IDS入侵檢測(cè)基礎(chǔ)知識(shí)
什么是入侵監(jiān)測(cè)
入侵監(jiān)測(cè)系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。許多情況下,由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng),所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。例如,你的IDS可以重新配置來禁止從防火墻外部進(jìn)入的惡意流量。你應(yīng)當(dāng)理解入侵監(jiān)測(cè)系統(tǒng)是獨(dú)立于防火墻工作的。
入侵監(jiān)測(cè)系統(tǒng)IDS與系統(tǒng)掃描器system scanner不同。系統(tǒng)掃描器是根據(jù)攻擊特征數(shù)據(jù)庫來掃描系統(tǒng)漏洞的,它更關(guān)注配置上的漏洞而不是當(dāng)前進(jìn)出你的主機(jī)的流量。在遭受攻擊的主機(jī)上,即使正在運(yùn)行著掃描程序,也無法識(shí)別這種攻擊。
IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng),監(jiān)視和記錄網(wǎng)絡(luò)的流量,根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量,提供實(shí)時(shí)報(bào)警。網(wǎng)絡(luò)掃描器檢測(cè)主機(jī)上先前設(shè)置的漏洞,而IDS監(jiān)視和記錄網(wǎng)絡(luò)流量。如果在同一臺(tái)主機(jī)上運(yùn)行IDS和掃描器的話,配置合理的IDS會(huì)發(fā)出許多報(bào)警。
入侵監(jiān)測(cè)的功能
大多數(shù)的IDS程序可以提供關(guān)于網(wǎng)絡(luò)流量非常詳盡的分析。它們可以監(jiān)視任何定義好的流量。大多數(shù)的程序?qū)TP,HTTP和Telnet流量都有缺省的設(shè)置,還有其它的流量像NetBus,本地和遠(yuǎn)程登錄失敗等等。你也可以自己定制策略。下面討論一些更常見的檢測(cè)技巧。
入侵監(jiān)測(cè)系統(tǒng)的必要性
防火墻看起來好像可以滿足系統(tǒng)管理員的一切需求。然而,隨著基于雇員的攻擊行為和產(chǎn)品自身問題的增多,IDS由于能夠在防火墻內(nèi)部監(jiān)測(cè)非法的活動(dòng)正變得越來越必要。新的技術(shù)同樣給防火墻帶來了嚴(yán)重的威脅?! ±?,VPN可穿透防火墻,所以需要IDS在防火墻后提供安全保障。雖然VPN本身很安全,但有可能通過VPN進(jìn)行通信的其中一方被root kit或NetBus所控制,而這種破壞行為是防火墻無法抵御的?;谝陨蟽牲c(diǎn)原因,IDS已經(jīng)成為安全策略的重要組成部分。
我們還需要注意的是,攻擊者可以實(shí)施攻擊使IDS過載,其結(jié)果可能是IDS系統(tǒng)成為拒絕服務(wù)攻擊的參與者。而且,攻擊者會(huì)盡量調(diào)整攻擊手法,從而使IDS無法追蹤網(wǎng)絡(luò)上的活動(dòng)。
入侵監(jiān)測(cè)系統(tǒng)的構(gòu)架
有兩種構(gòu)架的IDS可供選擇,每種都有它的適用環(huán)境。雖然主機(jī)級(jí)的IDS具有更強(qiáng)的功能而且可以提供更詳盡的信息,但它并不總是最佳選擇。
優(yōu)點(diǎn)和缺點(diǎn)
這種入侵監(jiān)測(cè)系統(tǒng)很容易安裝和實(shí)施;通常只需要將程序在主機(jī)上安裝一次。網(wǎng)絡(luò)級(jí)的IDS尤其適合阻止掃描和拒絕服務(wù)攻擊。但是,這種IDS構(gòu)架在交換和ATM環(huán)境下工作得不好。而且,它對(duì)處理升級(jí)非法賬號(hào),破壞策略和篡改日志也并不特別有效。在掃描大型網(wǎng)絡(luò)時(shí)會(huì)使主機(jī)的性能急劇下降。所以,對(duì)于大型、復(fù)雜的網(wǎng)絡(luò),你需要主機(jī)級(jí)的IDS。
特殊的考慮
每種IDS廠商對(duì)他們的產(chǎn)品都有特殊的考慮。通常這些考慮是針對(duì)操作系統(tǒng)的特殊設(shè)置的。例如,許多廠商要求你將代理安裝在使用靜態(tài)IP地址的主機(jī)上。因此,你也許需要配置DHCP和WINS服務(wù)器來配合管理者。這種特殊的考慮在一定程度上解釋了為什么大多數(shù)IDS程序用一個(gè)管理者來管理數(shù)臺(tái)主機(jī)。另外,安裝管理者會(huì)降低系統(tǒng)的性能。而且,在同一網(wǎng)段中安裝過多的管理者會(huì)占用過多的帶寬。
另外,許多IDS產(chǎn)品在快于10MB的網(wǎng)絡(luò)中工作起來會(huì)有問題。通常IDS的廠商要求你不要將管理者安裝在使用NFS或NFS+的UNIX操作系統(tǒng)上,因?yàn)檫@種文件系統(tǒng)允許遠(yuǎn)程訪問,管理者會(huì)使它們?nèi)狈Ψ€(wěn)定和不安全。
除非特殊情況,你不應(yīng)將IDS的管理者安裝在裝了雙網(wǎng)卡或多網(wǎng)卡的用做路由器的主機(jī)上,或者安裝在防火墻上。例如,Windows NT PDC或BDC也不是安裝大多數(shù)IDS管理者的理想系統(tǒng),不僅因?yàn)楣芾碚邥?huì)影響登錄,而且PDC或BDC所必須的服務(wù)會(huì)產(chǎn)生trap door和系統(tǒng)錯(cuò)誤。 常用檢測(cè)方法
入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專家系統(tǒng)。據(jù)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的報(bào)告,國內(nèi)送檢的入侵檢測(cè)產(chǎn)品中95%是屬于使用入侵模板進(jìn)行模式匹配的特征檢測(cè)產(chǎn)品,其他5%是采用概率統(tǒng)計(jì)的統(tǒng)計(jì)檢測(cè)產(chǎn)品與基于日志的專家知識(shí)庫系產(chǎn)品。
特征檢測(cè)
特征檢測(cè)對(duì)已知的攻擊或入侵的方式作出確定性的描述,形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí),即報(bào)警。原理上與專家系統(tǒng)相仿。其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高,但對(duì)于無經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無能為力。
統(tǒng)計(jì)檢測(cè)
統(tǒng)計(jì)模型常用異常檢測(cè),在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括:審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。常用的入侵檢測(cè)5種統(tǒng)計(jì)模型為:
1、操作模型,該模型假設(shè)異常可通過測(cè)量結(jié)果與一些固定指標(biāo)相比較得到,固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到,舉例來說,在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊;
2、方差,計(jì)算參數(shù)的方差,設(shè)定其置信區(qū)間,當(dāng)測(cè)量值超過置信區(qū)間的范圍時(shí)表明有可能是異常;
3、多元模型,操作模型的擴(kuò)展,通過同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè);
4、馬爾柯夫過程模型,將每種類型的事件定義為系統(tǒng)狀態(tài),用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化,當(dāng)一個(gè)事件發(fā)生時(shí),或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件;
5、時(shí)間序列分析,將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列,如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低,則該事件可能是入侵。
統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣,從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律,從而透過入侵檢測(cè)系統(tǒng)。 入侵檢測(cè)產(chǎn)品選擇要點(diǎn)
當(dāng)您選擇入侵檢測(cè)系統(tǒng)時(shí),要考慮的要點(diǎn)有:
1. 系統(tǒng)的價(jià)格
當(dāng)然,價(jià)格是必需考慮的要點(diǎn),不過,性能價(jià)格比、以及要保護(hù)系統(tǒng)的價(jià)值可是更重要的因素。
2. 特征庫升級(jí)與維護(hù)的費(fèi)用
象反病毒軟件一樣,入侵檢測(cè)的特征庫需要不斷更新才能檢測(cè)出新出現(xiàn)的攻擊方法。
3. 對(duì)于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),最大可處理流量(包/秒 PPS)是多少
首先,要分析網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境,如果在512K或2M專線上布署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),則不需要高速的入侵檢測(cè)引擎,而在負(fù)荷較高的環(huán)境中,性能是一個(gè)非常重要的指標(biāo)。
4. 該產(chǎn)品容易被躲避嗎
有些常用的躲開入侵檢測(cè)的方法,如:分片、TTL欺騙、異常TCP分段、慢掃描、協(xié)同攻擊等。
5. 產(chǎn)品的可伸縮性
系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫大小、傳感器與控制臺(tái)之間通信帶寬和對(duì)審計(jì)日志溢出的處理。
6. 運(yùn)行與維護(hù)系統(tǒng)的開銷
產(chǎn)品報(bào)表結(jié)構(gòu)、處理誤報(bào)的方便程度、事件與事志查詢的方便程度以及使用該系統(tǒng)所需的技術(shù)人員數(shù)量。
7. 產(chǎn)品支持的入侵特征數(shù)
不同廠商對(duì)檢測(cè)特征庫大小的計(jì)算方法都不一樣,所以不能偏聽一面之辭。
8. 產(chǎn)品有哪些響應(yīng)方法
要從本地、遠(yuǎn)程等多個(gè)角度考察。自動(dòng)更改防火墻配置是一個(gè)聽上去很“酷”的功能,但是,自動(dòng)配置防火墻可是一個(gè)極為危險(xiǎn)的舉動(dòng)。
9. 是否通過了國家權(quán)威機(jī)構(gòu)的評(píng)測(cè)
主要的權(quán)威測(cè)評(píng)機(jī)構(gòu)有:國家信息安全測(cè)評(píng)認(rèn)證中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心。
入侵檢測(cè)技術(shù)發(fā)展方向
無論從規(guī)模與方法上入侵技術(shù)近年來都發(fā)生了變化。入侵的手段與技術(shù)也有了“進(jìn)步與發(fā)展”。入侵技術(shù)的發(fā)展與演化主要反映在下列幾個(gè)方面:
入侵或攻擊的綜合化與復(fù)雜化。入侵的手段有多種,入侵者往往采取一種攻擊手段。由于網(wǎng)絡(luò)防范技術(shù)的多重化,攻擊的難度增加,使得入侵者在實(shí)施入侵或攻擊時(shí)往往同時(shí)采取多種入侵的手段,以保證入侵的成功幾率,并可在攻擊實(shí)施的初期掩蓋攻擊或入侵的真實(shí)目的。
入侵主體對(duì)象的間接化,即實(shí)施入侵與攻擊的主體的隱蔽化。通過一定的技術(shù),可掩蓋攻擊主體的源地址及主機(jī)位置。即使用了隱蔽技術(shù)后,對(duì)于被攻擊對(duì)象攻擊的主體是無法直接確定的。
入侵或攻擊的規(guī)模擴(kuò)大。對(duì)于網(wǎng)絡(luò)的入侵與攻擊,在其初期往往是針對(duì)于某公司或一個(gè)網(wǎng)站,其攻擊的目的可能為某些網(wǎng)絡(luò)技術(shù)愛好者的獵奇行為,也不排除商業(yè)的盜竊與破壞行為。由于戰(zhàn)爭(zhēng)對(duì)電子技術(shù)與網(wǎng)絡(luò)技術(shù)的依賴性越來越大,隨之產(chǎn)生、發(fā)展、逐步升級(jí)到電子戰(zhàn)與信息戰(zhàn)。對(duì)于信息戰(zhàn),無論其規(guī)模與技術(shù)都與一般意義上的計(jì)算機(jī)網(wǎng)絡(luò)的入侵與攻擊都不可相提并論。信息戰(zhàn)的成敗與國家主干通信網(wǎng)絡(luò)的安全是與任何主權(quán)國家領(lǐng)土安全一樣的國家安全。
入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機(jī)執(zhí)行。由于防范技術(shù)的發(fā)展使得此類行為不能奏效。所謂的分布式拒絕服務(wù)(DDoS)在很短時(shí)間內(nèi)可造成被攻擊主機(jī)的癱瘓。且此類分布式攻擊的單機(jī)信息模式與正常通信無差異,所以往往在攻擊發(fā)動(dòng)的初期不易被確認(rèn)。分布式攻擊是近期最常用的攻擊手段。
攻擊對(duì)象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體,但近期來的攻擊行為卻發(fā)生了策略性的改變,由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng),且有愈演愈烈的趨勢(shì)?,F(xiàn)已有專門針對(duì)IDS作攻擊的報(bào)道。攻擊者詳細(xì)地分析了IDS的審計(jì)方式、特征描述、通信模式找出IDS的弱點(diǎn),然后加以攻擊。
今后的入侵檢測(cè)技術(shù)大致可朝下述三個(gè)方向發(fā)展。
關(guān)鍵詞: 入侵監(jiān)測(cè)
您可能也感興趣:
今日熱點(diǎn)
為您推薦
金融標(biāo)準(zhǔn)化“十四五”發(fā)展規(guī)劃發(fā)布 指明保險(xiǎn)業(yè)發(fā)展方向
“隔離險(xiǎn)”大火 銀保監(jiān)會(huì)強(qiáng)調(diào)保險(xiǎn)公司不得無理拒賠
遼寧將全面實(shí)施全民參保計(jì)劃 發(fā)展多層次、多支柱養(yǎng)老保險(xiǎn)體系
更多
- 我國啟動(dòng)商業(yè)秘密保護(hù)創(chuàng)新試點(diǎn)工作 重點(diǎn)做好“兩穩(wěn)兩進(jìn)”
- 去年重慶高新區(qū)全面實(shí)施“項(xiàng)目建設(shè)年” 加速集聚高端創(chuàng)新資源
- 廣東各類創(chuàng)新主體蓬勃發(fā)展 不斷強(qiáng)化戰(zhàn)略科技力量布局
- 臺(tái)州科技興市步伐更有力 創(chuàng)新鏈產(chǎn)業(yè)鏈深度融合
- 長(zhǎng)三角區(qū)域協(xié)同創(chuàng)新指數(shù)年均增速達(dá)9.54% 成果共用指標(biāo)增幅最大
- 大興機(jī)場(chǎng)臨空區(qū)設(shè)立國際創(chuàng)新中心 助力外資企業(yè)順利“走進(jìn)來”
- 湖南發(fā)布“創(chuàng)新十條” 幫助企業(yè)紓困增效、激發(fā)創(chuàng)新活力
- 科技部和浙江發(fā)布《創(chuàng)新行動(dòng)方案》 構(gòu)建高標(biāo)準(zhǔn)技術(shù)要素市場(chǎng)...
更多
- 朔州持續(xù)優(yōu)化投資結(jié)構(gòu) 去年固定資產(chǎn)投資同比增長(zhǎng)13.7%
- 1月全國實(shí)際使用外資金額1022.8億元 服務(wù)業(yè)受外資青睞
- 河南“十四五”將完成農(nóng)村公路投資500億元 推進(jìn)“四好農(nóng)村路...
- 陜西去年新設(shè)外商投資企業(yè)312家 實(shí)際利用外資102.46億美元
- 一季度遼寧省預(yù)計(jì)開復(fù)工項(xiàng)目5049個(gè) 投資增速或達(dá)到10%
- 1月武漢東湖高新區(qū)20多家企業(yè)獲股權(quán)融資 提升創(chuàng)投行業(yè)發(fā)展質(zhì)量
- 海南自貿(mào)港金融政策成效凸顯 去年外國來華投資流入48.4億美元
- 去年湖北共實(shí)施6342個(gè)工業(yè)技改項(xiàng)目 技改投資增長(zhǎng)37.9%
排行
最近更新
- IDS入侵檢測(cè)基礎(chǔ)知識(shí)
- 上廣電SVA試水小尺寸屏幕 醞釀重大轉(zhuǎn)型
- 西門子PLC計(jì)數(shù)器指令編程
- Linux 系統(tǒng)下常用軟件一覽表
- 激光擴(kuò)束鏡(準(zhǔn)直鏡)
- 支付寶、微信個(gè)人收款碼要被追查近4年數(shù)據(jù),還要補(bǔ)稅?謠言!
- 高端保姆家教不靈了,廣州嚴(yán)查!俞敏洪體面人,新東方登白名單
- 汽車電氣化后柔性裁員:車企向員工推薦新工作并協(xié)助填寫簡(jiǎn)歷
- 不光改名還要重塑企業(yè)文化 扎克伯格:大家今后都是“元伙伴”
- 魏家涼皮、全聚德等餐企因食安問題被查處
- 購買珠寶首飾 如何避開假冒偽劣產(chǎn)品?
- 喜訊 ! 創(chuàng)富港全資子公司創(chuàng)富金取得“高新技術(shù)企業(yè)”認(rèn)定證書
- 阿卡索課程全新升級(jí),瞄準(zhǔn)英語學(xué)習(xí)新需求
- 主線科技完成B輪融資 將圍繞卡車數(shù)字化推進(jìn)研發(fā)落地
- 鐵礦石遭遇瘋狂砸盤 這一波上漲行情里暗藏“貓膩”
- 賦能品牌騰飛,捷途汽車的用戶共創(chuàng)有何不同之處?
- 權(quán)益類理財(cái)產(chǎn)品發(fā)行升溫 多款產(chǎn)品出現(xiàn)凈值下滑
- 退休后還要繳納醫(yī)保嗎?醫(yī)保有繳費(fèi)年限規(guī)定嗎?
- 剛畢業(yè)的大學(xué)生可以申請(qǐng)公租房嗎?需要滿足哪些條件?
- 美團(tuán)月付上征信系統(tǒng)嗎?美團(tuán)月付逾期還款有什么后果?
- 銀行轉(zhuǎn)賬原路退回要多長(zhǎng)時(shí)間?各大銀行退款時(shí)間一樣嗎?
- 星巴克漲價(jià)的消息引關(guān)注 不同產(chǎn)品上漲1-2元不等
- 基金跌幾個(gè)點(diǎn)后可以補(bǔ)倉?基金補(bǔ)倉有有哪些技巧?
- 如何選擇基金購買點(diǎn)?購買基金時(shí)怎樣能買在最低點(diǎn)?
- 基金購買多久后可以賣?持有基金一年一定會(huì)賺錢嗎?
- 社保未交滿15年到了退休年齡后可以補(bǔ)繳嗎?能領(lǐng)多少養(yǎng)老金?
- 阿根廷大旱天氣回歸 四年前大豆減產(chǎn)災(zāi)難或重現(xiàn)
- “寧王”再度加碼云母提鋰 永興材料牽手江西鎢業(yè)2萬噸保供
- 國家衛(wèi)健委:正在研究建立全國統(tǒng)一的電子病歷
- 用100%的專注和熱愛追求極致 谷愛凌《青花郎朗讀者》中朗讀...