具體說來,入侵檢測系統的主要功能有([2]):
a.監測並分析使用者和系統的活動;
b.核查系統配置和漏洞;
c.評估系統關鍵資源和資料檔案的完整性;
d.識別已知的攻擊行為;
e.統計分析異常行為;
f.作業系統日誌管理,並識別違反安全策略的使用者活動。
由於入侵檢測系統的市場在近幾年中飛速發展,許多公司投入到這一領域上來。除了國外的iss、axent、nfr、cisco等公司外,國內也有數家公司(如中聯綠盟,中科網威等)推出了自己相應的產品。但就目前而言,入侵檢測系統還缺乏相應的標準。目前,試圖對ids進行標
準化的工作有兩個組織:ietf的intrusion detection working group (idwg)和common int
rusion detection framework (cidf),但進展非常緩慢,尚沒有被廣泛接收的標準出台。
第二章 入侵檢測系統模型
2.1 cidf模型
common intrusion detection framework (cidf)(http://www.gidos.org/)闡述了乙個入侵檢測系統(ids)的通用模型。它將乙個入侵檢測系統分為以下元件:
l事件產生器(event generators)
l 事件分析器(event analyzers
l 響應單元(response units )
l 事件資料庫(event databases )
cidf將ids需要分析的資料統稱為事件(event),它可以是網路中的資料報,也可以是從系統
日誌等其他途徑得到的資訊。
事件產生器的目的是從整個計算環境中獲得事件,並向系統的其他部分提供此事件。事件分析器分析得到的資料,並產生分析結果。響應單元則是對分析結果作出作出反應的功能單元,它可以作出切斷連線、改變檔案屬性等強烈反應,也可以只是簡單的報警。事件資料庫是存放各種中間和最終資料的地方的統稱,它可以是複雜的資料庫,也可以是簡單的文字檔案。
在這個模型中,前三者以程式的形式出現,而最後乙個則往往是檔案或資料流的形式。
在其他文章中,經常用資料採集部分、分析部分和控制台部分來分別代替事件產生器、事件分析器和響應單元這些術語。且常用日誌來簡單的指代事件資料庫。如不特別指明,本文中兩套術語意義相同。
2.2 ids分類
一般來說,入侵檢測系統可分為主機型和網路型。
主機型入侵檢測系統往往以系統日誌、應用程式日誌等作為資料來源,當然也可以通過其他手段(如監督系統呼叫)從所在的主機收集資訊進行分析。主機型入侵檢測系統保護的一般是所在的系統。
網路型入侵檢測系統的資料來源則是網路上的資料報。往往將一台機子的網絡卡設於混雜模式(promisc mode),監聽所有本網段內的資料報並進行判斷。一般網路型入侵檢測系統擔負著保護整個網段的任務。
不難看出,網路型ids的優點主要是簡便:乙個網段上只需安裝乙個或幾個這樣的系統,便可以監測整個網段的情況。且由於往往分出單獨的計算機做這種應用,不會給執行關鍵業務的主機帶來負載上的增加。但由於現在網路的日趨複雜和高速網路的普及,這種結構正受到越來越大的挑戰。乙個典型的例子便是交換式乙太網。
而儘管主機型ids的缺點顯而易見:必須為不同平台開發不同的程式、增加系統負荷、所需安裝數量眾多等,但是內在結構卻沒有任何束縛,同時可以利用作業系統本身提供的功能、並結合異常分析,更準確的報告攻擊行為。參考文獻[7]對此做了描述,感興趣的讀者可參看。
入侵檢測系統的幾個部件往往位於不同的主機上。一般來說會有三颱機器,分別執行事件產生器、事件分析器和響應單元。在安裝ids的時候,關鍵是選擇資料採集部分所在的位置,因為它決定了"事件"的可見度。
對於主機型ids,其資料採集部分當然位於其所監測的主機上。
對於網路型ids,其資料採集部分則有多種可能:
(1)如果網段用匯流排式的集線器相連,則可將其簡單的接在集線器的乙個埠上即可;
(2)對於交換式乙太網交換機,問題則會變得複雜。由於交換機不採用共享媒質的辦法,傳統的採用乙個sniffer來監聽整個子網的辦法不再可行。可解決的辦法有:
a.交換機的核心晶元上一般有乙個用於除錯的埠(span port),任何其他埠的進出資訊都可從此得到。如果交換機廠商把此埠開放出來,使用者可將ids系統接到此埠上。
優點:無需改變ids體系結構。
缺點:採用此埠會降低交換機效能。
b.把入侵檢測系統放在交換機內部或防火牆內部等資料流的關鍵入口、出口。
優點:可得到幾乎所有關鍵資料。
缺點:必須與其他廠商緊密合作,且會降低網路效能。
c.採用分接器(tap),將其接在所有要監測的線路上。
優點:再不降低網路效能的前提下收集了所需的資訊。
缺點:必須購買額外的裝置(tap);若所保護的資源眾多,ids必須配備眾多網路介面。
d.可能唯一在理論上沒有限制的辦法就是採用主機型ids。
2.3 通訊協議
ids系統元件之間需要通訊,不同的廠商的ids系統之間也需要通訊。因此,定義統一的協議,使各部分能夠根據協議所致訂的的標準進行溝通是很有必要的。
ietf目前有乙個專門的小組intrusion detection working group (idwg)負責定義這種通訊
格式,稱作intrusion detection exchange format。目前只有相關的草案(internet draft),並未形成正式的rfc文件。儘管如此,草案為ids各部分之間甚至不同ids系統之間的通訊提供了一定的指引。
iap(intrusion alert protocol)是idwg制定的、執行於tcp之上的應用層協議,其設計在很大程度上參考了http,但補充了許多其他功能(如可從任意端發起連線,結合了加密、身份驗證等)。對於iap的具體實現,請參看 [9],其中給出了非常詳盡的說明。這裡我們主要討論一下設計乙個入侵檢測系統通訊協議時應考慮的問題:
1. 分析系統與控制系統之間傳輸的資訊是非常重要的資訊,因此必須要保持資料的真實性和完整性。必須有一定的機制進行通訊雙方的身份驗證和保密傳輸(同時防止主動和被動攻擊)。
2. 通訊的雙方均有可能因異常情況而導致通訊中斷,ids系統必須有額外措施保證系統正常工作。
2.4入侵檢測技術
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基於標誌(signature-based),另一種基於異常情況(anomaly-based)。
對於基於標識的檢測技術來說,首先要定義違背安全策略的事件的特徵,如網路資料報的某些頭資訊。檢測主要判別這類特徵是否在所收集到的資料中出現。此方法非常類似防毒軟體。
而基於異常的檢測技術則是先定義一組系統"正常"情況的數值,如cpu利用率、記憶體利用率、檔案校驗和等(這類資料可以人為定義,也可以通過觀察系統、並用統計的辦法得出),然後將系統執行時的數值與所定義的"正常"情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在於如何定義所謂的"正常"情況。
兩種檢測技術的方法、所得出的結論有非常大的差異。基於異常的檢測技術的核心是維護乙個知識庫。對於已知得攻擊,它可以詳細、準確的報告報告出攻擊型別,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新。基於異常的檢測技術則無法準確判別出攻擊的手法,但它可以(至少在理論上可以)判別更廣範、甚至未發覺的攻擊。
如果條件允許,兩者結合的檢測會達到更好的效果。
第四章 存在的問題
儘管有眾多的商業產品出現,與諸如防火牆等技術高度成熟的產品相比,入侵檢測系統還存在相當多的問題。這一章我們便要討論一下對其進行威脅的主要因素,值得注意的是,這些問題大多是目前入侵檢測系統的結構所難以克服的(包括warcher),而且這些矛盾可能越來越尖銳。
IDS 入侵檢測系統
ids 詳細內容請點 開放分類 資訊科技 硬體 電腦 網路安全 ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機...
IDS入侵檢測
ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。我們做乙個形象的比喻 假如 防火牆是一幢大...
入侵檢測系統(IDS)與協同
前面我已經談到過入侵檢測有如下功能 還沒看關於入侵檢測的來來來,傳送門在此 入侵檢測系統詳解 監控分析使用者和系統活動 返現入侵企圖或異常現象 記錄報警和響應 目前的入侵檢測系統是網路安全整體解決方案的乙個重要部分,需要與其他安全裝置 之間協同工作,共同解決網路安全問題,這就對引入協同提出了要求。入...