基于主机的IDS比较准确,而基于网络的IDS更及时,综合部署这两种IDS能给网络带来更大的安全性。
***检测系统(Intrusion Detection System,简称 IDS)是用来识别是否发生***的系统。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象,并可以根据用户要求进行某种实时响应。作为对防火墙有益的补充,IDS扩展了系统安全管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性,是网络安全管理员的重要管理工具。
***检测系统的分类
通常,***检测系统由网络数据收集器、分析器和控制台等几部分所组成。数据采集器负责在不影响网络性能的前提下采集通过网络的相关数据包,并按一定的格式传给分析器,由分析器判断是否有***发生。根据检测的数据来源,***检测系统一般分为两种:基于网络的***检测系统(Network-based IDS,NIDS)和基于主机的***检测系统 (Host-based IDS,HIDS)。
1. 基于网络的***检测系统
基于网络的IDS使用原始网络包作为数据源,对数据包头部信息进行检测。这种方式通常使用一台专用的系统作为检测器,它的目的就是监视网络流量。通过将网络适配器置成混杂模式(Promiscuous mode)可以获得通过本网段的数据包,并传给分析器进行检测分析来判断是否有***发生,这也是整个NIDS系统的核心功能。分析器的实时性与准确性直接决定着整个系统的性能,因此分析器所采用的算法与技术也是整个系统的关键。基于网络的IDS占用资源少,通常采用专用的计算机,不会占用本网段内受保护的主机的任何资源,能实时检测和应答,即根据网络数据包中的信息进行检测,一旦发生恶意访问或***,通常能在微秒或秒级发现它们,因此能够更快地做出响应。
2. 基于主机的***检测系统
基于主机的IDS(HIDS)以本地主机系统的信息作为数据源,如系统日志、文件系统、用户行为、CPU和内存的使用情况等。基于主机的***检测系统保护的一般是所在的系统,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于网络的系统中被发现。尽管基于主机的***检查系统不如基于网络的***检查系统快捷,但它确实具有基于网络的系统无法比拟的优点。如,性能价格比高。在主机数量较少的情况下,这种方法的性能价格比可能更高。而基于网络的***检测系统尽管能很容易地提供广泛覆盖,但其价格通常是昂贵的。另外,不需额外硬件设备,而且比较适用于交换网络。
IDS的部署
首先,部署一个基础的混合型***检测系统时,应把基于网络的***检测安装于网络信息集中通过的地方,如中心交换机、集线器等上面,对所有通过的网络数据进行收集、分析,并对***行为做出响应。而基于主机的***检测系统应安装于受保护的主机上,收集信息,对主机***行为做出响应。
联合使用基于主机和基于网络两种方式,会达到更好的检测效果。比如基于主机的IDS使用系统日志作为检测依据,因此它们在确定***是否已经取得成功时与基于网络的检测系统相比具有更高的准确性。人们完全可以使用基于网络的IDS提供早期报警,而使用基于主机的IDS来验证***是否取得成功。在下一代的***检测系统中,将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的***签名、检测、报告和事件关联功能。
其次,部署基于硬件的***检测系统应并联在网络中,通过旁路监听的方式实时地监视网络中的流量。这样能对网络的运行和性能无任何影响地判断其中是否含有***的企图,并通过各种手段向管理员报警,不但可以发现来自外部的***,也可以发现内部的恶意行为。所以,IDS能够形成网络安全的第二道闸门,它是防火墙的必要补充。 IDS:混合部署更安全
图1 小型网络IDS系统部署拓扑图
小型网络的IDS部署如图1所示。网络安全由IDS检测引擎、IDS管理主机两部分组成。检测引擎在检测到***时,引擎能即刻做出响应,如进行告警/通知(向控制台告警、向安全管理员发E-mail、SNMP Trap、查看实时会话和通报其他控制台),记录现场(记录事件日志及整个会话),采取安全响应行动(终止***连接、调整网络设备配置,如防火墙、执行特定的用户响应程序)。IDS管理主机则可以接受实时报警,查询引擎中的数据,进行统计分析。 IDS:混合部署更安全
图2 大中型网络IDS系统部署拓扑图
在大中型网络的安全建设中,应增设检测引擎中心机(如图2)。这是由于大中型网络的拓扑结构复杂,地域分布广,数据流量大,需要使用多个引擎才能对整个网络进行监控。对此专门增设一台中心机,由它负责收集和保存各引擎检测到的数据,并进行二次分析,为管理员提供综合分析报告。管理员的指令也可以通过中心机自动下发到各引擎中去执行,从而提高了管理效率。
目前,大部分的IDS产品由***检测引擎和管理控制台组成,在具体应用时可以根据网络结构和需求做不同的部署。一般是部署在需要重点保护的部位,如企业内部重要服务器所在的子网,对该子IDS的发展趋势网中的所有连接进行监控。根据网络的拓扑结构的不同,***检测系统的监听端口可以接在共享媒质的集线器或交换机的镜像端口(SpanPort)上,或专为监听所增设的分接器(Tap)上。(作者单位:辽宁移动通信有限责任公司沈阳分公司)
链 接
IDS的发展趋势
IDS作为网络安全架构中的重要一环,其重要地位有目共睹。随着技术的不断完善和更新,IDS正呈现出新的发展态势。IPS(***防御系统)的出现,应该说是IDS技术的一种新发展趋势。IPS技术在IDS监测的功能上又增加了主动响应的功能,一旦发现有***行为即立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中。
除了IPS,也有厂商提出了IMS(***管理系统)。IMS是一个过程,它在***行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么***行为和面临的***危险;在行为发生时或即将发生时,检测出***行为,并主动阻断、终止***行为;在***行为发生后,还要深层次分析***行为,通过关联分析,来判断是否还会出现下一个***行为。IMS符合IDS向管理系统发展的方向,也是IDS未来的一个发展方向。综合这些新的发展动态,可以了解未来IDS的发展趋势将表现如下总体特征:
1.智能化。***检测系统的核心是分析能力。未来的***检测系统应该能够进行基于事件语义而不是基于事件语法的检测,这种方法将弥补当前在安全政策和检测政策之间的差距,是对当前检测办法的一个极大的改进。在当前的检测中,检测目标需要复杂的、特定的与操作系统相关的检测特征。
2.分布式。随着网络***手段向分布式方向发展(如目前出现的分布式拒绝服务***DDOS),且采用了各种数据处理技术,其破坏性和隐蔽性也越来越强。相应地,***检测系统也在向分布式结构发展,采用分布收集信息、分布处理、多方协作的方式,将基于主机的IDS和基于网络的IDS结合使用,构筑面向大型网络的IDS。其中的关键技术是协作式***检测技术,包括同一系统中不同***检测部件之间的协作,尤其是主机型和网络型***检测部件之间的协作,以及异构平台之间、不同安全工具之间的协作、不同厂家的安全产品之间的协作。
3.高速网络环境下的***检测。截获网络的每一个数据包,并分析、匹配其中是否具有某种***的特征需要花费时间和系统资源。随着网络带宽的增大,1000M以太网、光纤技术的大量应用使得网络***检测系统的处理能力跟不上处理需求,因此,在高速网络环境中进行***检测是当前迫切需要解决的问题。
4.基于硬件的***检测。基于硬件的***检测系统和安全网络工具箱集成在一起也是一个趋势,这种设备定位于家庭市场和小企业市场,以使客户能够处理与持续地连接到Internet上相关的问题。
总之,***检测是一门综合性技术,既包括实时检测技术,也有事后分析技术。由于***的天然不确定性,单一的IDS产品可能无法做到面面俱到。因此,IDS的未来发展必然是多元化的。只有通过不断改进和完善技术,才能更好地协助网络进行安全防御。