|
|
知识路径: > 网络安全 > 入侵检测系统 > IDS分类 >
|
|
相关知识点:2个
|
|
|
|
|
IDS首先需要解决的问题是数据源,或者说是审计事件发生器。IDS根据其检测数据来源分为两类,分别是基于主机(Host-based)的IDS和基于网络(Network-based)的IDS。基于主机的IDS从单个主机上提取系统数据(如审计记录等)作为入侵分析的数据源,而基于网络的IDS从网络上提取数据(如网络链路层的数据帧)作为入侵分析的数据源。通常来说基于主机的IDS只能检测单个主机系统,而基于网络的IDS可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的IDS可以协同工作以提供更强的入侵检测能力。
|
|
|
|
|
|
基于主机IDS的检测目标是主机系统和系统本地用户,原理是根据主机的审计数据和系统日志发现可疑事件。该系统通常运行在被监测的主机或服务器上,实时检测主机安全性方面诸如操作系统日志文件、审核日志文件、应用程序日志文件等的情况,其效果依赖于数据的准确性以及安全事件的定义。可见这种类型的IDS是利用主机操作系统及应用程序的审核踪迹作为输入的主要数据源来检测入侵。基于主机的IDS被设计成检测IDS代理所驻留的宿主机,如下图所示,这种IDS可以检测到网络协议栈的高层数据,也可检测到被监视主机上的本地活动,如文件修改和用户账户的建立。
|
|
|
|
|
|
|
|
在上图的C/S通信模式下,客户机对服务器上的访问活动将被服务器日志所记载。IDS代理检测这些记录用户活动信息的日志文件,将它们与事先知道的用户正常行为模式进行匹配。基于主机的IDS有两种主要应用类型:基于应用和基于操作系统。
|
|
|
|
基于应用的IDS从应用层服务中收集数据。例如,数据库管理软件、Web服务程序或防火墙等产生的日志服务等。数据源包括了应用时间日志和其他存储于应用程序内部的数据信息。这种方式可以更好地获取在系统上用户活动(如可以利用特定应用的特点来监视用户活动),但也存在应用层的脆弱性会破坏监视和检测的弱点。
|
|
|
|
基于操作系统的IDS搜集在特定系统上的活动信息,这些信息可以是操作系统产生的审计踪迹,它也包括系统日志,其他操作系统进程产生的日志及那些在标准操作系统的审计和日志中没有反映系统对象的有关内容。这种方式可以监控对系统访问的主体和对象,并且可以将可疑的活动映射到特定的用户ID上。同样操作系统的脆弱性也会破坏IDS监视与入侵分析的完整性,同时基于操作系统的IDS必须建立在特定的操作系统平台上,这就增加了开销。
|
|
|
|
基于主机的IDS具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。例如,一旦检测到有入侵活动,可以立即使该用户账号失效,中断该用户的进程。基于主机的IDS尤其对于独立的服务器及应用构造简单,易于理解,也只有这种检测方式才能检测出通过控制台的入侵活动。目前大多是基于主机日志分析的IDS。
|
|
|
|
基于主机的IDS也有其不足之处:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,而不被发觉;同时主机日志能够提供的信息是有限的,有的入侵手段和途径不会在日志中有所反映,日志系统对网络层的入侵行为无能为力。例如,利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用ARP欺骗来伪装成其他主机进行通信等,这些手段都不会被高层的日志记录下来。
|
|
|
|
|
|
基于网络的IDS搜集来自网络层的信息,监视网络数据流。通常来说,网络适配器可以工作在两种不同的模式:正常模式和混杂模式。处于正常模式时,网络适配器只能接收到共享网络中发向本机的数据包,丢弃其他目标主机的数据包;处于混杂模式时,网络适配器可以接收所有在网络中传输的数据包,并交给操作系统或应用程序进行分析。这种机制为进行网络数据流的监视和入侵检测提供了必要的数据来源。网络IDS目前应用比较广泛,包括商业化的IDS产品,如ISS公司的RealSecure、CA公司的Etrust以及开源系统Snort等。
|
|
|
|
从下图可以看出,基于网络IDS位于客户端与服务端的通信链路中央,可以访问到通信链路的所有层次。因此这种IDS可以监视和检测网络层的攻击(如SYN洪流攻击)。
|
|
|
|
|
|
|
|
从理论上来说,网络监视可以获得所有的网络信息数据,在没有特定的审计或日志机制的情况下,也可以获得数据;只要时间允许,可以在庞大的数据堆中提取和分析需要的数据;可以对一个子网进行检测,一个监视模块可以监视同一网段的多台主机的网络行为;可以通过增加代理来监视网络,不会影响现存的数据源,不改变系统和网络的工作模式,也不影响主机性能和网络性能;处于被动接收方式,很难被入侵者发现,隐蔽性好;可以从底层开始分析,对基于协议攻击的入侵手段有较强的分析能力。
|
|
|
|
基于网络的IDS的主要问题是监视数据量过于庞大并且它不能结合操作系统特征来对网络行为进行准确的判断;如果网络数据被加密,IDS就不能扫描协议或内容。
|
|
|
|
就如防盗系统一样,基于网络的IDS系统通常放置于企业内部网与外部网的访问出口上(如路由器、Modem池),能够监控从协议攻击到特定环境攻击的范围很广的网络攻击行为,对于监控网络外部用户的入侵和侦察行为非常理想。基于主机的IDS适合于那些以数据或应用服务器为中心的网络系统,并对那些已取得系统访问权限的用户对系统的操作进行监控。究竟是在哪个层次上部署IDS需要根据使用者自身的安全策略来决定。
|
|
|
