一、入侵检测的概念
1、入侵检测的概念
- 检测对计算机系统的非授权访问
- 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的保密性、完整性和可用性
- 识别针对计算机系统和网络系统或广义上的信息系统的非法攻击,包括检测外部非法入侵者的恶意攻击或探测,以及内部合法用户越权使用系统资源的非法行为。
所有能够执行入侵检测任务和实现入侵检测功能的系统都可称为入侵检测系统(IDS Intrusion Detection System)
入侵检测系统 IDS,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。能在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,这些都通过它执行以下任务来实现:
- 监视、分析用户及系统的活动
- 系统构造和弱点的审计
- 识别反映已知攻击的活动模式并向相关人员报警
- 异常行为模式的统计分析
- 评估重要系统和数据文件的完整性
- 操作系统的审计跟踪管理,并识别用户违反安全策略的行为
2、IDS系统模型的四个部分
- 数据收集器
- 检测器
- 知识库
- 控制器
3、IDS的任务
- 信息收集
- 信息分析:模式匹配(与已知网络入侵数据库比较,误报率低,但只能发现已知攻击),统计分析(观察值与正常值比较)、完整性分析(检查某个文件是否被修改)
- 安全响应:主动响应(系统本身自动执行,采取终止连接,修正系统环境),被动响应(发出告警信息和通知)
4、IDS的评价标准
- 性能检测
- 功能测试
- 用户可用性测试
二、入侵检测原理及主要方法
IDS通常使用两种基本的分析方法来分析事件、检测入侵行为,即异常检测(Anomaly Detection)和误用检测(Misuse Detection)
1、异常检测
假定所有入侵行为都是与正常行为不同的,如果建立系统正常行为轨迹,那么理论上可以通过统计那些不同于我们已建立的特征文件的所有系统状态的数量来识别入侵企图,把所有与正常轨迹不同的系统状态视为可疑企图。
2、误用检测(基于知识的检测技术)
假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配方法发现。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。
误用检测系统的关键问题是如何从已知入侵中提取金和编写特征,使得其能够覆盖该入侵的所有可能的变种,而同时不会匹配到非法入侵活动(把真正入侵与正常行为区分开来)
三、IDS的结构与分类
1、IDS的功能
IDS至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。
2、IDS的分类
按照数据来源分类:
①、基于网络的入侵检测系统(NIDS):数据来自于网络的数据流。
优缺点:侦测速度快,不容易受到攻击,对主机资源消耗少,//来自服务器本身的攻击不经过网络,误报率高
关键技术:蜜罐技术
工作原理:将入侵检测系统的产品放在比较重要的网段,如果数据包与产品内置的规则吻合就发出警报甚至直接切断连接
②、基于主机的入侵检测系统(HIDS):数据来自于审计记录和系统日志。
优缺点:不同操作系统捕获应用层入侵,误报少,//依赖与主机及其子系统,实时性差
工作原理:扫描操作系统和应用程序日志文件,查看敏感文件是否被篡改,检验进出主机的网络传输流,发现攻击。
监视用户和访问文件的活动
监视主要系统文件和可执行文件的改变
监视只有管理员才能实施的异常行为
③、分布式入侵检测系统(DIDS):数据来自于系统审计记录和网络的数据流。
克服了单一HIDS、NIDS的不足。
HIDS常安装于被保护的主机上,而NIDS常安装于网络入口处
按照入侵检测策略分类:
①、滥用检测
优缺点:只收集相关数据集合,减少系统负担,//需要不断升级
原理:将收集到的信息与已知网络入侵和数据库比对
②、异常检测
优缺点:可检测到未知的入侵和更复杂的入侵//误报,漏报率高,且不适用于用户正常行为的突然改变
原理:统计正常使用的测量属性,若观察值超过正常范围,则认为有入侵发生
③、完整性分析
优缺点:只要攻击导致某个文件的改变就可以被发现,//一般以批处理方式不容易实时响应。
原理:关注某个文件是否被修改
3、DIDS构件
数据采集构件、通信传输构件、入侵检测分析构件、应急处理构件、用户管理构件
4、IDS控制台
控制台的设计重点是
- 日志检索
- 探测器管理
- 规则管理
- 日志报表
- 用户管理
5、蜜罐技术
现代的IDS采用了蜜罐(Honeypot)技术的新思想。蜜罐是一个吸引潜在攻击者的陷阱,它的作用是:
把潜在入侵者的注意力从关键系统移开;
收集入侵者的动作信息
设法让攻击者停留一段时间,使管理员能检测到它并采取相应的措施。
潜在入侵者的信息可以通过检查蜜罐日志来获得
四、IDS的发展方向
- 宽带高速实时检测技术
- 大规模分布式的检测技术
- 数据挖掘技术
- 更先进的检测算法
- 入侵响应技术
