入侵檢測(cè)系統(tǒng)(IDS)基本介紹

1、入侵檢測(cè)系統(tǒng) (IDS) 基本介紹入侵檢測(cè)是信息安全領(lǐng)域很熱門的話題之一， 本文主要是介紹入侵檢測(cè)系統(tǒng)的一些基 本知識(shí)。1 入侵檢測(cè)的必要性談到網(wǎng)絡(luò)安全，人們第一個(gè)想到的是防火墻。但隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)日趨復(fù)雜， 傳統(tǒng)防火墻所暴露出來的不足和弱點(diǎn)引出了人們對(duì)入侵檢測(cè)系統(tǒng)技術(shù)的研究和開發(fā)。 傳統(tǒng)的 防火墻在工作時(shí)， 會(huì)有兩個(gè)方面的不足。 首先， 防火墻完全不能阻止來自內(nèi)部的襲擊， 其次， 由于性能的限制， 防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力， 而這一點(diǎn)， 對(duì)于現(xiàn)在層出不窮 的攻擊技術(shù)來說是至關(guān)重要的。 入侵檢測(cè)系統(tǒng)可以彌補(bǔ)防火墻的不足， 為網(wǎng)絡(luò)安全提供實(shí)時(shí) 的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段。2

2、入侵檢測(cè)的定義入侵檢測(cè) (intrusion detection) 簡(jiǎn)單地說就是通過實(shí)時(shí)地分析數(shù)據(jù)來檢測(cè)、記錄和終止 非法的活動(dòng)或入侵的能力。 在實(shí)際應(yīng)用中， 入侵檢測(cè)比以上簡(jiǎn)單的定義要復(fù)雜得多， 一般是 通過各種入侵檢測(cè)系統(tǒng) (Intrusion Detection System IDS) 來實(shí)現(xiàn)各種入侵檢測(cè)的功能。入侵 檢測(cè)系統(tǒng)通過對(duì)入侵行為的過程與特征進(jìn)行研究， 使安全系統(tǒng)對(duì)入侵事件和入侵過程作出實(shí) 時(shí)響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。入侵檢測(cè)系統(tǒng)主要執(zhí)行如下任務(wù)： 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。異常行為模式的統(tǒng)計(jì)

3、分析。 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。3 入侵檢測(cè)系統(tǒng)的分類根據(jù)檢測(cè)數(shù)據(jù)的采集來源， 入侵檢測(cè)系統(tǒng)可以分為： 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) (NIDS) 和基于主機(jī)的入侵檢測(cè)系統(tǒng) (HIDS) ：基于主機(jī)的入侵檢測(cè)系統(tǒng) (HIDS) ：HIDS 一般是基于代理的， 即需要在被保護(hù)的系 統(tǒng)上安裝一個(gè)程序。 HIDS 用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接、系 統(tǒng)日志、非法訪問的闖入等，并且提供對(duì)典型應(yīng)用的監(jiān)視，如 Web 服務(wù)器應(yīng)用。 基于主機(jī)的入侵檢測(cè)系統(tǒng)有 :ISS RealSecure 、 Intruder Alter 、 Cybe

4、rSafe Centrax IDS 、Emera expert-BSM 、金諾網(wǎng)安 KIDS 、天闐主機(jī)版等。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) (NIDS) ： NIDS 捕捉網(wǎng)絡(luò)傳輸?shù)母鱾€(gè)數(shù)據(jù)包，并將其與 某些已知的攻擊模式或簽名進(jìn)行比較， 從而捕獲入侵者的入侵企圖。 NIDS 可以無 源地安裝，而不必對(duì)系統(tǒng)或網(wǎng)絡(luò)進(jìn)行較大的改動(dòng)?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)有：Cisco Secure IDS 、 NFR IDS 、 Anzen Flight Jacket 、 NetProwler 、 ISS RealSecure 、 天闐網(wǎng)絡(luò)版等 根據(jù)檢測(cè)原理，入侵檢測(cè)系統(tǒng)可以分為：異常檢測(cè)和濫用檢測(cè)兩種，然后分別對(duì)其

5、 建立檢測(cè)模型：異常檢測(cè)：在異常檢測(cè)中，觀察到的不是已知的入侵行為，而是所研究的通信過 程中的異常現(xiàn)象，它通過檢測(cè)系統(tǒng)的行為或使用情況的變化來完成。在建立該模 型之前，首先必須建立統(tǒng)計(jì)概率模型，明確所觀察對(duì)象的正常情況，然后決定在 何種程度上將一個(gè)行為標(biāo)為“異?！?，并如何做出具體決策。例如，某個(gè)用戶一般 會(huì)在星期一到星期五之間登錄，但現(xiàn)在發(fā)現(xiàn)他在周六早上 3:00 登錄，此時(shí)基于異 常的入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警告。從理論上說，這種系統(tǒng)通常只能檢測(cè)郵出系統(tǒng) 有問題產(chǎn)生，而并不知道產(chǎn)生問題的原因所在。濫用檢測(cè)：在濫用檢測(cè)中，入侵過程及它在被觀察系統(tǒng)中留下的蹤跡是決策的基 礎(chǔ)。所以，可事先定義某些特

6、征的行為是非法的，然后將觀察對(duì)象與之進(jìn)行比較 以做出判別。濫用檢測(cè)基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測(cè)。它能 夠準(zhǔn)確地檢測(cè)到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無 法檢測(cè)系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏警。據(jù)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品 質(zhì)量監(jiān)督檢驗(yàn)中心的報(bào)告，國內(nèi)送檢的入侵檢測(cè)產(chǎn)品中95是屬于使用入侵模板進(jìn)行模式匹配的特征檢測(cè)產(chǎn)品， 其他 5是采用其他檢測(cè)方式的產(chǎn)品。 國外的入侵 檢測(cè)產(chǎn)品也基本上都是采用濫用檢測(cè)模型的。4 入侵檢測(cè)系統(tǒng)的組成特點(diǎn)入侵檢測(cè)系統(tǒng)一般是由兩部分組成：控制中心和探測(cè)引擎?？刂浦行臑橐慌_(tái)裝有控 制軟件的主機(jī)， 負(fù)責(zé)制定入侵監(jiān)測(cè)的策略， 收集來自

7、多個(gè)探測(cè)引擎的上報(bào)事件， 綜合進(jìn)行事 件分析，以多種方式對(duì)入侵事件作出快速響應(yīng)。探測(cè)引擎負(fù)責(zé)收集數(shù)據(jù)，作處理后，上報(bào)控 制中心?？刂浦行暮吞綔y(cè)引擎是通過網(wǎng)絡(luò)進(jìn)行通訊的，這些通訊的數(shù)據(jù)一般經(jīng)過數(shù)據(jù)加密。HIDS的探測(cè)引擎為安裝在被監(jiān)測(cè)主機(jī)上的age nt,它會(huì)監(jiān)控系統(tǒng)的基本事件日志，這些基本事件包括登錄錯(cuò)誤嘗試、 建立新帳號(hào)、 訪問異常等等； 有些產(chǎn)品會(huì)監(jiān)控某些具有敵 意行為的核心消息； 更加高級(jí)的 HIDS 系統(tǒng)還會(huì)監(jiān)視特洛木馬代碼和后門程序的安裝, 甚至 中斷一些不合理的進(jìn)程。HIDS 系統(tǒng)因?yàn)樾枰谒械谋槐O(jiān)控系統(tǒng)上安裝代理程序, 這個(gè)代理程序會(huì)消耗 CPU 周期,對(duì)于那些每個(gè) CPU 周

8、期都很寶貴的機(jī)器來說, HIDS 可能會(huì)嚴(yán)重影響整個(gè)系統(tǒng)的效率。 但 HIDS 也有一個(gè)特別突出的優(yōu)點(diǎn), 那就是可以集中控制和解析系統(tǒng)日志, 多數(shù)企業(yè)在沒有 事情發(fā)生的情況下一般不會(huì)查看系統(tǒng)日志,在這種情況下 HIDS 系統(tǒng)的優(yōu)點(diǎn)就非常明顯。HIDS 系統(tǒng)的典型組網(wǎng)圖如圖一所示?？刂浦行腗anager/cosoleWWW server防火墻8AgentAgentDNS圖一典型HIDS組網(wǎng)圖NIDS的探測(cè)引擎為一個(gè)網(wǎng)絡(luò)嗅探器。嗅探器有兩個(gè)網(wǎng)卡， 一個(gè)網(wǎng)卡用于和控制中心進(jìn)行通訊，另一個(gè)網(wǎng)絡(luò)接口卡設(shè)置為“混合”模式，然后將通過這個(gè)網(wǎng)卡的每個(gè)數(shù)據(jù)幀捕獲進(jìn)來。網(wǎng)絡(luò)嗅探器檢查每個(gè)穿過被監(jiān)控網(wǎng)段的數(shù)據(jù)，查找

9、出符合已知攻擊模式或特征的數(shù)據(jù)包，看是否對(duì)被保護(hù)的網(wǎng)絡(luò)構(gòu)成威脅，然后按照預(yù)先定義的策略自動(dòng)報(bào)警，阻斷和記錄日志等。NIDS它可以監(jiān)測(cè)一個(gè)共享網(wǎng)絡(luò)或交換機(jī)網(wǎng)絡(luò)中Span過來的多個(gè)網(wǎng)段的流量。NIDS最突出的優(yōu)點(diǎn)是 NIDS設(shè)備是無源的。多數(shù)情況下，系統(tǒng)的其他部分甚至不知 道NIDS的存在；而且配置NIDS設(shè)備也不需要系統(tǒng)管理員的介入，這是HIDS所做不到的。但NIDS設(shè)備對(duì)傳輸是非常敏感的，很多NIDS產(chǎn)品目前能夠處理的網(wǎng)絡(luò)帶寬為100Mbps，所以多數(shù)NIDS設(shè)備都不適合用在高帶寬的網(wǎng)絡(luò)環(huán)境中。典型的NIDS組網(wǎng)圖如圖二?？刂婆_(tái)和嗅控 器交互數(shù)據(jù)防火墻In ter net網(wǎng)絡(luò)嗅探器WWW se

10、rver控制臺(tái)和嗅控 器交互數(shù)據(jù)DNS server控制中心Manager/cosoleI圖二典型NIDS組網(wǎng)圖5入侵檢測(cè)系統(tǒng)的發(fā)展現(xiàn)狀現(xiàn)代的入侵檢測(cè)系統(tǒng)起源于80年代未、90年代初。1990年是入侵檢測(cè)系統(tǒng)發(fā)展史上的一個(gè)分水嶺。這一年，加州大學(xué)戴維斯分校的L. T. Heberlein等人開發(fā)出了NSM(Network Security Monitor)。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在 不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。 從此之后， 入侵檢測(cè)系統(tǒng)發(fā)展史翻開 了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的 IDS 和基于主機(jī)的 IDS 。為了提高 IDS 產(chǎn)品、組

11、件及與其他安全產(chǎn)品之間的互操作性，美國國防高級(jí)研究計(jì) 劃暑（DARPA）和互聯(lián)網(wǎng)工程任務(wù)組的入侵檢測(cè)工作組（IDWG）發(fā)起制定了一系列建議草案，從體系結(jié)構(gòu)、 API 、通信機(jī)制、語言格式等方面規(guī)范IDS 的標(biāo)準(zhǔn)。 DARPA 提出的建議是公共入侵檢測(cè)框架 （CIDF） ，最早由加州大學(xué)戴維斯分校安全實(shí)驗(yàn)室主持起草工作。 1999 年 6 月 IDWG 就入侵檢測(cè)也出臺(tái)了一系列草案。但是，這兩個(gè)組織提出的草案或建議目前還處 于逐步完善之中，尚未作被采納為廣泛接受的國際標(biāo)準(zhǔn)。目前市場(chǎng)上還沒有一種完全相同的統(tǒng)一的 IDS 解決方案。 IDS 產(chǎn)品多種多樣，有些 產(chǎn)品易于安裝， 支持的功能豐富，但卻不能用于高帶寬的環(huán)境中； 有些產(chǎn)品性能穩(wěn)定， 但用 戶對(duì)其的用戶界面和各種統(tǒng)計(jì)曲線卻感到不滿。 有些產(chǎn)品功能強(qiáng)大簡(jiǎn)潔， 受到許多小型用戶 的青睞，但處理不了大數(shù)量級(jí)的事件。其次， IDS 產(chǎn)品幾乎每年都發(fā)生很大的變化，無論是書本介紹的內(nèi)容、雜志中的各 種評(píng)論，還是 Interne