入侵檢測(cè)系統(tǒng)(IDS)

入侵檢測(cè)系統(tǒng)IDS黑客攻擊日益猖獗,防范問(wèn)題日趨嚴(yán)峻政府、軍事、郵電和金融網(wǎng)絡(luò)是黑客攻擊的主要目標(biāo)。即便已經(jīng)擁有高性能防火墻等安全產(chǎn)品，照舊抵抗不住這些黑客對(duì)網(wǎng)絡(luò)和系統(tǒng)的破壞。據(jù)統(tǒng)計(jì)，幾乎每20秒全球就有一起黑客大事發(fā)生，僅美國(guó)每年所造成的經(jīng)濟(jì)損失就超過(guò)100億美元。網(wǎng)絡(luò)入侵的特點(diǎn)網(wǎng)絡(luò)入侵的特點(diǎn)沒(méi)有地域和時(shí)間的限制；通過(guò)網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動(dòng)之間，隱蔽性強(qiáng)；入侵手段更加隱蔽和簡(jiǎn)單。為什么需要IDS？單一防護(hù)產(chǎn)品的弱點(diǎn)防范方法和防范策略的有限性動(dòng)態(tài)多變的網(wǎng)絡(luò)環(huán)境來(lái)自外部和內(nèi)部的威逼為什么需要IDS？關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備，只能抵抗外部來(lái)的入侵行為自身存在弱點(diǎn)，也可能被攻破對(duì)某些攻擊愛(ài)護(hù)很弱即使透過(guò)防火墻的愛(ài)護(hù)，合法的使用者仍會(huì)非法地使用系統(tǒng)，甚至提升自己的權(quán)限僅能拒絕非法的連接請(qǐng)求，但是對(duì)于入侵者的攻擊行為仍一無(wú)所知為什么需要IDS？入侵很簡(jiǎn)潔入侵教程隨處可見(jiàn)各種工具唾手可得入侵檢測(cè)的概念入侵檢測(cè)〔IntrusionDetection〕：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)展分析，從中覺(jué)察網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)〔IDS〕：入侵檢測(cè)系統(tǒng)是軟件與硬件的組合，是防火墻的合理補(bǔ)充，是防火墻之后的其次道安全閘門(mén)。入侵檢測(cè)的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶(hù)、違反安全策略、合法用戶(hù)的泄漏、獨(dú)占資源以及惡意使用。入侵檢測(cè)的職責(zé)IDS系統(tǒng)主要有兩大職責(zé)：實(shí)時(shí)檢測(cè)和安全審計(jì)，具體包含4個(gè)方面的內(nèi)容識(shí)別黑客常用入侵與攻擊監(jiān)控網(wǎng)絡(luò)特別通信鑒別對(duì)系統(tǒng)漏洞和后門(mén)的利用完善網(wǎng)絡(luò)安全治理

入侵檢測(cè)系統(tǒng)的功能監(jiān)控用戶(hù)和系統(tǒng)的活動(dòng)查找非法用戶(hù)和合法用戶(hù)的越權(quán)操作檢測(cè)系統(tǒng)配置的正確性和安全漏洞評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)的完整性識(shí)別攻擊的活動(dòng)模式并向網(wǎng)管人員報(bào)警對(duì)用戶(hù)的非正?；顒?dòng)進(jìn)展統(tǒng)計(jì)分析，覺(jué)察入侵行為的規(guī)律操作系統(tǒng)審計(jì)跟蹤治理，識(shí)別違反政策的用戶(hù)活動(dòng)檢查系統(tǒng)程序和數(shù)據(jù)的全都性與正確性入侵檢測(cè)系統(tǒng)模型(Denning)入侵檢測(cè)系統(tǒng)模型(CIDF)入侵檢測(cè)系統(tǒng)的組成特點(diǎn)入侵檢測(cè)系統(tǒng)一般是由兩局部組成：掌握中心和探測(cè)引擎。掌握中心為一臺(tái)裝有掌握軟件的主機(jī)，負(fù)責(zé)制定入侵監(jiān)測(cè)的策略，收集來(lái)自多個(gè)探測(cè)引擎的上報(bào)大事，綜合進(jìn)展大事分析，以多種方式對(duì)入侵大事作出快速響應(yīng)。探測(cè)引擎負(fù)責(zé)收集數(shù)據(jù)，作處理后，上報(bào)掌握中心。掌握中心和探測(cè)引擎是通過(guò)網(wǎng)絡(luò)進(jìn)展通訊的，這些通訊的數(shù)據(jù)一般經(jīng)過(guò)數(shù)據(jù)加密。入侵檢測(cè)的工作過(guò)程信息收集檢測(cè)引擎從信息源收集系統(tǒng)、網(wǎng)絡(luò)、狀態(tài)和行為信息。信息分析從信息中查找和分析表征入侵的特別和可疑信息。告警與響應(yīng)依據(jù)入侵性質(zhì)和類(lèi)型，做出相應(yīng)的告警和響應(yīng)。信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的假設(shè)干不同關(guān)鍵點(diǎn)〔不同網(wǎng)段和不同主機(jī)〕收集信息，這樣做的理由就是從一個(gè)來(lái)源的信息有可能看不出疑點(diǎn)，但從幾個(gè)來(lái)源的信息的不全都性卻是可疑行為或入侵的最好標(biāo)識(shí)。信息收集入侵檢測(cè)的效果很大程度上依靠于收集信息的牢靠性和正確性要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特殊是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的牢固性，防止被篡改而收集到錯(cuò)誤的信息信息收集系統(tǒng)和網(wǎng)絡(luò)日志文件名目和文件中的不期望的轉(zhuǎn)變程序執(zhí)行中的不期望行為物理形式的入侵信息信息分析模式匹配----誤用檢測(cè)〔MisuseDetection〕維護(hù)一個(gè)入侵特征學(xué)問(wèn)庫(kù)準(zhǔn)確性高統(tǒng)計(jì)分析--------特別檢測(cè)〔AnomalyDetection〕統(tǒng)計(jì)模型誤報(bào)、漏報(bào)較多完整性分析關(guān)注某個(gè)文件或?qū)ο笫欠癖桓氖潞蠓治?7模式匹配模式匹配就是將收集到的信息與的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)展比較，從而覺(jué)察違反安全策略的行為一般來(lái)講，一種攻擊模式可以用一個(gè)過(guò)程〔如執(zhí)行一條指令〕或一個(gè)輸出〔如獲得權(quán)限〕來(lái)表示。該過(guò)程可以很簡(jiǎn)潔〔如通過(guò)字符串匹配以查找一個(gè)簡(jiǎn)潔的條目或指令〕，也可以很簡(jiǎn)單〔如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化〕統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象〔如用戶(hù)、文件、名目和設(shè)備等〕創(chuàng)立一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性〔如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等〕測(cè)量屬性的平均值和偏差被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)展比較，任何觀看值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓陌ㄎ募兔康膬?nèi)容及屬性在覺(jué)察被更改的、被安裝木馬的應(yīng)用程序方面特殊有效響應(yīng)動(dòng)作主動(dòng)響應(yīng)被動(dòng)響應(yīng)入侵檢測(cè)性能關(guān)鍵參數(shù)誤報(bào)(falsepositive)：假設(shè)系統(tǒng)錯(cuò)誤地將特別活動(dòng)定義為入侵漏報(bào)(falsenegative)：假設(shè)系統(tǒng)未能檢測(cè)出真正的入侵行為入侵檢測(cè)系統(tǒng)分類(lèi)〔一〕依據(jù)分析方法〔檢測(cè)方法〕特別檢測(cè)模型〔AnomalyDetection):首先總結(jié)正常操作應(yīng)當(dāng)具有的特征〔用戶(hù)輪廓〕，當(dāng)用戶(hù)活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵誤用檢測(cè)模型〔MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶(hù)或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵23特別檢測(cè)模型假設(shè)系統(tǒng)錯(cuò)誤地將特別活動(dòng)定義為入侵，稱(chēng)為誤報(bào)(falsepositive)；假設(shè)系統(tǒng)未能檢測(cè)出真正的入侵行為則稱(chēng)為漏報(bào)(falsenegative)。特點(diǎn)：特別檢測(cè)系統(tǒng)的效率取決于用戶(hù)輪廓的完備性和監(jiān)控的頻率。由于不需要對(duì)每種入侵行為進(jìn)展定義，因此能有效檢測(cè)未知的入侵。同時(shí)系統(tǒng)能針對(duì)用戶(hù)行為的轉(zhuǎn)變進(jìn)展自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步準(zhǔn)確，特別檢測(cè)會(huì)消耗更多的系統(tǒng)資源。誤用檢測(cè)模型假設(shè)入侵特征與正常的用戶(hù)行為能匹配，則系統(tǒng)會(huì)發(fā)生誤報(bào)；假設(shè)沒(méi)有特征能與某種新的攻擊行為匹配，則系統(tǒng)會(huì)發(fā)生漏報(bào)。特點(diǎn)：承受特征匹配，誤用檢測(cè)能明顯降低錯(cuò)報(bào)率，但漏報(bào)率隨之增加。攻擊特征的微小變化，會(huì)使得誤用檢測(cè)無(wú)能為力。入侵檢測(cè)系統(tǒng)分類(lèi)〔二〕依據(jù)檢測(cè)對(duì)象分類(lèi)基于主機(jī)的IDS〔Host-BasedIDS〕HIDS一般主要使用操作系統(tǒng)的審計(jì)日志作為主要數(shù)據(jù)源輸入，試圖從日志推斷濫用和入侵大事的線索。基于網(wǎng)絡(luò)的IDS〔Network-BasedIDS〕NIDS在計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)被動(dòng)地監(jiān)聽(tīng)網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，?duì)獵取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)展分析處理，從中獵取有用的信息，以識(shí)別、判定攻擊大事。混合型IDS基于網(wǎng)絡(luò)的IDS〔NIDS〕是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽(tīng)設(shè)備通過(guò)網(wǎng)絡(luò)適配器捕獲數(shù)據(jù)包并分析數(shù)據(jù)包依據(jù)推斷方法分為基于學(xué)問(wèn)的數(shù)據(jù)模式推斷和基于行為的行為推斷方法能夠檢測(cè)超過(guò)授權(quán)的非法訪問(wèn)IDS發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行配置簡(jiǎn)潔基于主機(jī)的IDS〔HIDS〕HIDS是配置在被愛(ài)護(hù)的主機(jī)上的，用來(lái)檢測(cè)針對(duì)主機(jī)的入侵和攻擊主要分析的數(shù)據(jù)包括主機(jī)的網(wǎng)絡(luò)連接狀態(tài)、審計(jì)日志、系統(tǒng)日志。實(shí)現(xiàn)原理配置審計(jì)信息系統(tǒng)對(duì)審計(jì)數(shù)據(jù)進(jìn)展分析(日志文件)NIDS和HIDS比較入侵檢測(cè)的分類(lèi)(混合IDS)基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有缺乏之處，單純使用一類(lèi)產(chǎn)品會(huì)造成主動(dòng)防范體系不全面。但是，它們的缺憾是互補(bǔ)的。假設(shè)這兩類(lèi)產(chǎn)品能夠無(wú)縫結(jié)合起來(lái)部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防范體系，綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種構(gòu)造特點(diǎn)的入侵檢測(cè)系統(tǒng)，既可覺(jué)察網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中覺(jué)察特別狀況。入侵檢測(cè)系統(tǒng)分類(lèi)〔三〕依據(jù)系統(tǒng)工作方式來(lái)分：在線入侵檢測(cè)(IPS)，一旦覺(jué)察入侵跡象馬上斷開(kāi)入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測(cè)過(guò)程是不斷循環(huán)進(jìn)展的。離線入侵檢測(cè)，依據(jù)計(jì)算機(jī)系統(tǒng)對(duì)用戶(hù)操作所做的歷史審計(jì)記錄推斷用戶(hù)是否具有入侵行為，假設(shè)有就斷開(kāi)連接，并記錄入侵證據(jù)和進(jìn)展數(shù)據(jù)恢復(fù)。入侵檢測(cè)的部署IDS的部署模式：共享媒介HUB交換環(huán)境隱蔽模式Tap模式In-line模式入侵檢測(cè)的部署檢測(cè)器部署位置放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡(luò)中樞放在一些安全級(jí)別需求高的子網(wǎng)入侵檢測(cè)的部署部署一Internet部署二部署三部署四入侵檢測(cè)的部署檢測(cè)器放置于防火墻的DMZ區(qū)域可以查看受愛(ài)護(hù)區(qū)域主機(jī)被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點(diǎn)入侵檢測(cè)的部署檢測(cè)器放置于路由器和邊界防火墻之間可以審計(jì)全部來(lái)自Internet上面對(duì)愛(ài)護(hù)網(wǎng)絡(luò)的攻擊數(shù)目可以審計(jì)全部來(lái)自Internet上面對(duì)愛(ài)護(hù)網(wǎng)絡(luò)的攻擊類(lèi)型入侵檢測(cè)的部署檢測(cè)器放在主要的網(wǎng)絡(luò)中樞監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測(cè)黑客攻擊的可能性可通過(guò)授權(quán)用戶(hù)的權(quán)利周界來(lái)覺(jué)察未授權(quán)用戶(hù)的行為當(dāng)前主流產(chǎn)品介紹ComputerAssociates公司SessionWall-3/eTrustIntrusionDetectionCisco公司NetRangerIDSIntrusionDetection公司KaneSecurityMonitorAxentTechnologies公司OmniGuard/IntruderAlert當(dāng)前主流產(chǎn)品介紹InternetSecuritySystem公司RealSecureNFR公司IntrusionDetectionApplicance4.0中科網(wǎng)威“天眼”入侵檢測(cè)系統(tǒng)啟明星辰SkyBell(天闐〕免費(fèi)開(kāi)源軟件snort入侵測(cè)系統(tǒng)的優(yōu)點(diǎn)入侵檢測(cè)系統(tǒng)能夠增加網(wǎng)絡(luò)的安全性，它的優(yōu)點(diǎn)：能夠使現(xiàn)有的安防體系更完善；能夠更好地把握系統(tǒng)的狀況；能夠追蹤攻擊者的攻擊線路；界面友好，便于建立安防體系；能夠抓住肇事者。入侵檢測(cè)系統(tǒng)的缺乏入侵檢測(cè)系統(tǒng)不是萬(wàn)能的，它同樣存在很多缺乏之處：不能夠在沒(méi)有用戶(hù)參與的狀況下對(duì)攻擊行為開(kāi)放調(diào)查；不能夠在沒(méi)有用戶(hù)參與的狀況下阻擋攻擊行為的發(fā)生；不能抑制網(wǎng)絡(luò)協(xié)議方面的缺陷；不能抑制設(shè)計(jì)原理方面的缺陷；響應(yīng)不夠準(zhǔn)時(shí)，簽名數(shù)據(jù)庫(kù)更新得不夠快。常常是事后才檢測(cè)到，適時(shí)性不好。入侵檢測(cè)技術(shù)的進(jìn)展趨勢(shì)大規(guī)模分布式入侵檢測(cè)，傳統(tǒng)的入侵檢測(cè)技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架，明顯不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè)，不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作。因此，必需進(jìn)展大規(guī)模的分布式入侵