- 入侵:指一系列试图破坏信息资源机密性、完整性和可用性的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。
- 入侵检测:是通过从计算机网络系统中的若干关键节点收集信息,并分析这些信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,是对指向计算和网络资源的恶意行为的识别和响应过程。
- 入侵检测系统(IDS):入侵检测系统通过监视受保护系统的状态和活动,采用异常检测或滥用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,是一个完备的网络安全体系的重要组成部分。入侵检测的软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。
- 入侵检测的内容:
二 典型的IDS技术
- IDS起源与发展:审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程,通常用审计日志的形式记录。
- 审计的目标
- 确定和保持系统活动中每个人的责任
- 重建事件
- 评估损失
- 监测系统的问题区
- 提供有效的灾难恢复
- 阻止系统的不正当使用
- 入侵检测流程:信息收集、信息分析、结果处理
- 信息收集
- 信息分析
- 模式匹配:就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
- 统计分析:首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
- 完整性分析,往往用于事后分析:完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被安装木马的应用程序方面特别有效。
- 事件响应(结果处理):
三 入侵检测系统分类
- 基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统
- 基于主机的入侵检测系统(Host-based IDS,HIDS)
- 基于主机的入侵检测系统通常被安装在被保护的主机上,对该主机的网络实时连接以及系统审计日志进行分析和检查,当发现可疑行为和安全违规事件时,系统就会向管理员报警,以便采取措施。这些受保护的主机可以是Web服务器、邮件服务器、DNS服务器等关键主机设备。
- 主机的数据源:操作系统事件日志、应用程序日志系统日志、关系数据库、Web服务器。
- 检测内容:系统调用、端口调用、系统日志、安全审记、应用日志。
- HIDS的优点:检测精度高。HIDS针对用户和系统活动进行检测,更适用于检测内部用户攻击或越权行为。不受加密和交换设备影响。HIDS只关注主机本身发生的事件,并不关心主机之外的网络事件,所以检测性能不受数据加密、隧道和交换设备影响。不受网络流量影响。 HIDS并不采集网络数据包,不会因为网络流量增加而丢失对系统行为的监视,故其检测性能与网络流量无关。
- HIDS的缺点 :HIDS安装在需要保护的主机上,必然会占用主机系统资源,额外负载将降低应用系统的效率。HIDS完全依赖操作系统固有的审计机制,所以必须与操作系统紧密集成,导致平台的可移植性差。HIDS本身的健壮性也受到主机操作系统安全性的限制。HIDS只能检测针对本机的攻击,而不能检测基于网络协议的攻击。
- 基于网络的入侵检测系统(NIDS):安装在需要保护的网段中,实时监视网段中传输的各种数据包,并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件,入侵检测系统就会发出警报甚至切断网络连接。
- 网络监听:在一个共享式网络,可以听取所有的流量是一把双刃剑。管理员可以用来监听网络的流量情况。开发网络应用的程序员可以监视程序的网络情况。黑客可以用来刺探网络情报。
- NIDS的优点: 检测与响应速度快。NIDS能够在成功入侵之前发现攻击和可疑意图,在攻击目标遭受破坏之前即可执行快速响应中止攻击过程。入侵监视范围大。由于每个网络传感器能够采集共享网段内的所有数据包,一个网络传感器就可以保护一个网段。因此,只在网络关键路径上安装网络传感器,就可以监视整个网络通信。入侵取证可靠。NIDS通过捕获数据包收集入侵证据,攻击者无法转移证据。能够检测协议漏洞攻击。许多攻击程序是基于网络协议漏洞编写的,诸如同步洪流(SYN flood)、Smurf攻击和泪滴攻击(teardrop)等只有通过查看数据包头或有效负载才能识别。
- 分布式入侵检测系统(DIDS):网络系统结构的复杂化和大型化,使得:系统的弱点或漏洞分散在网络中的各个主机上,这些弱点有可能被入侵者用来攻击网络,而仅依靠一个主机或网络的入侵检测系统很难发现入侵行为。入侵行为不再是单一的行为,而是表现出相互协作入侵的特点,例如分布式拒绝服务攻击。入侵检测所依靠的数据来源分散化,使得收集原始的检测数据变得比较困难。
- 分布式入侵检测系统(DIDS)的目标是既能检测网络入侵行为,又能检测主机的入侵行为。
- 检测器的位置:
- 基于网络的技术面临的问题:在某些采用交换技术的网络环境中,交换机制使得网络报文不能在子网内任意广播,只能在设定的虚网(VLAN)内广播,这就使得进行网络监听的主机只能提取到本虚网内的数据,监视范围大为减少,监视的能力也受到削弱。
四 入侵检测方法
- 滥用检测(Misuse Detection)
- 滥用检测也被称为误用检测或者基于特征的检测。这种方法首先直接对入侵行为进行特征化描述,建立某种或某类入侵特征行为的模式,如果发现当前行为与某个入侵模式一致,就表示发生了这种入侵。
- 滥用检测特点:
- 异常检测(Anomaly Detection)
- 基本思想:任何人的正常行为都是有一定规律的,并且可以通过分析这些行为产生的日志信息(假定日志信息足够完全)总结出一些规律,而入侵和滥用行为则通常与正常行为会有比较大的差异,通过检查出这些差异就可以检测出入侵。
- 主要方法:为正常行为建立一个规则集,称为正常行为模式,也称为正常轮廓(normal profile),也被称为“用户轮廓”,当用户活动和正常轮廓有较大偏离的时候认为异常或入侵行为。这样能够检测出非法的入侵行为甚至是通过未知攻击方法进行的入侵行为,此外不属于入侵的异常用户行为(滥用自己的权限)也能被检测到。
- 异常检测特点:
- 统计异常检测
- 基于特征选择异常检测
- 基于贝叶斯推理异常检测
- 基于贝叶斯网络异常检测
- 基于模式预测异常检测
- 基于神经网络异常检测
- 基于贝叶斯聚类异常检测
- 基于机器学习异常检测
- 基于数据挖掘异常检测
- 工业界:
主要的研究内容是如何通过优化检测系统的算法来提高入侵检测系统的综合性能与处理速度,以适应千兆网络的需求。
- 学术界:
主要通过引入各种智能计算方法,使入侵检测技术向智能化方向发展。人工神经网络技术,人工免疫技术,数据挖掘技术
- 误报和漏报的矛盾
- 隐私和安全的矛盾
- 被动分析与主动发现的矛盾
- 海量信息与分析代价的矛盾
- 功能性和可管理性的矛盾
- 单一产品与复杂网络应用的矛盾
五 网络入侵检测系统产品
- Snort是最流行的免费NIDS。Snort是基于滥用/异常检测的IDS,使用规则的定义来检查网络中的问题数据包。Snort由以下几个部分组成:数据包嗅探器、预处理器、检测引擎、报警输出模块。
- RealSecure:1996年, RealSecure首先被作为一种传统的基于传感器的网络入侵检测系统来开发,1998年成为一种混合入侵检测系统。正在努力提供一种混合的OS日志及网络分组性能,设计为放置在协议栈的IP层之下和IP层之上。多种响应方式
报警输出模块。
- RealSecure:1996年, RealSecure首先被作为一种传统的基于传感器的网络入侵检测系统来开发,1998年成为一种混合入侵检测系统。正在努力提供一种混合的OS日志及网络分组性能,设计为放置在协议栈的IP层之下和IP层之上。多种响应方式
- Network ICE
