什麼是IDS
IDS是英文"Intrusion Detection Systems"的縮寫,中文意思是"入侵檢測系統"。
大家還記得「網絡安全」安全設備篇(1)——防火牆嗎?做一個形象的比喻:假如防火牆是一幢大樓的門鎖,那麼IDS就是這幢大樓裡的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況併發出警告。
在本質上,入侵檢測系統是一個典型的"窺探設備"。它不跨接多個物理網段(通常只有一個監聽端口),無須轉發任何流量,而只需要在網絡上被動的、無聲息的收集它所關心的報文即可。對收集來的報文,入侵檢測系統提取相應的流量統計特徵值,並利用內置的入侵知識庫,與這些流量特徵進行智能分析比較匹配。根據預設的閥值,匹配耦合度較高的報文流量將被認為是進攻,入侵檢測系統將根據相應的配置進行報警或進行有限度的反擊。
IDS模型
按入侵檢測的手段,IDS的入侵檢測模型可分為基於網絡和基於主機兩種。
1
基於主機模型
也稱基於系統的模型,它是通過分析系統的審計數據來發現可疑的活動,如內存和文件的變化等。其輸入數據主要來源於系統的審計日誌,一般只能檢測該主機上發生的入侵。這種模型有以下優點:
①性能價格比高:在主機數量較少的情況下,這種方法的性能價格比更高;
②更加細緻:可以很容易地監測一些活動,如敏感文件、目錄、程序或端口的存取,而這些活動很難基於協議的線索發現;
③視野集中:一旦入侵者得到了一個主機用戶名和口令,基於主機的代理是最有可能區分正常活動和非法活動的;
④易於用戶剪裁:每一個主機有自己的代理,當然用戶剪裁更加方便;
⑤較少的主機:基於主機的方法有時不需要增加專門的硬件平臺;
⑥對網絡流量不敏感:用代理的方式一般不會因為網絡流量的增加而丟掉對網絡行為的監視。
2
基於網絡模型
即通過連接在網絡上的站點捕獲網上的包,並分析其是否具有已知的攻擊模式,以此來判別是否為入侵者。當該模型發現某些可疑的現象時,也一樣會產生告警,並會向一箇中心管理站點發出告警信號。這種模型有以下優點:
①偵測速度快:基於網絡的監測器,通常能在微秒或秒級發現問題。而大多數基於主機的產品則要依靠最近幾分鐘內審計記錄的分析;
②隱蔽性好:一個網絡上的監測器不像主機那樣顯眼和易被存取,因而也不那麼容易遭受攻擊;
③視野更寬:基於網絡的方法甚至可以作用在網絡邊緣上,即攻擊者還沒能接入網絡時就被制止;
④較少的監測器:由於使用一個監測器可以保護一個共享的網段,所以不需要很多的監測器;
⑤佔資源少:在被保護的設備上不佔用任何資源,這點較主機模型最為突出。
IDS分類
根據模型和部署方式的不同,IDS分為基於主機的IDS、基於網絡的IDS,以及由兩者取長補短髮展而來的新一代分佈式IDS。
1
基於主機的IDS
輸入數據來源於系統的審計日誌,即在每個要保護的主機上運行一個代理程序,一般只能檢測該主機上發生的入侵。它在重要的系統服務器、工作站或用戶機器上運行,監視操作系統或系統事件級別的可疑活動(如嘗試登錄失敗)。此類系統需要定義清楚哪些是不合法的活動,然後把這種安全策略轉換成入侵檢測規則。
2
基於網絡的IDS
基於網絡的IDS的輸入數據來源於網絡的信息流,該類系統一般被動地在網絡上監聽整個網段上的信息流,通過捕獲網絡數據包,進行分析,能夠檢測該網絡段上發生的網絡入侵。
3
分佈式IDS
一般由多個部件組成,分佈在網絡的各個部分,完成相應功能,分別進行數據採集、數據分析等。通過中心的控制部件進行數據彙總、分析、產生入侵警報等。在這種結構下,不僅可以檢測到針對單獨主機的入侵,同時也可以檢測到針對整網絡上的主機的入侵。
IDS作用
1.監控、分析用戶及系統活動。
2.對系統構造和弱點的審計。
3.識別反映已知進攻的活動模式並報警。
4.異常行為模式的統計分析。
5.評估重要系統和數據文件的完整性。
6.對操作系統的審計追蹤管理,並識別用戶違反安全策略的行為。
