一 入侵檢測定義
- 入侵:指一系列試圖破壞信息資源機(jī)密性、完整性和可用性的行為。對信息系統(tǒng)的非授權(quán)訪問及(或)未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作。
- 入侵檢測:是通過從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點收集信息,并分析這些信息,監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為,是對指向計算和網(wǎng)絡(luò)資源的惡意行為的識別和響應(yīng)過程。
- 入侵檢測系統(tǒng)(IDS):入侵檢測系統(tǒng)通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動,采用異常檢測或濫用檢測的方式,發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為,為防范入侵行為提供有效的手段,是一個完備的網(wǎng)絡(luò)安全體系的重要組成部分。入侵檢測的軟件與硬件的組合,是防火墻的合理補(bǔ)充,是防火墻之后的第二道安全閘門。
- 入侵檢測的內(nèi)容:
二 典型的IDS技術(shù)
- IDS起源與發(fā)展:審計技術(shù):產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程,通常用審計日志的形式記錄。
-
審計的目標(biāo)
- 確定和保持系統(tǒng)活動中每個人的責(zé)任
- 重建事件
- 評估損失
- 監(jiān)測系統(tǒng)的問題區(qū)
- 提供有效的災(zāi)難恢復(fù)
- 阻止系統(tǒng)的不正當(dāng)使用
- 入侵檢測流程:信息收集、信息分析、結(jié)果處理
- 信息收集
- 信息分析
- 模式匹配:就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。
- 統(tǒng)計分析:首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時等)。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較,任何觀察值在正常值范圍之外時,就認(rèn)為有入侵發(fā)生。
- 完整性分析,往往用于事后分析:完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?/strong>,這經(jīng)常包括文件和目錄的內(nèi)容及屬性,它在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效。
- 事件響應(yīng)(結(jié)果處理):
三 入侵檢測系統(tǒng)分類
- 基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、分布式入侵檢測系統(tǒng)
- 基于主機(jī)的入侵檢測系統(tǒng)(Host-based IDS,HIDS)
- 基于主機(jī)的入侵檢測系統(tǒng)通常被安裝在被保護(hù)的主機(jī)上,對該主機(jī)的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進(jìn)行分析和檢查,當(dāng)發(fā)現(xiàn)可疑行為和安全違規(guī)事件時,系統(tǒng)就會向管理員報警,以便采取措施。這些受保護(hù)的主機(jī)可以是Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等關(guān)鍵主機(jī)設(shè)備。
- 主機(jī)的數(shù)據(jù)源:操作系統(tǒng)事件日志、應(yīng)用程序日志系統(tǒng)日志、關(guān)系數(shù)據(jù)庫、Web服務(wù)器。
- 檢測內(nèi)容:系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志。
- HIDS的優(yōu)點:檢測精度高。HIDS針對用戶和系統(tǒng)活動進(jìn)行檢測,更適用于檢測內(nèi)部用戶攻擊或越權(quán)行為。不受加密和交換設(shè)備影響。HIDS只關(guān)注主機(jī)本身發(fā)生的事件,并不關(guān)心主機(jī)之外的網(wǎng)絡(luò)事件,所以檢測性能不受數(shù)據(jù)加密、隧道和交換設(shè)備影響。不受網(wǎng)絡(luò)流量影響。 HIDS并不采集網(wǎng)絡(luò)數(shù)據(jù)包,不會因為網(wǎng)絡(luò)流量增加而丟失對系統(tǒng)行為的監(jiān)視,故其檢測性能與網(wǎng)絡(luò)流量無關(guān)。
- HIDS的缺點 :HIDS安裝在需要保護(hù)的主機(jī)上,必然會占用主機(jī)系統(tǒng)資源,額外負(fù)載將降低應(yīng)用系統(tǒng)的效率。HIDS完全依賴操作系統(tǒng)固有的審計機(jī)制,所以必須與操作系統(tǒng)緊密集成,導(dǎo)致平臺的可移植性差。HIDS本身的健壯性也受到主機(jī)操作系統(tǒng)安全性的限制。HIDS只能檢測針對本機(jī)的攻擊,而不能檢測基于網(wǎng)絡(luò)協(xié)議的攻擊。
- 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS):安裝在需要保護(hù)的網(wǎng)段中,實時監(jiān)視網(wǎng)段中傳輸的各種數(shù)據(jù)包,并對這些數(shù)據(jù)包進(jìn)行分析和檢測。如果發(fā)現(xiàn)入侵行為或可疑事件,入侵檢測系統(tǒng)就會發(fā)出警報甚至切斷網(wǎng)絡(luò)連接。
- 網(wǎng)絡(luò)監(jiān)聽:在一個共享式網(wǎng)絡(luò),可以聽取所有的流量是一把雙刃劍。管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況。開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況。黑客可以用來刺探網(wǎng)絡(luò)情報。
- NIDS的優(yōu)點: 檢測與響應(yīng)速度快。NIDS能夠在成功入侵之前發(fā)現(xiàn)攻擊和可疑意圖,在攻擊目標(biāo)遭受破壞之前即可執(zhí)行快速響應(yīng)中止攻擊過程。入侵監(jiān)視范圍大。由于每個網(wǎng)絡(luò)傳感器能夠采集共享網(wǎng)段內(nèi)的所有數(shù)據(jù)包,一個網(wǎng)絡(luò)傳感器就可以保護(hù)一個網(wǎng)段。因此,只在網(wǎng)絡(luò)關(guān)鍵路徑上安裝網(wǎng)絡(luò)傳感器,就可以監(jiān)視整個網(wǎng)絡(luò)通信。入侵取證可靠。NIDS通過捕獲數(shù)據(jù)包收集入侵證據(jù),攻擊者無法轉(zhuǎn)移證據(jù)。能夠檢測協(xié)議漏洞攻擊。許多攻擊程序是基于網(wǎng)絡(luò)協(xié)議漏洞編寫的,諸如同步洪流(SYN flood)、Smurf攻擊和淚滴攻擊(teardrop)等只有通過查看數(shù)據(jù)包頭或有效負(fù)載才能識別。
- 分布式入侵檢測系統(tǒng)(DIDS):網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化,使得:系統(tǒng)的弱點或漏洞分散在網(wǎng)絡(luò)中的各個主機(jī)上,這些弱點有可能被入侵者用來攻擊網(wǎng)絡(luò),而僅依靠一個主機(jī)或網(wǎng)絡(luò)的入侵檢測系統(tǒng)很難發(fā)現(xiàn)入侵行為。入侵行為不再是單一的行為,而是表現(xiàn)出相互協(xié)作入侵的特點,例如分布式拒絕服務(wù)攻擊。入侵檢測所依靠的數(shù)據(jù)來源分散化,使得收集原始的檢測數(shù)據(jù)變得比較困難。
- 分布式入侵檢測系統(tǒng)(DIDS)的目標(biāo)是既能檢測網(wǎng)絡(luò)入侵行為,又能檢測主機(jī)的入侵行為。
- 檢測器的位置:
- 基于網(wǎng)絡(luò)的技術(shù)面臨的問題:在某些采用交換技術(shù)的網(wǎng)絡(luò)環(huán)境中,交換機(jī)制使得網(wǎng)絡(luò)報文不能在子網(wǎng)內(nèi)任意廣播,只能在設(shè)定的虛網(wǎng)(VLAN)內(nèi)廣播,這就使得進(jìn)行網(wǎng)絡(luò)監(jiān)聽的主機(jī)只能提取到本虛網(wǎng)內(nèi)的數(shù)據(jù),監(jiān)視范圍大為減少,監(jiān)視的能力也受到削弱。
四 入侵檢測方法
- 濫用檢測(Misuse Detection)
- 濫用檢測也被稱為誤用檢測或者基于特征的檢測。這種方法首先直接對入侵行為進(jìn)行特征化描述,建立某種或某類入侵特征行為的模式,如果發(fā)現(xiàn)當(dāng)前行為與某個入侵模式一致,就表示發(fā)生了這種入侵。
- 濫用檢測特點:
- 異常檢測(Anomaly Detection)
- 基本思想:任何人的正常行為都是有一定規(guī)律的,并且可以通過分析這些行為產(chǎn)生的日志信息(假定日志信息足夠完全)總結(jié)出一些規(guī)律,而入侵和濫用行為則通常與正常行為會有比較大的差異,通過檢查出這些差異就可以檢測出入侵。
- 主要方法:為正常行為建立一個規(guī)則集,稱為正常行為模式,也稱為正常輪廓(normal profile),也被稱為“用戶輪廓”,當(dāng)用戶活動和正常輪廓有較大偏離的時候認(rèn)為異?;蛉肭中袨椤_@樣能夠檢測出非法的入侵行為甚至是通過未知攻擊方法進(jìn)行的入侵行為,此外不屬于入侵的異常用戶行為(濫用自己的權(quán)限)也能被檢測到。
- 異常檢測特點:
- 異常檢測使用的一些方法:
- 統(tǒng)計異常檢測
- 基于特征選擇異常檢測
- 基于貝葉斯推理異常檢測
- 基于貝葉斯網(wǎng)絡(luò)異常檢測
- 基于模式預(yù)測異常檢測
- 基于神經(jīng)網(wǎng)絡(luò)異常檢測
- 基于貝葉斯聚類異常檢測
- 基于機(jī)器學(xué)習(xí)異常檢測
- 基于數(shù)據(jù)挖掘異常檢測
- 兩種方式比較
- 入侵檢測的發(fā)展方向:
- 工業(yè)界:
主要的研究內(nèi)容是如何通過優(yōu)化檢測系統(tǒng)的算法來提高入侵檢測系統(tǒng)的綜合性能與處理速度,以適應(yīng)千兆網(wǎng)絡(luò)的需求。
- 學(xué)術(shù)界:
主要通過引入各種智能計算方法,使入侵檢測技術(shù)向智能化方向發(fā)展。人工神經(jīng)網(wǎng)絡(luò)技術(shù),人工免疫技術(shù),數(shù)據(jù)挖掘技術(shù)
- 入侵檢測系統(tǒng)的局限性:
- 誤報和漏報的矛盾
- 隱私和安全的矛盾
- 被動分析與主動發(fā)現(xiàn)的矛盾
- 海量信息與分析代價的矛盾
- 功能性和可管理性的矛盾
- 單一產(chǎn)品與復(fù)雜網(wǎng)絡(luò)應(yīng)用的矛盾
五 網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品
- Snort是最流行的免費NIDS。Snort是基于濫用/異常檢測的IDS,使用規(guī)則的定義來檢查網(wǎng)絡(luò)中的問題數(shù)據(jù)包。Snort由以下幾個部分組成:數(shù)據(jù)包嗅探器、預(yù)處理器、檢測引擎、報警輸出模塊。
- RealSecure:1996年, RealSecure首先被作為一種傳統(tǒng)的基于傳感器的網(wǎng)絡(luò)入侵檢測系統(tǒng)來開發(fā),1998年成為一種混合入侵檢測系統(tǒng)。正在努力提供一種混合的OS日志及網(wǎng)絡(luò)分組性能,設(shè)計為放置在協(xié)議棧的IP層之下和IP層之上。多種響應(yīng)方式
報警輸出模塊。
- RealSecure:1996年, RealSecure首先被作為一種傳統(tǒng)的基于傳感器的網(wǎng)絡(luò)入侵檢測系統(tǒng)來開發(fā),1998年成為一種混合入侵檢測系統(tǒng)。正在努力提供一種混合的OS日志及網(wǎng)絡(luò)分組性能,設(shè)計為放置在協(xié)議棧的IP層之下和IP層之上。多種響應(yīng)方式
- Network ICE
網(wǎng)絡(luò)安全學(xué)習(xí)資源分享:
零基礎(chǔ)入門
對于從來沒有接觸過網(wǎng)絡(luò)安全的同學(xué),我們幫你準(zhǔn)備了詳細(xì)的學(xué)習(xí)成長路線圖??梢哉f是最科學(xué)最系統(tǒng)的學(xué)習(xí)路線,大家跟著這個大的方向?qū)W習(xí)準(zhǔn)沒問題。
CSDN大禮包:《黑客&網(wǎng)絡(luò)安全入門&進(jìn)階學(xué)習(xí)資源包》免費分享
同時每個成長路線對應(yīng)的板塊都有配套的視頻提供:
CSDN大禮包:《黑客&網(wǎng)絡(luò)安全入門&進(jìn)階學(xué)習(xí)資源包》免費分享
因篇幅有限,僅展示部分資料,需要點擊上方鏈接即可獲取文章來源:http://www.zghlxwxcb.cn/news/detail-640102.html
這份完整版的網(wǎng)絡(luò)安全(嘿客)全套學(xué)習(xí)資料已經(jīng)上傳至CSDN官方,朋友們?nèi)绻枰c擊下方鏈接也可掃描下方微信二v碼獲取網(wǎng)絡(luò)工程師全套資料【保證100%免費】
文章來源地址http://www.zghlxwxcb.cn/news/detail-640102.html
如果你有需要可以點擊??CSDN大禮包:《嘿客&網(wǎng)絡(luò)安全入門&進(jìn)階學(xué)習(xí)資源包》免費分享
到了這里,關(guān)于網(wǎng)絡(luò)安全之入侵檢測系統(tǒng)的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!