入侵检测系统(Intrusion Detection System,简称IDS)综述
防火墙技术:它通过加强网络间的访问控制,防止外部用户非法使用内部网络资源,从而保护内部网络的设备不被破坏,防止内部网络的核心数据被窃取。它规定了哪些内部服务可以被外界访问,以及哪些外部服务可以被内部人员访问等。
防火墙只是一种被动的防御技术,它不是万能的,它无法识别和防御自内部网络的滥用和攻击,也不能有效阻止绕过防火墙的攻击。
入侵检测作为主动防御技术弥补了这一不足,是为保证计算机系统的安全而设计的能够即使发现并报告系统中未授权或异常现象,用于检测计算机网络和系统中违反安全策略行为的技术。入侵检测技术的应用,可以在系统发生危害前检测到入侵攻击,并利用报警与防范系统响应攻击,从而减少入侵攻击所造成的损失。
入侵:企图破坏资源的完整性、保密性、可用性的任何行为,也指违背系统安全策略的任何事情。
入侵检测:是通过多计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统:是实现入侵检测功能的一系列的软件、硬件的组合。它是入侵检测的具体实现。作为一种安全管理工具,它从不同的系统资源收集信息,分析反映误用或异常行为模式的信息,对检测的行为做出自动的反应,并报告检测过程的结果。
入侵系统的主要功能:监视分析拥护和系统的活动;核查系统配置和漏洞评估系统关键资源和数据完整性;识别已知的攻击行为;异常行为模式的统计分析;操作系统日志的审记跟踪和拥护违反安全策略的识别;针对已发现的攻击行为作出适当反应,如警告,终止进程等。
入侵检测系统与系统扫描器的不同:系统扫描器是根据攻击特征数据库来扫描系统漏洞的,它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上,即使正在运行着扫描程序,也无法识别这种攻击。IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤,从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而IDS监视和记录网络流量。
IDS的工作流程分为三步:信息收集、信息分析、应急响应。
入侵检测系统采用的基本分析技术主要有两种,即误用检测和异常检测。误用检测是对系统汇总不正常的行为建摸,这些行为就是以前记录下来的确认了的误用或攻击,通过分析系统的活动,发现那些与被预先定义好了的攻击特征相匹配的事件或事件集。
误用检测往往也被称为基于特征的检测。大部分商业IDS产品采用误用检测技术,常用的误用检测方法有:
(1)模式匹配:模式匹配的基本思想是:提取各种攻击的特征(协议、IP地址、服务器端口等),建立用语检测的特征库,从而以特征库为依据来识别大量的攻击和试探。模式匹配的突出优点是算法简单,准确率高。但是该方法只能识别已知攻击,而且对于高速大规模网络,由于要处理分析大量的数据包,速度很成问题。
(2)专家系统:专家系统是基于一套由专家经验事先定义的规则的推理系统,通常是着呢队有特征的入侵行为。例如:在数分钟内某用户连续进行登录,切失败三次就可以被认为是一种攻击行为。专家系统对历史数据的依赖性较少,因此对系统适应性比较强,可以灵活适应比较比较广泛的安全策略和检测需求,专家系统的关键在于入侵特征的提取与表达,然而实际应用中,入侵特征的提取难度较大,速度往往难于满足实际要,这是主要缺点。
(3)完整性分析:完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容和属性,它在发现被更改的,被特洛伊化的应用程序方面特别有效,其主要优点是只要攻击导致了文件或对象的任何改变,它都能够发现。缺点是只能用语事后分析而不能用于实时响应。
(4)协议分析:在协议分析方法中,协议将被解码,如果设置了IP分片标志,数据包将会先进行重组,然后再详细分析是否具有攻击行为。通过数据包重组,系统可以检测到如数据分片、TCP或RPC段边界欺骗等规避技术的攻击。
(5)状态转移分析:攻击行为是攻击者执行的操作系列,是系统从某些初始状态转移到危及系统安全的状态。初始状态是攻击开始前的状态,危及系统安全的状态为已成功攻击时刻的状态。在初始状态和危及系统安全状态之间,可能存在一个或多个中间转移状态。标识初始状态和危及系统安全状态后,分析两个状态之间的状态转移,用状态转移图或专家系统规则来描述状态间的转移信息。状态转移分析考虑攻击行为对每步系统状态转移的影响,可检测协同攻击和利用用户会话的攻击行为。但状态转移分析技术只适用于对攻击步骤之间存在全序关系行为的检测。
异常检测:是试图检测出系统行为的异常模式,即对所有正常行为建模,所有不符合这个活动的历史数据,再建立代表用户、主机或网络的正常行为轮廓,然后收集事件数据,并使用各种方法来判断检测到的事件活动是否偏离了正常行为模式。
常用的方法有:
(1)量化分析:将检测规则和属性以数值形式表示。最常用的量化分析法有阀值检测和目标集成检查。阀值检测对系统中的某种操作或事件进行计数,若有实际操作超过计数允许的上限,别被市委非法,目标集成检查法检查目标客体,获得其关键参数并存储起来,再定期检查课题并与赏赐获得的关键参数相比较,若发现差别,则视为异常出错。
(2)统计法:此方法选取有效的数据采集点,把得到的用户活动汇编为记录,再分析所采集到的数据以判断用户的活动是否合法。统计法支持对主体的活动特征的学习,但是它没有分析事件发生的顺序的能力。
(3)预测模式生成法:此法把用户的实际活动特征氛围异常活动集合和着呢工厂活动集合,每个集合有自己的算法,然后根据已知的事件模型按照时间顺序分析得出一系列规则,并不断更新,依靠最后得到的最完善规则来预测下一步可能要发生的事件。
(4)神经网络:使用自适应学习技术来描述异常行为。神经网络的工作过程是:收集用户的行为特征并生成模型,与网络实时接收的用户操作参数进行比较,以图发现可以之处。但它有可能过于敏感地学习某种行为事件来丰富自身的特征模型,这样就可能导致误报警,影响了检测的准确性。
(5)基于免疫学方法:人的免疫系统具有识别“自我/非自我”的特点,基于免疫学的IDS,其思想是:对于一个特定的进程(程序),系统调用序列是相对稳定的,使用系统调用序列表征主机的“自我”,任何有别于这种“自我”的系统调用都被认为是“非自我”的,即异常的。
入侵检测系统分类
根据不同的结构和监听策略,入侵检测系统可以分为3类:主机型(HIDS)、网络型(NIDS)和混合型的入侵检测系统。
主机型入侵检测系统(HIDS)
基于主机的入侵检测系统是以系统日志、应用程序日志等审计记录文件作为数据源,例如对内核或API的调用,以此来防御攻击并对这些事件进行日志,对特别设定的关键文件和文件夹也可以进行适时轮询的监控等等。它能对检测到的事件给予积极的反应,如断开连接、封掉账号、杀死进程等。
主机型入侵检测系统的优缺点:HIDS可以检测特定的应用程序,它的误报率比较低,由于检测在主机上运行的命令序列简单,系统的复杂性小,可以实现一些复杂的需要大量计算和分析时间的入侵检测。但是HIDS的主机代理安装在所保护的主机上,不同的操作系统需要不同的主机代理,因此费用比较高,而且安装与维护都不是很方便。HIDS只能监测自身的主机,不关注网络上的安全,对入侵行为分析的工作量将随主机数目的增加而大大增加。
网络型入侵检测系统(NIDS)
基于网络的入侵检测系统是以网络包作为分析数据源。常常将一台计算机上的网卡设于混杂模式(Promise Mode)来监听、分析网段内的数据包。由于NIDS直接从数据链路层获取信息,原始数据来源丰富,只要传输的数据不经过底层加密,就可检测到一切通过网络发动的入侵事件,包括一些高层应用的信息。
网络型入侵检测系统的优缺点:NIDS不用在被保护的主机上安装软件,成本比较低,只要将安全策略配置在几个关键访问点上就可以保护大量的主机,安装和维护非常方便;NIDS可以自动阻塞有怀疑的数据,调整相应的网络配置,用来响应那些检测到的攻击过程;能够检测网络攻击,可以检测到超过授权的非法访问;不需要改变主机的配置,不影响机器的CPU,I/O等资源的使用,即使NIDS发生故障也不会影响正常业务的运行。但是NIDS只检查直接连接网段的通信,对于不同网段的网络包却无能为力。因此它的监测范围受到限制,即使有些方法可以检测出一些普通的攻击,但需要大量计算与分析时间的攻击检测却很难实现,在准确性上,也常常易出现误报漏报,NIDS处理加密的会话过程比较困难。
现常用的NIDS有:国外ISS的Real Secure Network Sensor,Cisco的Net Ranger,CA的e-Trust IDS,开放源代码的Snort;国内的金诺网安KIDS,启明星辰黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。
混合型入侵检测系统
基于主机的入侵检测产品和基于网络的入侵检测产品都各有自己的优缺点,单纯使用一类产品会造成主动防御体系不全面。如果能结合两类方式的优点部署在网络内,这样的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。
入侵检测面临的问题
(1)误警率高。IDS的虚警率和漏警率之和即为误警率,误警问题已成为制约其发展的关键技术问题。
(2)缺少统一的构建方法学。IDS系统内缺少结构化的方法学,同时入侵检测系统的内部缺乏有效的信息共享和协同机制,限制了对攻击的检测能力。
(3)自学习能力差。添加IDS检测规则常依赖于手工方式且更新缓慢,限制了IDS的可用性。
(4)自身易受攻击。IDS本身是存在漏洞的软件程序,它容易成为黑客攻击的目标,一旦黑客攻击成功,那它所管理的网络安全就不能得到保证。
入侵检测系统的发展趋势
(1)分布式入侵检测:异构和大型网络中,系统的复杂度大大增加,模型建立十分困难,需要分布式入侵检测架构。其关键技术是检测信息的协同处理与入侵攻击的全局信息的获取。
(2)应用层入侵检测:许多入侵活动的含义只有在应用层才能理解。但传统方法很少涉及到应用层,使得一些应用系统内的入侵活动难以检测,所以需要开发应用层的入侵检测技术。
(3)智能入侵检测:智能化的入侵检测技术,使系统能够自动学习新的入侵活动,完善系统模型,提高检测的效率和准确性。
(4)综合性监测系统:与其他的网络安全技术相结合,形成综合的检测系统,解决传统方法检测对象单一、检测攻击形式简单的问题。