IDS入侵檢測基礎(chǔ)知識
什么是入侵監(jiān)測
入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡活動進行實時檢測。許多情況下,由于可以記錄和禁止網(wǎng)絡活動,所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。例如,你的IDS可以重新配置來禁止從防火墻外部進入的惡意流量。你應當理解入侵監(jiān)測系統(tǒng)是獨立于防火墻工作的。
入侵監(jiān)測系統(tǒng)IDS與系統(tǒng)掃描器system scanner不同。系統(tǒng)掃描器是根據(jù)攻擊特征數(shù)據(jù)庫來掃描系統(tǒng)漏洞的,它更關(guān)注配置上的漏洞而不是當前進出你的主機的流量。在遭受攻擊的主機上,即使正在運行著掃描程序,也無法識別這種攻擊。
IDS掃描當前網(wǎng)絡的活動,監(jiān)視和記錄網(wǎng)絡的流量,根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量,提供實時報警。網(wǎng)絡掃描器檢測主機上先前設置的漏洞,而IDS監(jiān)視和記錄網(wǎng)絡流量。如果在同一臺主機上運行IDS和掃描器的話,配置合理的IDS會發(fā)出許多報警。
入侵監(jiān)測的功能
大多數(shù)的IDS程序可以提供關(guān)于網(wǎng)絡流量非常詳盡的分析。它們可以監(jiān)視任何定義好的流量。大多數(shù)的程序?qū)TP,HTTP和Telnet流量都有缺省的設置,還有其它的流量像NetBus,本地和遠程登錄失敗等等。你也可以自己定制策略。下面討論一些更常見的檢測技巧。
入侵監(jiān)測系統(tǒng)的必要性
防火墻看起來好像可以滿足系統(tǒng)管理員的一切需求。然而,隨著基于雇員的攻擊行為和產(chǎn)品自身問題的增多,IDS由于能夠在防火墻內(nèi)部監(jiān)測非法的活動正變得越來越必要。新的技術(shù)同樣給防火墻帶來了嚴重的威脅?! ±?,VPN可穿透防火墻,所以需要IDS在防火墻后提供安全保障。雖然VPN本身很安全,但有可能通過VPN進行通信的其中一方被root kit或NetBus所控制,而這種破壞行為是防火墻無法抵御的?;谝陨蟽牲c原因,IDS已經(jīng)成為安全策略的重要組成部分。
我們還需要注意的是,攻擊者可以實施攻擊使IDS過載,其結(jié)果可能是IDS系統(tǒng)成為拒絕服務攻擊的參與者。而且,攻擊者會盡量調(diào)整攻擊手法,從而使IDS無法追蹤網(wǎng)絡上的活動。
入侵監(jiān)測系統(tǒng)的構(gòu)架
有兩種構(gòu)架的IDS可供選擇,每種都有它的適用環(huán)境。雖然主機級的IDS具有更強的功能而且可以提供更詳盡的信息,但它并不總是最佳選擇。
優(yōu)點和缺點
這種入侵監(jiān)測系統(tǒng)很容易安裝和實施;通常只需要將程序在主機上安裝一次。網(wǎng)絡級的IDS尤其適合阻止掃描和拒絕服務攻擊。但是,這種IDS構(gòu)架在交換和ATM環(huán)境下工作得不好。而且,它對處理升級非法賬號,破壞策略和篡改日志也并不特別有效。在掃描大型網(wǎng)絡時會使主機的性能急劇下降。所以,對于大型、復雜的網(wǎng)絡,你需要主機級的IDS。
特殊的考慮
每種IDS廠商對他們的產(chǎn)品都有特殊的考慮。通常這些考慮是針對操作系統(tǒng)的特殊設置的。例如,許多廠商要求你將代理安裝在使用靜態(tài)IP地址的主機上。因此,你也許需要配置DHCP和WINS服務器來配合管理者。這種特殊的考慮在一定程度上解釋了為什么大多數(shù)IDS程序用一個管理者來管理數(shù)臺主機。另外,安裝管理者會降低系統(tǒng)的性能。而且,在同一網(wǎng)段中安裝過多的管理者會占用過多的帶寬。
另外,許多IDS產(chǎn)品在快于10MB的網(wǎng)絡中工作起來會有問題。通常IDS的廠商要求你不要將管理者安裝在使用NFS或NFS+的UNIX操作系統(tǒng)上,因為這種文件系統(tǒng)允許遠程訪問,管理者會使它們?nèi)狈Ψ€(wěn)定和不安全。
除非特殊情況,你不應將IDS的管理者安裝在裝了雙網(wǎng)卡或多網(wǎng)卡的用做路由器的主機上,或者安裝在防火墻上。例如,Windows NT PDC或BDC也不是安裝大多數(shù)IDS管理者的理想系統(tǒng),不僅因為管理者會影響登錄,而且PDC或BDC所必須的服務會產(chǎn)生trap door和系統(tǒng)錯誤。 常用檢測方法
入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測與專家系統(tǒng)。據(jù)公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心的報告,國內(nèi)送檢的入侵檢測產(chǎn)品中95%是屬于使用入侵模板進行模式匹配的特征檢測產(chǎn)品,其他5%是采用概率統(tǒng)計的統(tǒng)計檢測產(chǎn)品與基于日志的專家知識庫系產(chǎn)品。
特征檢測
特征檢測對已知的攻擊或入侵的方式作出確定性的描述,形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時,即報警。原理上與專家系統(tǒng)相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高,但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。
統(tǒng)計檢測
統(tǒng)計模型常用異常檢測,在統(tǒng)計模型中常用的測量參數(shù)包括:審計事件的數(shù)量、間隔時間、資源消耗情況等。常用的入侵檢測5種統(tǒng)計模型為:
1、操作模型,該模型假設異??赏ㄟ^測量結(jié)果與一些固定指標相比較得到,固定指標可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到,舉例來說,在短時間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊;
2、方差,計算參數(shù)的方差,設定其置信區(qū)間,當測量值超過置信區(qū)間的范圍時表明有可能是異常;
3、多元模型,操作模型的擴展,通過同時分析多個參數(shù)實現(xiàn)檢測;
4、馬爾柯夫過程模型,將每種類型的事件定義為系統(tǒng)狀態(tài),用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化,當一個事件發(fā)生時,或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件;
5、時間序列分析,將事件計數(shù)與資源耗用根據(jù)時間排成序列,如果一個新事件在該時間發(fā)生的概率較低,則該事件可能是入侵。
統(tǒng)計方法的最大優(yōu)點是它可以“學習”用戶的使用習慣,從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統(tǒng)計規(guī)律,從而透過入侵檢測系統(tǒng)。 入侵檢測產(chǎn)品選擇要點
當您選擇入侵檢測系統(tǒng)時,要考慮的要點有:
1. 系統(tǒng)的價格
當然,價格是必需考慮的要點,不過,性能價格比、以及要保護系統(tǒng)的價值可是更重要的因素。
2. 特征庫升級與維護的費用
象反病毒軟件一樣,入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法。
3. 對于網(wǎng)絡入侵檢測系統(tǒng),最大可處理流量(包/秒 PPS)是多少
首先,要分析網(wǎng)絡入侵檢測系統(tǒng)所布署的網(wǎng)絡環(huán)境,如果在512K或2M專線上布署網(wǎng)絡入侵檢測系統(tǒng),則不需要高速的入侵檢測引擎,而在負荷較高的環(huán)境中,性能是一個非常重要的指標。
4. 該產(chǎn)品容易被躲避嗎
有些常用的躲開入侵檢測的方法,如:分片、TTL欺騙、異常TCP分段、慢掃描、協(xié)同攻擊等。
5. 產(chǎn)品的可伸縮性
系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫大小、傳感器與控制臺之間通信帶寬和對審計日志溢出的處理。
6. 運行與維護系統(tǒng)的開銷
產(chǎn)品報表結(jié)構(gòu)、處理誤報的方便程度、事件與事志查詢的方便程度以及使用該系統(tǒng)所需的技術(shù)人員數(shù)量。
7. 產(chǎn)品支持的入侵特征數(shù)
不同廠商對檢測特征庫大小的計算方法都不一樣,所以不能偏聽一面之辭。
8. 產(chǎn)品有哪些響應方法
要從本地、遠程等多個角度考察。自動更改防火墻配置是一個聽上去很“酷”的功能,但是,自動配置防火墻可是一個極為危險的舉動。
9. 是否通過了國家權(quán)威機構(gòu)的評測
主要的權(quán)威測評機構(gòu)有:國家信息安全測評認證中心、公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心。
入侵檢測技術(shù)發(fā)展方向
無論從規(guī)模與方法上入侵技術(shù)近年來都發(fā)生了變化。入侵的手段與技術(shù)也有了“進步與發(fā)展”。入侵技術(shù)的發(fā)展與演化主要反映在下列幾個方面:
入侵或攻擊的綜合化與復雜化。入侵的手段有多種,入侵者往往采取一種攻擊手段。由于網(wǎng)絡防范技術(shù)的多重化,攻擊的難度增加,使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段,以保證入侵的成功幾率,并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。
入侵主體對象的間接化,即實施入侵與攻擊的主體的隱蔽化。通過一定的技術(shù),可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術(shù)后,對于被攻擊對象攻擊的主體是無法直接確定的。
入侵或攻擊的規(guī)模擴大。對于網(wǎng)絡的入侵與攻擊,在其初期往往是針對于某公司或一個網(wǎng)站,其攻擊的目的可能為某些網(wǎng)絡技術(shù)愛好者的獵奇行為,也不排除商業(yè)的盜竊與破壞行為。由于戰(zhàn)爭對電子技術(shù)與網(wǎng)絡技術(shù)的依賴性越來越大,隨之產(chǎn)生、發(fā)展、逐步升級到電子戰(zhàn)與信息戰(zhàn)。對于信息戰(zhàn),無論其規(guī)模與技術(shù)都與一般意義上的計算機網(wǎng)絡的入侵與攻擊都不可相提并論。信息戰(zhàn)的成敗與國家主干通信網(wǎng)絡的安全是與任何主權(quán)國家領(lǐng)土安全一樣的國家安全。
入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機執(zhí)行。由于防范技術(shù)的發(fā)展使得此類行為不能奏效。所謂的分布式拒絕服務(DDoS)在很短時間內(nèi)可造成被攻擊主機的癱瘓。且此類分布式攻擊的單機信息模式與正常通信無差異,所以往往在攻擊發(fā)動的初期不易被確認。分布式攻擊是近期最常用的攻擊手段。
攻擊對象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡為侵犯的主體,但近期來的攻擊行為卻發(fā)生了策略性的改變,由攻擊網(wǎng)絡改為攻擊網(wǎng)絡的防護系統(tǒng),且有愈演愈烈的趨勢?,F(xiàn)已有專門針對IDS作攻擊的報道。攻擊者詳細地分析了IDS的審計方式、特征描述、通信模式找出IDS的弱點,然后加以攻擊。
今后的入侵檢測技術(shù)大致可朝下述三個方向發(fā)展。
關(guān)鍵詞: 入侵監(jiān)測
您可能也感興趣:
今日熱點
為您推薦
遼寧省積極部署種植業(yè)保險投保工作 推進特色農(nóng)作物保險
江蘇醫(yī)惠保1號理賠金額達7559.9萬元 減輕群眾高額醫(yī)療費用負擔
因旗下部分產(chǎn)品存在問題 三家險企被要求全面整改
排行
最近更新
- IDS入侵檢測基礎(chǔ)知識
- 浙滬一家親!平湖農(nóng)開集團支援金山廊下鎮(zhèn)保供抗疫
- 正是人間四月天
- “我沒事的,我已經(jīng)快到了”
- 量化交易是什么意思?量化交易具有這四大特點
- 創(chuàng)業(yè)板股票破發(fā)了怎么辦?破發(fā)后投資者要如何應對?
- 暖心!街道總工會為一線抗疫人員送上“娘家人”
- 藍色宇宙“分身有術(shù)”,讓工作節(jié)奏放松下來
- 多玩法助推,全行業(yè)聚熱,大消費在“國潮”中找到增長鑰匙
- 柏鄉(xiāng)農(nóng)商銀行“三個聯(lián)動”推動審計工作向縱深發(fā)展
- 五香蘿卜干兒
- 中信證券:預計4月CPI為2.1%左右 PPI逐漸進入下行區(qū)間
- 聞喜農(nóng)商銀行開展2022年“五四”青年節(jié)主題讀書會
- 前4月中國房企發(fā)債規(guī)模同比降逾四成 海外融資占比走低
- 偷賣客戶信息 鳳臺一手機店女老板被判緩刑和提供3個月公益勞動
- 安徽發(fā)布冬小麥干旱災害氣象風險預警 淮北北部和東部為高風險
- 比亞迪:擬下調(diào)“19 亞迪 G1”債券后2年票面利率至2%
- ?嘉興市總工會副主席朱永根一行來曹橋街道調(diào)研指導物流企業(yè)...
- 人勤春來早!平湖市當湖街道種糧大戶黃建強積極推進春耕生產(chǎn)
- 投資回報率如何計算?投資回報率的計算公式是什么?
- 防疫“無疏漏”!當湖街道按下項目建設“加速鍵”
- 大宗商品主要指哪些商品?大宗商品價格上漲有哪些影響?
- 奈雪的茶“五一”假期銷售額較節(jié)前增長70%
- 借道SPAC赴美上市,押寶定制化,前途汽車是否還有“前途”?
- 行車記錄儀泄露用戶隱私? 高合汽車:相關(guān)功能需確認才可開啟
- 價格戰(zhàn)后眾生相,快遞業(yè)探尋新大陸
- 木頭姐的“悲慘2022”:旗艦基金持倉股“全軍覆沒”
- 中央援港應急醫(yī)院和落馬洲方艙設施全面竣工交付(抓細抓實各...
- 將“心”比心:心情好壞心臟知
- 美國科羅拉多州立法者提出法案,以研究使用證券型代幣籌集州資金
今日要聞
- IDS入侵檢測基礎(chǔ)知識
- 前4月中國房企發(fā)債規(guī)模同比降逾四成 海外融資占比走低
- 借道SPAC赴美上市,押寶定制化,前途汽車是否還有“前途”?
- 價格戰(zhàn)后眾生相,快遞業(yè)探尋新大陸
- 比亞迪:擬下調(diào)“19 亞迪 G1”債券后2年票面利率至2%
- 木頭姐的“悲慘2022”:旗艦基金持倉股“全軍覆沒”
- 中信證券:預計4月CPI為2.1%左右 PPI逐漸進入下行區(qū)間
- 奈雪的茶“五一”假期銷售額較節(jié)前增長70%
- 美國科羅拉多州立法者提出法案,以研究使用證券型代幣籌集州資金
- 行車記錄儀泄露用戶隱私? 高合汽車:相關(guān)功能需確認才可開啟