入侵检测技术知识介绍

本文转自：http://www.iii-soft.com/forum.php?mod=viewthread&tid=1604&extra=page%3D1

入侵检测产品分析
1． 入侵检测产品
　　一个入侵检测产品通常由两部分组成：传感器(Sensor)与控制台(Console)。传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理的作用，商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持Windows NT平台。
　　从技术上看，这些产品基本上分为以下几类： 基于网络的产品和基于主机的产品 。
2. 基于网络的入侵检测
　　基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。
　　网络入侵检测系统的优点：
　　1.网络入侵检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。
　　2.一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。
　　3.由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作，它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。布署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多。
　　4.网络入侵检测系统近年内有向专门的设备发展的趋势，安装这样的一个网络入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。
　　网络入侵检测系统的弱点：
　　1.网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。
　　2.网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。
　　3.网络入侵检测系统可能会将大量的数据传回分析系统中。
　　4.网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出。
3． 基于主机的入侵检测
　　基于主机的入侵检测产品（HIDS）通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。
　　主机入侵检测系统的优点：
　　主机入侵检测系统对分析“可能的攻击行为”非常有用。
　　主机入侵检测系统通常情况下比网络入侵检测系统误报率要低。
　　主机入侵检测系统可布署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。
　　主机入侵检测系统的弱点：
　　主机入侵检测系统安装在我们需要保护的设备上。
　　主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。
　　全面布署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标。
　　主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。
入侵检测技术分析
1.技术分类
　　入侵检测系统所采用的技术可分为特征检测与异常检测两种。
特征检测
　　特征检测(Signature-based detection)又称Misuse detection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
异常检测
　　异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
2.常用检测方法
　　入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
特征检测
　　特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。
　　该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。
统计检测
　　统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为：
　　● 操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；
　　● 方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；
　　● 多元模型，操作模型的扩展，通过同时分析多个参数实现检测；
　　● 马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；
　　● 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。
　　统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。
专家系统
　　用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
入侵检测产品选择要点
　　当您选择入侵检测系统时，要考虑的要点有：
1. 系统的价格
2. 特征库升级与维护的费用
3. 对于网络入侵检测系统，最大可处理流量(包/秒 PPS)是多少
4. 该产品容易被躲避吗
5. 产品的可伸缩性
6. 运行与维护系统的开销
7. 产品支持的入侵特征数
8. 产品有哪些响应方法
9. 是否通过了国家权威机构的评测
　　主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。
入侵检测技术发展方向
　　无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面：
　　入侵或攻击的综合化与复杂化。
　　入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。
　　入侵或攻击的规模扩大。
　　入侵或攻击技术的分布化。
　　攻击对象的转移。
今后的入侵检测技术大致可朝下述三个方向发展。
　　分布式入侵检测
　　智能化入侵检测
　　全面的安全防御方案 （完）