IDS是Intrusion Detection System的缩写,即入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。IDS的运行方式有两种,一种是在目标主机上运 行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。
当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警。一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮 廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警,例如有人做了以前他没有做过的事情的时候,例如,一个用户突然获取了管理员或根目录的权限。有 些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能。
攻击(Attack)可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信息以及破坏目标网络或系统功能的行为。以下列出IDS能够检测出的最常见的Internet攻击类型:
●攻击类型1-DOS(Denial Of Service attack,拒绝服务攻击):DOS攻击不是通过黑客手段破坏一个系统的安全,它只是使系统瘫痪,使系统拒绝向其用户提供服务。其种类包括缓冲区溢出、通过洪流(flooding)耗尽系统资源等等。
●攻击类型2-DDOS(Distributed Denial of Service,分布式拒绝服务攻击):一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击,却无法发出足够的信息包来达到理想的结 果,因此就产生了DDOS,即从多个分散的主机一个目标发动攻击,耗尽远程系统的资源,或者使其连接失效。
●攻击类型3-Smurf:这是一种老式的攻击,但目前还时有发生,攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping操作,然后所有活动主机都会向该目标应答,从而中断网络连接。以下是10大smurf放大器的参考资料URL:http://www.powertech.no/smurf/。
●攻击类型4-Trojans(特洛伊木马):Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马,木马中藏有希腊士兵,当木马运到城 里,士兵就涌出木马向这个城市及其居民发起攻击。在计算机术语中,它原本是指那些以合法程序的形式出现,其实包藏了恶意软件的那些软件。这样,当用户运行 合法程序时,在不知情的情况下,恶意软件就被安装了。但是由于多数以这种形式安装的恶意程序都是远程控制工具,Trojan这个术语很快就演变为专指这类 工具,例如BackOrifice、SubSeven、NetBus等等。
除了对攻击发出警报,有些IDS还能自动抵御这些攻击。抵御方式有很多:首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其 次,通过在网络上发送reset包切断连接。但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来发动攻 击,然后IDS就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对“自己人”拒绝服务了。发送reset包的方法要求有一个活动的网络接口,这样它 将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标准IP栈需求。
IDS分类
IDS有许多不同类型的,以下分别列出:
●IDS分类1-Application IDS(应用程序IDS):应用程序IDS为一些特殊的应用程序发现入侵信号,这些应用程序通常是指那些比较易受攻击的应用程序,如Web服务器、数据库 等。有许多原本着眼于操作系统的基于主机的IDS,虽然在默认状态下并不针对应用程序,但也可以经过训练,应用于应用程序。例如,KSE(一个基于主机的 IDS)可以告诉我们在事件日志中正在进行的一切,包括事件日志报告中有关应用程序的输出内容。应用程序IDS的一个例子是Entercept的Web Server Edition。
●IDS分类2-Consoles IDS(控制台IDS):为了使IDS适用于协同环境,分布式IDS代理需要向中心控制台报告信息。现在的许多中心控制台还可以接收其它来源的数据,如其 它产商的IDS、防火墙、路由器等。将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。有些控制台还将它们自己的攻击特征添加到代理级别的控制台, 并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。
●IDS分类3-File Integrity Checkers(文件完整性检查器):当一个系统受到攻击者的威胁时,它经常会改变某些关键文件来提供持续的访问和预防检测。通过为关键文件附加信息摘 要(加密的杂乱信号),就可以定时地检查文件,查看它们是否被改变,这样就在某种程度上提供了保证。一旦检测到了这样一个变化,完整性检查器就会发出一个 警报。而且,当一个系统已经受到攻击后,系统管理员也可以使用同样的方法来确定系统受到危害的程度。以前的文件检查器在事件发生好久之后才能将入侵检测出 来,是“事后诸葛亮”,最近出现的许多产品能在文件被访问的同时就进行检查,可以看做是实时IDS产品了。该类产品有Tripwire和Intact。
●IDS分类4-Honeypots(蜜罐):关于蜜罐,前面已经介绍过。蜜罐的例子包括Mantrap和Sting。
●IDS分类5-Host-based IDS(基于主机的IDS):这类IDS对多种来源的系统和事件日志进行监控,发现可疑活动。基于主机的IDS也叫做主机IDS,最适合于检测那些可以信 赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。除了完成类似事件日志阅读器的功能,主机IDS还对“事件/日志/时间”进行签名 分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的,系统的错误就可以很快地检测出来,技术人员和安全人士都非常喜欢它。现在,基于主 机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。
●IDS分类6-Hybrid IDS(混合IDS):现代交换网络的结构给入侵检测操作带来了一些问题。首先,默认状态下的交换网络不允许网卡以混杂模式工作,这使传统网络IDS的安 装非常困难。其次,很高的网络速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS(混合IDS)正是解决这些问题的一个方案,它将IDS提升了一个层次,组合了网络节点IDS和Host IDS(主机IDS)。虽然这种解决方案覆盖面极大,但同时要考虑到由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合IDS。有些产商 把完成一种以上任务的IDS
都叫做Hybrid IDS,实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。
●IDS分类7-Network IDS(NIDS,网络IDS):NIDS对所有流经监测代理的网络通信量进行监控,对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带 有IDS过滤器的混合信息包嗅探器,但是近来它们变得更加智能化,可以破译协议并维护状态。NIDS存在基于应用程序的产品,只需要安装到主机上就可应 用。NIDS对每个信息包进行攻击特征的分析,但是在网络高负载下,还是要丢弃些信息包。网络IDS的产品有SecureNetPro和Snort。
●IDS分类8-Network Node IDS(NNIDS,网络节点IDS):有些网络IDS在高速下是不可靠的,装载之后它们会丢弃很高比例的网络信息包,而且交换网络经常会防碍网络IDS 看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机,从而缓解了高速和交换的问题。虽然NNIDS与个人防火墙功能相似,但它们之间还有 区别。对于被归类为NNIDS的个人防火墙,应该对企图的连接做分析。例如,不像在许多个人防火墙上发现的“试图连接到端口xxx”,一个NNIDS会对 任何的探测都做特征分析。另外,NNIDS还会将主机接收到的事件发送到一个中心控制台。NNIDS产品有BlackICE Agent和Tiny CMDS。
●IDS分类9-Personal Firewall(个人防火墙):个人防火墙安装在单独的系统中,防止不受欢迎的连接,无论是进来的还是出去的,从而保护主机系统。注意不要将它与NNIDS混淆。个人防火墙有ZoneAlarm和Sybergen。
●IDS分类10-Target-Based IDS(基于目标的IDS):这是不明确的IDS术语中的一个,对不同的人有不同的意义。可能的一个定义是文件完整性检查器,而另一个定义则是网络 IDS,后者所寻找的只是对那些由于易受攻击而受到保护的网络所进行的攻击特征。后面这个定义的目的是为了提高IDS的速度,因为它不搜寻那些不必要的攻 击。
IDS性能指标
对于IDS,用户会关注每秒能处理的网络数据流量、每秒能监控的网络连接数等指标。但除了上述指标外,其实一些不为一般用户了解的指标也很重要,甚至更重要,例如每秒抓包数、每秒能够处理的事件数等。
1.每秒数据流量(Mbps或Gbps)
每秒数据流量是指网络上每秒通过某节点的数据量。这个指标是反应网络入侵检测系统性能的重要指标,一般涌Mbps来衡量。例如10Mbps, 100Mbps和1Gbps。
网络入侵检测系统的基本工作原理是嗅探(Sniffer),它通过将网卡设置为混杂模式,使得网卡可以接收网络接口上的所有数据。
如果每秒数据流量超过网络传感器的处理能力,NIDS就可能会丢包,从而不能正常检测攻击。但是NIDS是否会丢包,不主要取决于每秒数据流量,而是主要取决于每秒抓包数。
2.每秒抓包数(pps)
每秒抓包数是反映网络入侵检测系统性能的最重要的指标。因为系统不停地从网络上抓包,对数据包作分析和处理,查找其中的入侵和误用模式。所以,每秒所能处 理的数据包的多少,反映了系统的性能。业界不熟悉入侵检测系统的往往把每秒网络流量作为判断网络入侵检测系统的决定性指标,这种想法是错误的。每秒网络流 量等于每秒抓包数乘以网络数据包的平均大小。由于网络数据包的平均大小差异很大时,在相同抓包率的情况下,每秒网络流量的差异也会很大。例如,网络数据包 的平均大小为1024字节左右,系统的性能能够支持10,000pps的每秒抓包数,那么系统每秒能够处理的数据流量可达到78Mbps,当数据流量超过 78Mbps时,会因为系统处理不过来而出现丢包现象;如果网络数据包的平均大小为512字节左右,在10,000pps的每秒抓包数的性能情况下,系统 每秒能够处理的数据流量可达到40Mbps,当数据流量超过40Mbps时,就会因为系统处理不过来而出现丢包现象。
在相同的流量情况下,数据包越小,处理的难度越大。小包处理能力,也是反映防火墙性能的主要指标。
3.每秒能监控的网络连接数
网络入侵检测系统不仅要对单个的数据包作检测,还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包的重组能力是网络入侵检测系统进行 协议分析、应用层入侵分析的基础。这种分析延伸出很多网络入侵检测系统的功能,例如:检测利用HTTP协议的攻击、敏感内容检测、邮件检测、Telnet 会话的记录与回放、硬盘共享的监控等。
4.每秒能够处理的事件数
网络入侵检测系统检测到网络攻击和可疑事件后,会生成安全事件或称报警事件,并将事件记录在事件日志中。每秒能够处理的事件数,反映了检测分析引擎的处理 能力和事件日志记录的后端处理能力。有的厂商将反映这两种处理能力的指标分开,称为事件处理引擎的性能参数和报警事件记录的性能参数。大多数网络入侵检测 系统报警事件记录的性能参数小于事件处理引擎的性能参数,主要是Client/Server结构的网络入侵检测系统,因为引入了网络通信的性能瓶颈。这种 情况将导致事件的丢失,或者控制台响应不过来了。
IDS在结构上可划分为数据收集和数据分析两部分。
一、 数据收集机制
数据收集机制在IDS中占据着举足轻重的位置。如果收集的数据时延较大,检测就会失去作用;如果数据不完整,系统的检测能力就会下降;如果由于错误或入侵者的行为致使收集的数据不正确,IDS就会无法检测某些入侵,给用户以安全的假象。
1. 分布式与集中式数据收集机制
分布式数据收集:检测系统收集的数据来自一些固定位置而且与受监视的网元数量无关。
集中式数据收集:检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置。
集中式和分布式数据收集方式的区别通常是衡量IDS数据收集能力的标志,它们几乎以相同的比例应用于当前的IDS产品中。据专家预言,分布式数据收集机制在若干年后将会占有优势。
2. 直接监控和间接监控
如果IDS从它所监控的对象处直接获得数据,则称为直接监控;反之,如果IDS依赖一个单独的进程或工具获得数据,则称为间接监控。
就检测入侵行为而言,直接监控要优于间接监控,由于直接监控操作的复杂性,目前的IDS产品中只有不足20%使用了直接监控机制。
3. 基于主机的数据收集和基于网络的数据收集
基于主机的数据收集是从所监控的主机上获取的数据; 基于网络的数据收集是通过被监视网络中的数据流获得数据。
总体而言,基于主机的数据收集要优于基于网络的数据收集。
4. 外部探测器和内部探测器
外部探测器是负责监测主机中某个组件(硬件或软件)的软件。它将向IDS提供所需的数据,这些操作是通过于系统的其他代码来实施的。
内部探测器是负责监测主机中某个组件(硬件或软件)的软件。它将向IDS提供所需的数据,这些操作是通过该组件的代码来实施的。
外部探测器和内部探测器在用于数据收集时各有利弊,可以综合使用。
由于内部探测器实现起来的难度较大,所以在现有的IDS产品中,只有很少的一部分采用它。
二、 数据分析机制
根据IDS如何处理数据,可以将IDS分为分布式IDS和集中式IDS。
分布式IDS:在一些与受监视组件相应的位置对数据进行分析的IDS。
集中式IDS:在一些固定且不受监视组件数量的位置对数据进行分析的IDS。
请注意这些定义是基于受监视组件的数量而不是主机的数量,所以如果在系统中的不同组件中进行数据分析,除了安装集中式IDS外,有可能在一个主机中安装分布式数据分析的IDS。分布式和集中式IDS都可以使用基于主机、基于网络或两者兼备的数据收集方式。
由于分布式不易实现,目前的IDS产品多是集中式的。
三、 缩短数据收集与数据分析的距离
在实际操作过程中,数据收集和数据分析通常被划分成两个步骤,在不同的时间甚至是不同的地点进行。但这一分离存在着缺点,在实际使用过程中,数据收集与数据分析功能之间应尽量缩短距离。
IDS规则定义
IDS要有效地捕捉入侵行为,必须拥有一个强大的入侵特征数据库,这就如同门必须拥有健全的罪犯信息库一样。但是,IDS一般所带的特征数据 库都比较死板,遇到“变脸”的入侵行为往往相逢不相识。因此,管理员有必要学会如何创建满足实际需要的特征数据样板,做到万变应万变!本文将对入侵特征的 概念、种类以及如何创建特征进行介绍,希望能帮助读者尽快掌握对付“变脸”的方法。
一、特征(signature)的基本概念
IDS中的特征就是指用于判别通讯信息种类的样板数据,通常分为多种,以下是一些典型情况及识别方法:来自保留IP地址的连接企图:可通过检查IP报头(IP header)的来源地址轻易地识别。
带有非法TCP 标志联合物的数据包:可通过对比TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别。
含有特殊病毒信息的Email:可通过对比每封Email的主题信息和病态Email的主题信息来识别,或者,通过搜索特定名字的附近来识别。
查询负载中的DNS缓冲区溢出企图:可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图。还有另外一个识别方法是:在负载中搜索“壳代码利用”(exploit shellcode)的序列代码组合。
通过对POP3服务器发出上千次同一命令而导致的DoS攻击:通过跟踪记录某个命令连续发出的次数,看看是否超过了预设上限,而发出报警信息。
未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击:通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话、发现未经验证却发命令的入侵企图。
从以上分类可以看出特征的涵盖范围很广,有简单的报头域数值、有高度复杂的连接状态跟踪、有扩展的协议分析。一叶即可知秋,本文将从最简单的特征入手,详细讨论其功能及开发、定制方法。
另外请注意:不同的IDS产品具有的特征功能也有所差异。例如:有些网络IDS系统只允许很少地定制存在的特征数据或者编写需要的特征数据,另外一 些则允许在很宽的范围内定制或编写特征数据,甚至可以是任意一个特征;一些IDS系统只能检查确定的报头或负载数值,另外一些则可以获取任何信息包的任何 位置的数据。
二、特征有什么作用?
这似乎是一个答案很明显的问题:特征是检测数据包中的可疑内容是否真正“不可就要”的样板,也就是“坏分子克隆”。IDS系统本身就带有这个重要的 部分,为什么还需要定制或编写特征呢?是这样:也许你经常看到一些熟悉的通讯信息流在网络上游荡,由于IDS系统的特征数据库过期或者这些通讯信息本身就 不是攻击或探测数据,IDS系统并没有对它们进行关注,而这时你的好奇心升起,想在这些可疑数据再次经由时发出报警,想捕捉它们、仔细看看它们到底来自何 方、有何贵干,因此,唯一的办法就是对现有特征数据库进行一些定制配置或者编写新的特征数据了。
特征的定制或编写程度可粗可细,完全取决于实际需求。或者是只判断是否发生了异常行为而不确定具体是什么攻击名号,从而节省资源和时间;或者是判断 出具体的攻击手段或漏洞利用方式,从而获取更多的信息。我感觉,前者适用于领导同志,后者需要具体做事者使用,宏观加微观,敌人别想遛进来!
三、首席特征代表:报头值(Header Values)
报头值的结构比较简单,而且可以很清楚地识别出异常报头信息,因此,特征数据的首席候选人就是它。一个经典的例子是:明显违背RFC793中规定的 TCP标准、设置了SYN和FIN标记的TCP数据包。这种数据包被许多入侵软件采用,向防火墙、路由器以及IDS系统发起攻击。异常报头值的来源有以下 几种:
因为大多数操作系统和应用软件都是在假定RFC被严格遵守的情况下编写的,没有添加针对异常数据的错误处理程序,所以许多包含报头值的漏洞利用都会故意违反RFC的标准定义,明目张胆地揭发被攻击对象的偷工减料行为。
许多包含错误代码的不完善软件也会产生违反RFC定义的报头值数据。
并非所有的操作系统和应用程序都能全面拥护RFC定义,至少会存在一个方面与RFC不协调。
随着时间推移,执行新功能的协议可能不被包含于现有RFC中。
由于以上几种情况,严格基于RFC的IDS特征数据就有可能产生漏报或误报效果。对此,RFC也随着新出现的违反信息而不断进行着更新,我们也有必要定期地回顾或更新存在的特征数据定义。
非法报头值是特征数据的一个非常基础的部分,合法但可疑的报头值也同等重要。例如,如果存在到端口31337或27374的可疑连接,就可报警说可能有特洛伊木马在活动;再附加上其他更详细地探测信息,就能够进一步地判断是真马还是假马。
四、确定特征“候选人”
为了更好地理解如何开发基于报头值的特殊数据,下面通过分析一个实例的整个过程进行详细阐述。
Synscan是一个流行的用于扫描和探测系统的工具,由于它的代码被用于创建蠕虫Ramen的开始片断而在2001年早期大出风头。Synscan的执行行为很具典型性,它发出的信息包具有多种可分辨的特性,包括:
不同的来源IP地址信息
TCP来源端口21,目标端口21
服务类型0
IP鉴定号码39426(IP identification number)
设置SYN和FIN标志位
不同的序列号集合(sequence numbers set)
不同的确认号码集合(acknowledgment numbers set)
TCP窗口尺寸1028
下面我们对以上这些数据进行筛选,看看哪个比较合适做特征数据。我们要寻找的是非法、异常或可疑数据,大多数情况下,这都反映出攻击者利用的漏洞或者他们使用的特殊技术。以下是特征数据的候选对象:
只具有SYN和FIN标志集的数据包,这是公认的恶意行为迹象。
没有设置ACK标志,但却具有不同确认号码数值的数据包,而正常情况应该是0。
来源端口和目标端口都被设置为21的数据包,经常与FTP服务器关联。这种端口相同的情
况一般被称为“反身”(reflexive),除了个别时候 如进行一些特别NetBIOS通讯外,正常情况下不应该出现这种现象。“反身”端口本身并不违反TCP标准,但大多数情况下它们并非预期数值。例如在一个 正常的FTP对话中,目标端口一般是21,而来源端口通常都高于1023。TCP窗口尺寸为1028,IP鉴定号码在所有数据包中为39426。根据IP RFC的定义,这2类数值应在数据包间有所不同,因此,如果持续不变,就表明可疑。
五、公布最佳特征“得主”
从以上4个候选对象中,我们可以单独选出一项作为基于报头的特征数据,也可以选出多项组合作为特征数据。
选择一项数据作为特征有很大的局限性。例如一个简单的特征可以是只具有SYN和FIN标志的数据包,虽然这可以很好地提示我们可能有一个可疑的行为 发生,但却不能给出为什么会发生的更多信息。SYN和FIN通常联合在一起攻击防护墙和其他设备,只要有它们出现,就预示着扫描正在发生、信息正在收集、 攻击将要开始。但仅仅这些而已,我们需要的是更多的细节资料。
选择以上4项数据联合作为特征也不现实,因为这显得有些太殊了。尽管能够精确地提供行为信息,但是比仅仅使用一个数据作为特征而言,会显得远远缺乏 效率。实际上,特征定义永远要在效率和精确度间取得折中。大多数情况下,简单特征比复杂特征更倾向于误报(false positives),因为前者很普遍;复杂特征比简单特征更倾向于漏报(false negatives),因为前者太过全面,攻击软件的某个特征会随着时间的推进而变化。
多也不行,少亦不可,完全应由实际情况决定。例如,我们想判断攻击可能采用的工具是什么,那么除了SYN和FIN标志以外,还需要什么其他属性? “反身”端口虽然可疑,但是许多工具都使用到它,而且一些正常通讯也有此现象,因此不适宜选为特征。TCP窗口尺寸1028尽管有一点可疑,但也会自然的 发生。IP鉴定号码39426也一样。没有ACK标志的ACK数值很明显是非法的,因此非常适于选为特征数据。当然,根据环境的不同,及时地调整或组合特 征数据,才是达到最优效果的不二法门。
接下来我们真正创建一个特征,用于寻找并确定synscan发出的每个TCP信息包中的以下属性:
只设置了SYN和FIN标志
IP鉴定号码为39426
TCP窗口尺寸为1028
第一个项目太普遍,第二个和第三个项目联合出现在同一数据包的情况不很多,因此,将这三个项目组合起来就可以定义一个详细的特征了。再加上其他的synscan属性不会显著地提高特征的精确度,只能增加资源的耗费。到此,判别synscan软件的特征如此就创建完毕了。
六、拓宽特征的“社会关系”,创建识别更多异常通讯的特征
以上创建的特征可以满足对标准synscan软件的探测了。但synscan可能存在多种“变脸”,而其它工具也可能是“变化多端”的,这样,上述 建立的特征必然不能将它们一一识别。这时就需要结合使用特殊特征和通用特征,才能创建一个更好、更全面的解决方案。如果一个入侵检测特征既能揭示已知“坏 蛋”,还能预测“潜在的罪犯”,那么它的魅力将大大提高。
首先看一个“变脸”synscan所发出的数据信息特征:
只设置了SYN标志,这纯属正常的TCP数据包“长相”。
TCP窗口尺寸总是40而不是1028。40是初始SYN信息包中一个罕见的小窗口尺寸,比正常的数值1028少见得多。
基于网络和主机的入侵检测比较
发布时间:2010-06-30 作者:佚名 简介
大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意 或可疑意图攻击的模式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和 劣势,两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本文讨论了基于主机和基于网络入侵检测技术的不同之处,以说明如何将这二种方式融合在 一起,以提供更加有效的入侵检测和保护措施。
技术概述
基于网络的入侵检测
基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志: 模式、表达式或字节匹配 频率或穿越阀值 低级事件的相关性
统计学意义上的非常规现象检测
一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。
基于主机的入侵检测
基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。
现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录, 但自动化程度大大提高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理 员报警并向别的目标报告,以采取措施。
基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法,是通过定期检查校验和来进行的,以便发现意外 的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵 检测的基本方法融入到基于主机的检测环境中。
基于网络的入侵检测系统的优点
基于网络的IDS有许多仅靠基于主机的入侵检测法无法提供的优点。实际上,许多客户在最初使用IDS时,都配置了基于网络的入侵检测,因为它拥有成本较低并且反应速度快。以下的内容主要说明了基于网络的入侵检测称为安全策略的实施中的重要组件的主要原因。
1. 拥有成本较低-基于网络的IDS可在几个关键访问点上进行策略配置,以观察发往多个系统的网络通信。所以它不要求在许多主机上装载并管理软件。由于需监测的点较少,因此对于一个公司的环境来说,拥有成本很低。
2. 检测基于主机的系统漏掉的攻击-基于网络的IDS检查所有包的头部从而发现恶意的和可疑的行动迹象。基于主机的IDS无法查看包的头部,所以它无法检测到 这一类型的攻击。例如,许多来自于IP地址的拒绝服务型(DoS)和碎片包型(Teardrop)的攻击只能在它们经过网络时,检查包的头部才能发现。这 种类型的攻击都可以在基于网络的系统中通过实时监测包流而被发现。
基于网络的IDS可以检查有效负载的内容,查找用于特定攻击的指令或语法。例如,通过检查数据包有效负载可以查到黑客软件,而使正在寻找系统漏洞的攻击者毫无察觉。正如上面说的,基于主机的系统不检查有效负载,所以不能辩认有效负载中所包含的攻击信息。
3. 攻击者不易转移证据-基于网络的IDS使用正在发生的网络通讯进行实时攻击的检测。所以攻击者无法转移证据。被捕获的数据不仅包括的攻击的方法,而且还包 括可识别黑客身份和对其进行起诉的信息。许多黑客都熟知审记记录,他们知道如何操纵这些文件掩盖他们的作案痕迹,如何阻止需要这些信息的基于主机的系统去 检测入侵。
4. 实时检测和响应-基于网络的IDS可以在恶意及可疑的攻击发生的同时将其检测出来,并做出更快的通知和响应。例如,一个基于TCP的对网络进行的拒绝服务 攻击(DOS)可以通过将基于网络的IDS发出TCP复位信号,在该攻击对目标主机造成破坏前,将其中断。而基于主机的系统只有在可疑的登录信息被记录下 来以后才能识别攻击并做出反应。而这时关键系统可能早就遭到了破坏,或是运行基于主机的IDS的系统已被摧毁。实时通知时可根据预定义的参数做出快速反 应,这些反应包括将攻击设为监视模式以收集信息,立即
中止攻击等。
5. 检测未成功的攻击和不良意图-基于网络的IDS增加了许多有价值的数据,以判别不良意图。即便防火墙可以正在拒绝这些尝试,位于防火墙之外的基于网络的 IDS可以查出躲在防火墙后的攻击意图。基于主机的系统无法查到从未攻击到防火墙内主机的未遂攻击,而这些丢失的信息对于评估和优化安全策略是至关重要 的。
6. 操作系统无关性-基于网络的IDS作为安全监测资源,与主机的操作系统无关。与之相比,基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作,生成有用的结果。
基于主机的入侵检查系统的优点
尽管基于主机的入侵检查系统不如基于网络的入侵检查系统快捷,但它确实具有基于网络的系统无法比拟的优点。这些优点包括:更好的辩识分析、对特殊主机事件的紧密关注及低廉的成本。基于主机的入侵侦查系统包括:
1.确定攻击是否成功-由于基于主机的IDS使用含有已发生事件信息,它们可以比基于网络的IDS更加准确地判断攻击是否成功。在这方面,基于主机的IDS是基于网络的IDS完美补充,网络部分可以尽早提供警告,主机部分可以确定攻击成功与否。
2. 监视特定的系统活动-基于主机的IDS监视用户和访问文件的活动,包括文件访问、改变文件权限,试图建立新的可执行文件并且/或者试图访问特殊的设备。例 如,基于主机的IDS可以监督所有用户的登录及下网情况,以及每位用户在联结到网络以后的行为。对于基于网络的系统经要做到这个程度是非常困难的。
基于主机技术还可监视只有管理员才能实施的非正常行为。操作系统记录了任何有关用户帐号的增加,删除、更改的情况,只要改动一且发生,基于主机的IDS就能检察测到这种不适当的改动。基于主机的IDS还可审计能影响系统记录的校验措施的改变。
最后,基于主机的系统可以监视主要系统文件和可执行文件的改变。系统能够查出那些欲改写重要系统文件或者安装特洛伊木马或后门的尝试并将它们中断。而基于网络的系统有时会查不到这些行为。 3. 能够检查到基于网络的系统检查不出的攻击-基于主机的系统可以检测到那些基于网络的系统察觉不到的攻击。例如,来自主要服务器键盘的攻击不经过网络,所以可以躲开基于网络的入侵检测系统。 4. 适用被加密的和交换的环境-由于基于主机的系统安装在遍布企业的各种主机上,它们比基于网络的入侵检测系统更加适于交换的和加密的环境。
交换设备可将大型网络分成许多的小型网络部件加以管理,所以从覆盖足够大的网络范围的角度出发,很难确定配置基于网络的IDS的最佳位置。业务映射 和交换机上的管理端口有助于此,但这些技术有时并不适用。基于主机的入侵检测系统可安装在所需的重要主机上,
在交换的环境中具有更高的能见度。
某些加密方式也向基于网络的入侵检测发出了挑战。由于加密方式位于协议堆栈内,所以基于网络的系统可能对某些攻击没有反应,基于主机的IDS没有这方面的,当操作系统及基于主机的系统看到即将到来的业务时,数据流已经被解密了。 5. 近于实时的检测和响应-尽管基于主机的入侵检测系统不能提供真正实时的反应,但如果应用正确,反应速度可以非常接近实时。老式系统利用一个进程在预先定义 的间隔内检查登记文件的状态和内容,与老式系统不同,当前基于主机的系统的中断指令,这种新的记录可被立即处理,显著减少了从攻击验证到作出响应的时间, 在从操作系统作出记录到基于主机的系统得到辨识结果之间的这段时间是一段延迟,但大多数情况下,在破坏发生之前,系统就能发现入侵者,并中止他的攻击。 6. 不要求额外的硬件设备-基于主机的入侵检测系统存在于现行网络结构之中,包括文件服务器,Web服务器及其它共享资源。这些使得基于主机的系统效率很高。因为它们不需要在网络上另外安装登记,维护及管理的硬件设备。 7. 记录花费更加低廉-尽管很容易就能使基于网络的入侵检测系统提供广泛覆盖,但其价格通常是昂贵的。配置一个简单的入侵监测系统要花费$10,000以上,而基于主机的入侵检测系统对于单独-代理标价仅几百美元,并且客户只需很少的费用用于最初的安装。
基于网络和基于主机的IDS反应选项
对于任何入侵检测系统,对危险和攻击的反应能力是至关重要的。大多数基于网络的和基于主机的IDS对威胁和攻击具有相同的反应选项。这些反应归为以下三类,告警、存贮和主动响应。此外,基于网络和主机的IDS分别具有关于主机和网络的额外功能。
基于网络的IDS 基于主机的IDS
通知 向控制台发出警报 向控制台发出警报 电子邮件通知 电子邮件通知 SNMP陷井 SNMP陷井 观察现行对话
存储 日志总结 (报告) 日志总结 (报告) 记录原始网络数据
激活 断开连接(TCP重启) 终止用户登录 Rc连接(TCP重启) 禁止用户帐户 用户定义行为 用户定义行为
需要将基于网络和基于主机的入侵检测系统结合起来
基于网络和基于主机的IDS方案都有各自的优点,并且互为补充。所以下一代IDS必须包含紧密融合的主机和网络部分。将现有技术结合,必须大幅度提高网络对攻击和错误使用的抵抗力,使安全措施的实施更加有效,并使设置选项更加灵活
因篇幅问题不能全部显示,请点此查看更多更全内容