入侵检测系统
发布时间:2008-01-17   录入:启明星辰

入侵检测概述


入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
早在1980年,James Anderson在一篇名为Computer Security Threat Monitoring and Surveillance的技术报告里引入了入侵检测这个概念。


1983年开始,Dorothy Denning博士开始给政府作一个工程项目,这个项目致力于入侵检测的研究。 IDES诞生于1985年


1986年Denning博士结合她的的研究工作,发表了一篇关键的文章An Intrusion Detection Model,这篇文章被认为是入侵检测的另一篇开山之作。


1987年第一届入侵检测研讨年会在SRI的主持下召开了。


1988年“莫里斯”蠕虫病毒爆发 。


1989年Internet蠕虫事件之后仅一年之隔,当时还是UC Davis分校在校大学生的Todd Heberlien就写了一个通过捕获TCP/IP数据包进行异构网络环境下异常行为检测的入侵检测系统NSM(Network Security Monitor)。
直到1990年以前,入侵检测系统大都是基于主机的,他们对于活动性的检查局限于操作系统审计跟踪数据以及其他以主机为中心的信息源。但此时由于Internet的发展以及通信和计算带宽的增加,系统的互联性已经有了明显的提高。Heberlein的贡献不仅在于提出了NIDS,他还结合Haystack的研究成果,首次引入了混合入侵检测的概念,开发了第一个分布式入侵检测系统(Distributed Intrusion Detection System,DIDS)。


1992年SAIC和Stalker实验室分别开发了定位在UNIX环境下的基于主机的入侵监测系统,他们是首次商用化的基于主机的入侵监测系统。


1994年AFCSC的研究员成立了Wheelgroup公司,并发布了首个商用化的基于网络的入侵检测系统ASIM。
1997年Cisco收购了Wheelgroup公司,并开始尝试将网络入侵检测集成到Cisco的路由器中。同时ISS发布了Realsecure,它是基于Windows NT平台,适用于大规模网络环境的分布式入侵监测系统。前者预示着NIDS已经成熟期并开始进入主流,后者预示着操作系统市场的变化。


1999年美国发布的总统第63号令里面有一项业界和政府合作计划就是开展一个入侵检测研究项目,其目标在于加强入侵检测的应用并使之用于保护国家基础信息安全。随后的Federal Intrusion Detection Network(FIDNet)就是用于保护政府站点免于遭受攻击。这一决策为学术界和工业界的合作带来了良机,也给入侵检测研究注入了新的活力和资金。

 

入侵检测技术


按数据来源,入侵检测系统可以分为主机型、网络型、网络节点型、混合型。


(1)主机型:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。

(2)网络型:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。

(3)混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。

按检测方法,入侵检测技术可以分为误用检测、异常检测。


(1)异常检测模型(Anomaly Detection):检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。


(2)误用检测模型(Misuse Detection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。


按检测算法,入侵检测技术可以分为简单模式匹配、精确模式匹配、基于协议状态的模式匹配。


(1)基于协议状态的模式匹配。这种方法是签名方法的扩展,它扩展了样式匹配的概念,因为网络流通常包含多个基本分组,因而匹配应该在流状态内中执行。采用基于状态转换分析技术来降低系统的误警率,并同时提高系统的检测精确性。采用状态转换分析这种优化的模式匹配技术来对数据进行处理。这种方法采用状态转移的表达式来描述已知的攻击模式,匹配的是网络当前的状态变化,因此对于利用网络地址和协议进行欺骗的黑客攻击以及那些变体攻击和躲避技术都能迅速检测,使系统整体误警率很低。


(2)模式匹配技术。假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法来发现。模式发现的关键是如何表达入侵的模式,把真正的入侵与正常行为区分开来。模式发现的优点是误报少,局限是它只能发现已知的攻击,对未知的攻击无能为力。


使用技巧


要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,企业对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或象KIDS那样所具有的“非阻断列表”的功能选项,可以允许用户加入所有他们所信任的主机IP地址。


目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据企业自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。

 

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号