IDS入侵检测基础知识
什么是入侵监测
入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。例如,你的IDS可以重新配置来禁止从防火墙外部进入的恶意流量。你应当理解入侵监测系统是独立于防火墙工作的。
入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的,它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上,即使正在运行着扫描程序,也无法识别这种攻击。
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。
入侵监测的功能
大多数的IDS程序可以提供关于网络流量非常详尽的分析。它们可以监视任何定义好的流量。大多数的程序对FTP,HTTP和Telnet流量都有缺省的设置,还有其它的流量像NetBus,本地和远程登录失败等等。你也可以自己定制策略。下面讨论一些更常见的检测技巧。
入侵监测系统的必要性
防火墙看起来好像可以满足系统管理员的一切需求。然而,随着基于雇员的攻击行为和产品自身问题的增多,IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁。
例如,VPN可穿透防火墙,所以需要IDS在防火墙后提供安全保障。虽然VPN本身很安全,但有可能通过VPN进行通信的其中一方被root kit或NetBus所控制,而这种破坏行为是防火墙无法抵御的。基于以上两点原因,IDS已经成为安全策略的重要组成部分。
我们还需要注意的是,攻击者可以实施攻击使IDS过载,其结果可能是IDS系统成为拒绝服务攻击的参与者。而且,攻击者会尽量调整攻击手法,从而使IDS无法追踪网络上的活动。
入侵监测系统的构架
有两种构架的IDS可供选择,每种都有它的适用环境。虽然主机级的IDS具有更强的功能而且可以提供更详尽的信息,但它并不总是最佳选择。
优点和缺点
这种入侵监测系统很容易安装和实施;通常只需要将程序在主机上安装一次。网络级的IDS尤其适合阻止扫描和拒绝服务攻击。但是,这种IDS构架在交换和ATM环境下工作得不好。而且,它对处理升级非法账号,破坏策略和篡改日志也并不特别有效。在扫描大型网络时会使主机的性能急剧下降。所以,对于大型、复杂的网络,你需要主机级的IDS。
特殊的考虑
每种IDS厂商对他们的产品都有特殊的考虑。通常这些考虑是针对操作系统的特殊设置的。例如,许多厂商要求你将代理安装在使用静态IP地址的主机上。因此,你也许需要配置DHCP和WINS服务器来配合管理者。这种特殊的考虑在一定程度上解释了为什么大多数IDS程序用一个管理者来管理数台主机。另外,安装管理者会降低系统的性能。而且,在同一网段中安装过多的管理者会占用过多的带宽。
另外,许多IDS产品在快于10MB的网络中工作起来会有问题。通常IDS的厂商要求你不要将管理者安装在使用NFS或NFS+的UNIX操作系统上,因为这种文件系统允许远程访问,管理者会使它们缺乏稳定和不安全。
除非特殊情况,你不应将IDS的管理者安装在装了双网卡或多网卡的用做路由器的主机上,或者安装在防火墙上。例如,Windows NT PDC或BDC也不是安装大多数IDS管理者的理想系统,不仅因为管理者会影响登录,而且PDC或BDC所必须的服务会产生trap door和系统错误。 常用检测方法
入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
特征检测
特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
统计检测
统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:
1、操作模型,该模型假设异常可通过测量结果与一些固定指标相比较得到
- 如何正确使用“网络入侵检测系统”(04-29)
- IDS(入侵检测系统)最佳选购建议(07-30)
- 基于主机入侵检测系统——HIDS(08-13)
- 用IDS入侵检测系统保卫数据库安全(09-06)
- 如何构建安全的入侵检测系统(IDS)(09-10)
- 防护网络安全原则(09-12)