|
|
知识路径: > 网络安全 > 入侵检测系统 > IDS分类 > 基于数据源的分类 >
|
|
相关知识点:2个
|
|
|
|
|
基于主机IDS的检测目标是主机系统和系统本地用户,原理是根据主机的审计数据和系统日志发现可疑事件。该系统通常运行在被监测的主机或服务器上,实时检测主机安全性方面诸如操作系统日志文件、审核日志文件、应用程序日志文件等的情况,其效果依赖于数据的准确性以及安全事件的定义。可见这种类型的IDS是利用主机操作系统及应用程序的审核踪迹作为输入的主要数据源来检测入侵。基于主机的IDS被设计成检测IDS代理所驻留的宿主机,如下图所示,这种IDS可以检测到网络协议栈的高层数据,也可检测到被监视主机上的本地活动,如文件修改和用户账户的建立。
|
|
|
|
|
|
|
|
在上图的C/S通信模式下,客户机对服务器上的访问活动将被服务器日志所记载。IDS代理检测这些记录用户活动信息的日志文件,将它们与事先知道的用户正常行为模式进行匹配。基于主机的IDS有两种主要应用类型:基于应用和基于操作系统。
|
|
|
|
基于应用的IDS从应用层服务中收集数据。例如,数据库管理软件、Web服务程序或防火墙等产生的日志服务等。数据源包括了应用时间日志和其他存储于应用程序内部的数据信息。这种方式可以更好地获取在系统上用户活动(如可以利用特定应用的特点来监视用户活动),但也存在应用层的脆弱性会破坏监视和检测的弱点。
|
|
|
|
基于操作系统的IDS搜集在特定系统上的活动信息,这些信息可以是操作系统产生的审计踪迹,它也包括系统日志,其他操作系统进程产生的日志及那些在标准操作系统的审计和日志中没有反映系统对象的有关内容。这种方式可以监控对系统访问的主体和对象,并且可以将可疑的活动映射到特定的用户ID上。同样操作系统的脆弱性也会破坏IDS监视与入侵分析的完整性,同时基于操作系统的IDS必须建立在特定的操作系统平台上,这就增加了开销。
|
|
|
|
基于主机的IDS具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。例如,一旦检测到有入侵活动,可以立即使该用户账号失效,中断该用户的进程。基于主机的IDS尤其对于独立的服务器及应用构造简单,易于理解,也只有这种检测方式才能检测出通过控制台的入侵活动。目前大多是基于主机日志分析的IDS。
|
|
|
|
基于主机的IDS也有其不足之处:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,而不被发觉;同时主机日志能够提供的信息是有限的,有的入侵手段和途径不会在日志中有所反映,日志系统对网络层的入侵行为无能为力。例如,利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用ARP欺骗来伪装成其他主机进行通信等,这些手段都不会被高层的日志记录下来。
|
|
|
