基本介紹
- 中文名:IDS入侵檢測
- 外文名:Intrusion Detection Systems
- 功能:網路、系統的運行狀況進行監視
- 所屬類別:計算機 網路
- 用途:保證網路系統資源的機密性
- 實質:"窺探設備"
基本介紹,詳細介紹,
基本介紹
做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況並發出警告。
在本質上,入侵檢測系統是一個典型的"窺探設備"。它不跨接多個物理網段(通常只有一個監聽連線埠),無須轉發任何流量,而只需要在網路上被動的、無聲息的收集它所關心的報文即可。對收集來的報文,入侵檢測系統提取相應的流量統計特徵值,並利用內置的入侵知識庫,與這些流量特徵進行智慧型分析比較匹配。根據預設的閥值,匹配耦合度較高的報文流量將被認為是進攻,入侵檢測系統將根據相應的配置進行報警或進行有限度的反擊。
詳細介紹
不同於防火牆,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這裡,"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中,已經很難找到以前的HUB式的共享介質衝突域的網路,絕大部分的網路區域都已經全面升級到交換式的網路結構。因此,IDS在交換式網路中的位置一般選擇在:(1)儘可能靠近攻擊源
(2)儘可能靠近受保護資源
這些位置通常是:
·伺服器區域的交換機上
·Internet接入路由器之後的第一台交換機上
入侵檢測系統的工作流程大致分為以下幾個步驟:
1.信息收集 入侵檢測的第一步是信息收集,內容包括網路流量的內容、用戶連線活動的狀態和行為。
2.信號分析 對上述收集到的信息,一般通過三種技術手段進行分析:模式匹配,統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測,而完整性分析則用於事後分析。
具體的技術形式如下所述:
1).模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字元串匹配以尋找一個簡單的條目或指令),也可以很複雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得許可權)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火牆採用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
2).統計分析
分析方法首先給信息對象(如用戶、連線、檔案、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網路、系統的行為進行比較,任何觀察值在正常偏差之外時,就認為有入侵發生。例如,統計分析可能標識一個不正常行為,因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為複雜的入侵,缺點是誤報、漏報率高,且不適套用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法,目前正處於研究熱點和迅速發展之中。
3).完整性分析
完整性分析主要關注某個檔案或對象是否被更改,包括檔案和目錄的內容及屬性,它在發現被更改的、被特絡伊化的應用程式方面特別有效。完整性分析利用強有力的加密機制,稱為訊息摘要函式(例如MD5),能識別及其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了檔案或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用於實時回響。這種方式主要套用於基於主機的入侵檢測系統(HIDS)。
3.實時記錄、報警或有限度反擊
IDS根本的任務是要對入侵行為做出適當的反應,這些反應包括詳細日誌記錄、實時報警和有限度的反擊攻擊源。
經典的入侵檢測系統的部署方式如圖所示:
