IDS简介
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测系统能够识别出任何不希望有的活动,这种活动可能来自于网络外部和内部。入侵检测系统的应用,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力。
典型的IDS系统模型包括三个功能部件:
1.提供事件记录流的信息源
2.发现入侵迹象的分析引擎
3.基于分析引擎的分析结果产生反映的响应部件
目前的IDS作为只能是网络安全整体解决方案的一个重要部分,需要与其他安全设备之间进行紧密的联系,共同解决网络安全问题。也许未来的IDS需要一种新的系统体系来克服自身的不足,但目前只能同过将IDS的各个功能模块与其他安全产品有机地融合起来。共同解决网络的安全问题,这就对引入协同提出了要求。
数据采集协同
入侵检测需要采集动态数据(网络数据包)和静态数据(日志文件等)。基于网络的IDS,仅在网络层通过原始的IP包进行检测,已不能满足日益增长的安全需求。基于主机的IDS,通过直接查看用户行为和操作系统日志数据来寻找入侵,却很难发现来自底层的网络攻击。
目前的IDS将网络数据包的采集、分析与日志文件的采集、分析割裂开来,即使是综合基于网络和基于主机的IDS也不例外,没有在这两类原始数据的相关性上作考虑。此外,在网络数据包的采集上,IDS一直是通过嗅探这种被动方式来获取数据,一旦某个数据包丢了就无法挽回。而且,将来的网络是全交换的网络,网络速度越来越快,许多重要的网络还是加密的。在这种情况下,对网络数据包这种动态数据的采集就显得更加困难了。因此,在数据采集上进行协同并充分利用各层次的数据,是提高入侵检测能力的首要条件。
数据采集协同有两个很重要的方面:
1.IDS与漏洞扫描系统的协同:漏洞扫描系统的特点是利用完整的漏洞库,对网络中的各个主机进行扫描,对主机所存在的网络、操作系统和运行的应用存在的漏洞给出综合报告,然后提出漏洞的修补办法,并最终给出风险评估报告。IDS与扫描系统的协同的一个方面是可以利用扫描系统的扫描结果,对目前网络或系统和应用所存在的漏洞做到心中有数,然后利用扫描结果对预警策略进行修改,这样一方面可以尽可能的减少误报,另外也可能对隐含在正常行为中的攻击行为做出报警。另一方面,IDS也可以利用对日常警报信息的分析,对漏洞扫描系统的扫描策略进行修改,然后进行预约扫描,对目前可能正在遭受攻击的漏洞进行及时的防范。另一方面,漏洞扫描系统也可以利用IDS的报警信息,对有些主机的进行特定漏洞的扫描,察看正在受攻击的漏洞是否真的存在,如果真的存在,做出必须及时封堵的报告。
2.IDS与防病毒系统的协同:一方面,对越来越多来自网络的病毒攻击,IDS可能根据某些特征做出警告,但由于IDS本身并不是防病毒系统,对网络中的主机是否真的正在遭受计算机病毒的袭击并不能非常准确的预报,这时防病毒系统就有了用武之地,可以有针对性的对IDS的病毒报警信息进行验证,对遭受病毒攻击的主机系统进行适当的处理。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测系统能够识别出任何不希望有的活动,这种活动可能来自于网络外部和内部。入侵检测系统的应用,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力。
典型的IDS系统模型包括三个功能部件:
1.提供事件记录流的信息源
2.发现入侵迹象的分析引擎
3.基于分析引擎的分析结果产生反映的响应部件
目前的IDS作为只能是网络安全整体解决方案的一个重要部分,需要与其他安全设备之间进行紧密的联系,共同解决网络安全问题。也许未来的IDS需要一种新的系统体系来克服自身的不足,但目前只能同过将IDS的各个功能模块与其他安全产品有机地融合起来。共同解决网络的安全问题,这就对引入协同提出了要求。
数据采集协同
入侵检测需要采集动态数据(网络数据包)和静态数据(日志文件等)。基于网络的IDS,仅在网络层通过原始的IP包进行检测,已不能满足日益增长的安全需求。基于主机的IDS,通过直接查看用户行为和操作系统日志数据来寻找入侵,却很难发现来自底层的网络攻击。
目前的IDS将网络数据包的采集、分析与日志文件的采集、分析割裂开来,即使是综合基于网络和基于主机的IDS也不例外,没有在这两类原始数据的相关性上作考虑。此外,在网络数据包的采集上,IDS一直是通过嗅探这种被动方式来获取数据,一旦某个数据包丢了就无法挽回。而且,将来的网络是全交换的网络,网络速度越来越快,许多重要的网络还是加密的。在这种情况下,对网络数据包这种动态数据的采集就显得更加困难了。因此,在数据采集上进行协同并充分利用各层次的数据,是提高入侵检测能力的首要条件。
数据采集协同有两个很重要的方面:
1.IDS与漏洞扫描系统的协同:漏洞扫描系统的特点是利用完整的漏洞库,对网络中的各个主机进行扫描,对主机所存在的网络、操作系统和运行的应用存在的漏洞给出综合报告,然后提出漏洞的修补办法,并最终给出风险评估报告。IDS与扫描系统的协同的一个方面是可以利用扫描系统的扫描结果,对目前网络或系统和应用所存在的漏洞做到心中有数,然后利用扫描结果对预警策略进行修改,这样一方面可以尽可能的减少误报,另外也可能对隐含在正常行为中的攻击行为做出报警。另一方面,IDS也可以利用对日常警报信息的分析,对漏洞扫描系统的扫描策略进行修改,然后进行预约扫描,对目前可能正在遭受攻击的漏洞进行及时的防范。另一方面,漏洞扫描系统也可以利用IDS的报警信息,对有些主机的进行特定漏洞的扫描,察看正在受攻击的漏洞是否真的存在,如果真的存在,做出必须及时封堵的报告。
2.IDS与防病毒系统的协同:一方面,对越来越多来自网络的病毒攻击,IDS可能根据某些特征做出警告,但由于IDS本身并不是防病毒系统,对网络中的主机是否真的正在遭受计算机病毒的袭击并不能非常准确的预报,这时防病毒系统就有了用武之地,可以有针对性的对IDS的病毒报警信息进行验证,对遭受病毒攻击的主机系统进行适当的处理。
| IDS新技术介绍(2) 作者:启明星辰 文章来源:赛迪网 2003年01月13日 | |
数据分析协同 入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据,以发现一些简单的入侵行为,还需要在此基础上利用数据挖掘技术,分析多个检测引擎提交的审计数据以发现更为复杂的入侵行为。 理论上讲,任何网络入侵行为都能够被发现,因为网络流量和主机日志记录了入侵的活动。数据分析协同需要在两个层面上进行,一是对一个检测引擎采集的数据进行协同分析,综合使用检测技术,以发现较为常见的、典型的攻击行为; 二是对来自多个检测引擎的审计数据,利用数据挖掘技术进行分析,以发现较为复杂的攻击行为。考核IDS数据分析能力可以从准确、效率和可用性三方面进行。基于这一点,可以认为,检测引擎是完成第一种数据分析协同的最佳地点,中心管理控制平台则是完成第二种数据分析协同的最佳地点。 当检测引擎面对并非单一的数据时,综合使用各种检测技术就显得十分重要。从攻击的特征来看,有的攻击方法使用异常检测来检测会很容易,而有的攻击方法使用模式匹配来检测则很简单。因此,对检测引擎的设计来说,首先需要确定检测策略,明确哪些攻击行为属于异常检测的范畴,哪些攻击属于模式匹配的范畴。中心管理控制平台执行的是更为高级的、复杂的入侵检测,它面对的是来自多个检测引擎的审计数据。它可就各个区域内的网络活动情况进行“相关性”分析,其结果为下一时间段及检测引擎的检测活动提供支持。例如黑客在正式攻击网络之前,往往利用各种探测器分析网络中最脆弱的主机及主机上最容易被攻击的漏洞,在正式攻击之时,因为黑客的“攻击准备”活动记录早已被系统记录,所以IDS就能及时地对此攻击活动做出判断。目前,在这一层面上讨论比较多的方法是数据挖掘技术,它通过审计数据的相关性发现入侵,能够检测到新的进攻方法。 传统数据挖掘技术的检测模型是离线产生的,就像完整性检测技术一样,这是因为传统数据挖掘技术的学习算法必须要处理大量的审计数据,十分耗时。但是,有效的IDS必须是实时的。而且,基于数据挖掘的IDS仅仅在检测率方面高于传统方法的检测率是不够的,只有误报率也在一个可接受的范围内时,才是可用的。 美国哥伦比亚大学提出了一种基于数据挖掘的实时入侵检测技术,证明了数据挖掘技术能够用于实时的IDS。其基本框架是: 首先从审计数据中提取特征,以帮助区分正常数据和攻击行为; 然后将这些特征用于模式匹配或异常检测模型; 接着描述一种人工异常产生方法,来降低异常检测算法的误报率; 最后提供一种结合模式匹配和异常检测模型的方法。实验表明,上述方法能够提高系统的检测率,而不会降低任何一种检测模型的效能。在此技术基础上,实现了数据挖掘的实时IDS则是由引擎、检测器、数据仓库和模型产生四部分构成,如图所示。其中,引擎观察原始数据并计算用于模型评估的特征; 检测器获取引擎的数据并利用检测模型来评估它是否是一个攻击; 数据仓库被用作数据和模型的中心存储地; 模型产生的主要目的是为了加快开发以及分发新的入侵检测模型的速度。 
响应协同 前面已经论述,由于IDS在网络中的位置决定了其本身的响应能力相当有限,响应协同就是IDS与有充分响应能力的网络设备或网络安全设备集成在一起,构成响应和预警互补的综合安全系统。响应协同主要包含下面的几个方面。 1.IDS与防火墙的协同: 防火墙与IDS可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是IDS可以通过了解防火墙的策略,对网络上的安全事件进行更有效的分析,从而实现准确的报警,减少误报;动态的方面是当IDS发现攻击行为时,可以通知防火墙对已经建立的连接进行有效的阻断,同时通知防火墙修改策略,防止潜在的进一步攻击的可能性。 2.IDS与路由器、交换机的协同 由于交换机和路由器防火墙一样,一般串接在网络上。同时都有预定的策略,可以决定网络上的数据流,所以IDS与交换机、路由器的协同与IDS同防火墙的协 |
 IDS新技术介绍(3) 作者:启明星辰 文章来源:赛迪网 2003年01月13日 | |
3.IDS与防病毒系统的协同 IDS与防病毒系统的协同在数据采集协同中已经进行过论述,但实际上对防病毒系统来讲,查和杀是不可或缺的两个方面,在查的层面有数据采集协同,在杀的层面有响应协同。如果说IDS还可以通过发送大量RST报文阻断已经建立的连接,某种程度上代替防火墙的响应机制的话,在防止计算机遭受病毒袭击的方面简直是无能为力,目前由于网络病毒攻击占所有攻击的比例不断增加,IDS与防病毒系统的协同也变得越来越重要。 4.IDS与蜜罐和填充单元系统协同 有一些工具可以作为IDS的补充,由于它们的功能相似,销售商常把它们也表示为IDS。但实际上这些工具的功能是相当独立的,所以这里不把它们当作IDS的组成部分讨论。而是通过对其功能进行简单介绍,同时介绍这些工具如何与IDS协同,共同增强一个组织的入侵检测能力。 蜜罐:是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息,但是这些信息实际上是捏造的,诚实的用户是访问不到它们的。因此,当检测到对"蜜罐"的访问时,很可能就有攻击者闯入。“蜜罐”上的监控器和事件日志器检测这些未经授权的访问并收集攻击者活动的相关信息。“蜜罐”的目的是将攻击者从关键系统引开,同时收集攻击者的活动信息,并且怂恿攻击者在系统上停留足够长的时间以供管理员进行响应。 利用“蜜罐”的这种能力,一方面可以为IDS提供附加数据,另一方面,当IDS发现有攻击者时,可以把攻击者引入“蜜罐”,防止攻击者造成危害,并收集攻击者的信息。 “填充单元”采取另一种不同的方法。“填充单元”不试图用引诱性的数据吸引攻击者,它等待传统的IDS来检测攻击者。攻击者然后无缝地被传递到一个特定的填充单元主机。攻击者不会意识到发生了什么事情,但是攻击者会处于一个模拟环境中而不会造成任何伤害。与“蜜罐”相似,这种模拟环境会充满使人感兴趣的数据,从而会使攻击者相信攻击正按计划进行。“填充单元”为监测攻击者的行为提供了独特的机会。 结束语 最后图示说明这里描述的整个安全系统 
以上的论述只是为了说明IDS需要协同,同时其它所有的安全工具也需要协同,这些工具和设备的很好的协同工作也许就是前面关于如何保障信息系统安全的一个答案。我们可以把所有这些协同工作的工具或者设备整体看作一个安全工具,至于是把这个系统称作综合型IDS或者其它的什么名字已经不重要了,关键是它可以保证我们的信息有相对的安全性。 关注更多IDS,请查阅IDS专区 (责任编辑:郁单曰) |
扫一扫
2492
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
