入侵检测系统－－笔记

入侵检测系统

l        概念：进行入侵检测的软件与硬件的组合便是入侵检测系统  （Intrusion Detection System,简称IDS）。与其他安全产品不同的  是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。

l        主要功能：a.监测并分析用户和系统的活动；　　
　　b.核查系统配置和漏洞； 　　
　　c.评估系统关键资源和数据文件的完整性；　　
　　d.识别已知的攻击行为；　　
　　e.统计分析异常行为；　　
　　f.操作系统日志管理，并识别违反安全策略的用户活动

l        厂商：国外：ISS、axent、NFR、cisco等；国内：中联绿盟，中科网威，启明星辰等。

l        CIDF模型： Common Intrusion Detection Framework (CIDF)（http://www.gidos.org/）阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：
　　
　　l事件产生器（Event generators）　　
　　l　　 事件分析器（Event analyzers 　
　　l　　 响应单元（Response units ）　　
　　l　事件数据库（Event databases ）
　　CIDF将IDS需要分析的数据统称为事件（event）,它可以是网络中的数据包，也可以是从系统
　　日志等其他途径得到的信息。（有些文章中经常用数据采集部分、分析部分和控制台部分来分别代替事件产生器、事件分析器和响应单元这些术语。且常用日志来简单的指代事件数据库。）

l        IDS分类：

1.      主机型：

A.      特点：以系统日志、应用程序日志等作为数据源，保护的一般是所在的系统。

B.      缺点：必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等。

C.      优点：内在结构却没有任何束缚，同时可以利用操作系统本身提供的功能、并结合异常分析，更准确的报告攻击行为。

2.      网络型：

A.      特点：数据源则是网络上的数据包。入侵检测系统担负着保护整个网段的任务。

B.      优点：简便，不会给运行关键业务的主机带来负载上的增加。

3.     数据采集部分：

在安装IDS的时候，关键是选择数据采集部分所在的位置，因为它决定了“事件”的可见度。

A.      主机型IDS，其数据采集部分当然位于其所监测的主机上。

B.        网络型IDS，其数据采集部分则有多种可能： 　　
　　（1）如果网段用总线式的集线器相连，则可将其简单的接在集线器的一个端口上即可； 　　
　　（2）对于交换式以太网交换机，问题则会变得复杂。由于交换机不采用共享媒质的办法，传统的采用一个sniffer来监听整个子网的办法不再可行。可解决的办法有： 　　
　　a.交换机的核心芯片上一般有一个用于调试的端口（span port），任何其他端口的进出信息都可从此得到。如果交换机厂商把此端口开放出来，用户可将IDS系统接到此端口上。
　　优点：无需改变IDS体系结构。 　　
　　缺点：采用此端口会降低交换机性能。
　　b.把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。 　　
　　优点：可得到几乎所有关键数据。 　　
　　缺点：必须与其他厂商紧密合作，且会降低网络性能。　　
　　c.采用分接器（Tap），将其接在所有要监测的线路上。
　　优点：再不降低网络性能的前提下收集了所需的信息。
　　缺点：必须购买额外的设备(Tap)；若所保护的资源众多，IDS必须配备众多网络接口。
　　d.可能唯一在理论上没有限制的办法就是采用主机型IDS。

l         通信协议

IDS系统组件之间需要通信使用协议为IAP，IAP(Intrusion Alert Protocol)是idwg制定的、运行于TCP之上的应用层协议（可从任意端发起连接，结合了加密、身份验证）

 

 

 

 

 

 

 

 

 

入侵检测技术

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况(anomaly-based)。

两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知得攻击，它可以详细、准确的报告报告出攻击类型， 但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发 觉的攻击。

l         信息收集

入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。入侵检测很大程度上依赖于收集信息的可靠性和正确性，这需要保证用来检测网络系统的软件的完整性。

入侵检测利用的信息一般来自以下四个方面：

1.       系统和网络日志文件

2.       目录和文件中的不期望的改变

3.       程序执行中的不期望行为

4.       物理形式的入侵信息（一是未授权的对网络硬件连接；二是对物理资源的未授权访问）

l         信号分析

对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

1.       模式匹配：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

2.       统计分析：统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生

3.       完整性分析：主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。（优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应）

l         入侵检测功能
　　
　　 ·监督并分析用户和系统的活动
　　 ·检查系统配置和漏洞
　　 ·检查关键系统和数据文件的完整性
　　 ·识别代表已知攻击的活动模式
　　 ·对反常行为模式的统计分析
　　 ·对操作系统的校验管理，判断是否有破坏安全的用户活动。
　　 ·入侵检测系统和漏洞评估工具的优点在于：
　　 ·提高了信息安全体系其它部分的完整性
　　 ·提高了系统的监察能力
　　 ·跟踪用户从进入到退出的所有活动或影响
　　 ·识别并报告数据文件的改动
　　 ·发现系统配置的错误，必要时予以更正
　　 ·识别特定类型的攻击，并向相应人员报警，以作出防御反应
　　 ·可使系统管理人员最新的版本升级添加到程序中
　　 ·允许非专家人员从事系统安全工作
　　 ·为信息安全策略的创建提供指导
　　 ·必须修正对入侵检测系统和漏洞评估工具不切实际的期望：这些产品并不是无所不能的，它们无法弥补力量薄弱的识别和确认机制
　　 ·在无人干预的情况下，无法执行对攻击的检查
　　 ·无法感知公司安全策略的内容
　　 ·不能弥补网络协议的漏洞
　　 ·不能弥补由于系统提供信息的质量或完整性的问题
　　 ·它们不能分析网络繁忙时所有事务
　　 ·它们不能总是对数据包级的攻击进行处理
　　 ·它们不能应付现代网络的硬件及特性