|
|
知识路径: > 网络安全 > 入侵检测系统 >
|
|
相关知识点:6个
|
|
|
|
|
IDS可以按照基于数据源的分类、基于检测方法的分类,根据不同的分类方法,则有不同的IDS。
|
|
|
|
|
|
IDS首先需要解决的问题是数据源,或者说是审计事件发生器。IDS根据其检测数据来源分为两类,分别是基于主机(Host-based)的IDS和基于网络(Network-based)的IDS。基于主机的IDS从单个主机上提取系统数据(如审计记录等)作为入侵分析的数据源,而基于网络的IDS从网络上提取数据(如网络链路层的数据帧)作为入侵分析的数据源。通常来说基于主机的IDS只能检测单个主机系统,而基于网络的IDS可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的IDS可以协同工作以提供更强的入侵检测能力。
|
|
|
|
|
|
基于主机IDS的检测目标是主机系统和系统本地用户,原理是根据主机的审计数据和系统日志发现可疑事件。该系统通常运行在被监测的主机或服务器上,实时检测主机安全性方面诸如操作系统日志文件、审核日志文件、应用程序日志文件等的情况,其效果依赖于数据的准确性以及安全事件的定义。可见这种类型的IDS是利用主机操作系统及应用程序的审核踪迹作为输入的主要数据源来检测入侵。基于主机的IDS被设计成检测IDS代理所驻留的宿主机,如下图所示,这种IDS可以检测到网络协议栈的高层数据,也可检测到被监视主机上的本地活动,如文件修改和用户账户的建立。
|
|
|
|
|
|
|
|
在上图的C/S通信模式下,客户机对服务器上的访问活动将被服务器日志所记载。IDS代理检测这些记录用户活动信息的日志文件,将它们与事先知道的用户正常行为模式进行匹配。基于主机的IDS有两种主要应用类型:基于应用和基于操作系统。
|
|
|
|
基于应用的IDS从应用层服务中收集数据。例如,数据库管理软件、Web服务程序或防火墙等产生的日志服务等。数据源包括了应用时间日志和其他存储于应用程序内部的数据信息。这种方式可以更好地获取在系统上用户活动(如可以利用特定应用的特点来监视用户活动),但也存在应用层的脆弱性会破坏监视和检测的弱点。
|
|
|
|
基于操作系统的IDS搜集在特定系统上的活动信息,这些信息可以是操作系统产生的审计踪迹,它也包括系统日志,其他操作系统进程产生的日志及那些在标准操作系统的审计和日志中没有反映系统对象的有关内容。这种方式可以监控对系统访问的主体和对象,并且可以将可疑的活动映射到特定的用户ID上。同样操作系统的脆弱性也会破坏IDS监视与入侵分析的完整性,同时基于操作系统的IDS必须建立在特定的操作系统平台上,这就增加了开销。
|
|
|
|
基于主机的IDS具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。例如,一旦检测到有入侵活动,可以立即使该用户账号失效,中断该用户的进程。基于主机的IDS尤其对于独立的服务器及应用构造简单,易于理解,也只有这种检测方式才能检测出通过控制台的入侵活动。目前大多是基于主机日志分析的IDS。
|
|
|
|
基于主机的IDS也有其不足之处:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,而不被发觉;同时主机日志能够提供的信息是有限的,有的入侵手段和途径不会在日志中有所反映,日志系统对网络层的入侵行为无能为力。例如,利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用ARP欺骗来伪装成其他主机进行通信等,这些手段都不会被高层的日志记录下来。
|
|
|
|
|
|
基于网络的IDS搜集来自网络层的信息,监视网络数据流。通常来说,网络适配器可以工作在两种不同的模式:正常模式和混杂模式。处于正常模式时,网络适配器只能接收到共享网络中发向本机的数据包,丢弃其他目标主机的数据包;处于混杂模式时,网络适配器可以接收所有在网络中传输的数据包,并交给操作系统或应用程序进行分析。这种机制为进行网络数据流的监视和入侵检测提供了必要的数据来源。网络IDS目前应用比较广泛,包括商业化的IDS产品,如ISS公司的RealSecure、CA公司的Etrust以及开源系统Snort等。
|
|
|
|
从下图可以看出,基于网络IDS位于客户端与服务端的通信链路中央,可以访问到通信链路的所有层次。因此这种IDS可以监视和检测网络层的攻击(如SYN洪流攻击)。
|
|
|
|
|
|
|
|
从理论上来说,网络监视可以获得所有的网络信息数据,在没有特定的审计或日志机制的情况下,也可以获得数据;只要时间允许,可以在庞大的数据堆中提取和分析需要的数据;可以对一个子网进行检测,一个监视模块可以监视同一网段的多台主机的网络行为;可以通过增加代理来监视网络,不会影响现存的数据源,不改变系统和网络的工作模式,也不影响主机性能和网络性能;处于被动接收方式,很难被入侵者发现,隐蔽性好;可以从底层开始分析,对基于协议攻击的入侵手段有较强的分析能力。
|
|
|
|
基于网络的IDS的主要问题是监视数据量过于庞大并且它不能结合操作系统特征来对网络行为进行准确的判断;如果网络数据被加密,IDS就不能扫描协议或内容。
|
|
|
|
就如防盗系统一样,基于网络的IDS系统通常放置于企业内部网与外部网的访问出口上(如路由器、Modem池),能够监控从协议攻击到特定环境攻击的范围很广的网络攻击行为,对于监控网络外部用户的入侵和侦察行为非常理想。基于主机的IDS适合于那些以数据或应用服务器为中心的网络系统,并对那些已取得系统访问权限的用户对系统的操作进行监控。究竟是在哪个层次上部署IDS需要根据使用者自身的安全策略来决定。
|
|
|
|
|
|
从检测方法上可以将IDS分为异常检测和误用检测两种类型。
|
|
|
|
(1)异常检测(Anomaly Detection)。根据使用者的行为或资源使用状况的正常程度来判断是否入侵,而不依赖于具体行为是否出现来检测。异常检测与系统相对无关,通用性较强,甚至可以检测出以前未出现过的攻击方法。由于不可能对整个系统内的所有用户行为进行全面的描述,而且每个用户的行为是经常改变的,所以它的主要缺陷在与误检率很高,尤其在用户数据众多,或工作方式经常改变的环境中。另外由于行为模式的统计数据不断更新,入侵者如果知道某系统处在监测器的监视下时,他们可以通过恶意的训练方式,促使检测系统缓慢地更改统计数据,以至于最初认为是异常的行为,经过一段时间的训练后被认为是正常的。这是目前异常检测所面临的一大难题。
|
|
|
|
(2)误用检测(Misuse Detection)。根据已定义好的入侵模式,通过判断在实际的安全审计数据中是否出现这些入侵模式来完成监测功能。大部分的入侵行为都是利用了已知的系统脆弱性,因此通过分析入侵过程的特征、条件、顺序以及事件间的关系,可以具体描述入侵行为的迹象。误用检测有时也被称为特征分析或基于知识的检测。这种方法由于依据具体特征库进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为系统管理员及时做出相应措施提供了方便。误用检测的主要缺陷在于检测范围受已有知识的局限,无法检测未知的攻击类型。另外,检测系统对目标系统的依赖性太强,不但系统移植性不好,维护工作量大,而且将具体入侵手段抽象成知识也是比较困难的。对于某些内部的入侵行为,如合法用户的泄密等,由于这些入侵行为并没有利用系统的脆弱性,因此误用检测也是无能为力的。
|
|
|
|
误用检测和异常检测各有优势,又互有不足。在实际系统中,可考虑结合两者的使用,如将误用检测用于数据网络包的检测,将异常检测用于系统的日志分析是目前比较通用的方法。
|
|
|
