邵學(xué)海

摘要：入侵檢測(cè)系統(tǒng)(Intrusion DetectionSystem。IDS)是一種不同于防火墻的、主動(dòng)保護(hù)網(wǎng)絡(luò)資源的安全系統(tǒng)，是防火墻合理和必要的補(bǔ)充。它完全改變了傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系被動(dòng)防守的局面，使網(wǎng)絡(luò)安全防護(hù)變得更積極、主動(dòng)，特別是IDS的網(wǎng)絡(luò)安全預(yù)警的通報(bào)，給網(wǎng)絡(luò)安全防護(hù)工作帶來了極大的變化。

關(guān)鍵詞：入侵檢測(cè)；安全防護(hù)；主動(dòng)保護(hù)

1引言

隨著信息化的高速發(fā)展和網(wǎng)絡(luò)在人們生活、工作中的應(yīng)用、普及，人們的安全意識(shí)也太太提高，對(duì)網(wǎng)絡(luò)安全產(chǎn)品的需要也日益緊迫和嚴(yán)格。用戶對(duì)于安全管理系統(tǒng)的要求已不滿足于僅僅在出錯(cuò)時(shí)彈出一個(gè)對(duì)話框，而是希望系統(tǒng)在監(jiān)控過往信息的同時(shí)能夠?qū)?shù)據(jù)進(jìn)行分析、消化。并以一種更加入性化的方式將網(wǎng)絡(luò)上存在的安全風(fēng)險(xiǎn)準(zhǔn)確地告知用戶。

入侵檢測(cè)系統(tǒng)(Intrus Jon Detection system，IDS)是近十幾年來發(fā)展起來的一種主動(dòng)安全防范技術(shù)。所謂入侵檢測(cè)就是監(jiān)視分析用戶和系統(tǒng)的行為，審計(jì)系統(tǒng)配置和漏洞，評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性，識(shí)別攻擊行為，對(duì)異常行為進(jìn)行統(tǒng)計(jì)，自動(dòng)地收集和系統(tǒng)相美的補(bǔ)丁，進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為，使用專用服務(wù)器記錄黑客行為等功能的總稱。

IDS為計(jì)算機(jī)系統(tǒng)的完整性。可用性及可信性提供積極主動(dòng)的保護(hù)，并在計(jì)算機(jī)系統(tǒng)受到危害之前進(jìn)行攔截防衛(wèi)。IDS對(duì)網(wǎng)絡(luò)的控制手段有：黑名單斷開、灰名單報(bào)警、阻塞HTTP請(qǐng)求、通知防火墻阻斷和通過SN-MPTrap報(bào)警等。

2技術(shù)的分析

入侵檢測(cè)技術(shù)是通過對(duì)入侵行為的過程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過程能做出實(shí)時(shí)響應(yīng)。從方式上可分為三種：異常、誤用和模式的發(fā)現(xiàn)技術(shù)。

(1)異常

異常發(fā)現(xiàn)技術(shù)的前提是假定所有入侵行為都是與正常行為不同的。首先通過訓(xùn)練過程建立起系統(tǒng)正常行為的軌跡，然后在實(shí)際運(yùn)用中把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑。例如。通過流量統(tǒng)計(jì)分析將異常時(shí)問的異常網(wǎng)絡(luò)流量視為可疑。

但異常發(fā)現(xiàn)技術(shù)的缺點(diǎn)是并非所有的入侵都表現(xiàn)為異常。

(2)誤用

誤用發(fā)現(xiàn)技術(shù)的入侵檢測(cè)是指通過預(yù)先精確定義的入侵模式，對(duì)觀察到的用戶行為和資源使用情況進(jìn)行檢測(cè)。如入侵簽名說明了導(dǎo)致誤用事件弱點(diǎn)的特征、條件、序列和關(guān)系，還包含系統(tǒng)狀態(tài)。

(3)模式

假定所有入侵行為和手段都能夠表達(dá)為一種模式或特征，那么所有已知的入侵方法都可以用匹配發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式，定義發(fā)現(xiàn)入侵的規(guī)則庫，把真正的入侵與正常行為區(qū)分開來。

3設(shè)計(jì)的實(shí)現(xiàn)

基于不同的結(jié)構(gòu)和偵聽的策略，IDS可分為兩類：主機(jī)型(Host-based IDS)和網(wǎng)絡(luò)型(Network-based IDS)。

3.1主機(jī)型IDS

主機(jī)型IDS為早期的結(jié)構(gòu)，是基于系統(tǒng)日志，應(yīng)用程序日志或者通過操作系統(tǒng)的底層支持來進(jìn)行分析，實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查以及特定應(yīng)用的執(zhí)行過程。主要用于保護(hù)自身所在的關(guān)鍵服務(wù)器。

在主機(jī)型IDS中，每一臺(tái)被監(jiān)控的服務(wù)器上都安裝入侵檢測(cè)代理。入侵檢測(cè)代理的任務(wù)就是通過收集被監(jiān)控服務(wù)器中的系統(tǒng)、網(wǎng)絡(luò)及用戶活動(dòng)的狀態(tài)和行為等數(shù)據(jù)，達(dá)到跟蹤并記錄這臺(tái)服務(wù)器上的非授權(quán)訪問企圖或其他惡意行為之目的，如圖01所示。

主機(jī)型入侵檢測(cè)軟件可以提供比網(wǎng)絡(luò)型工具更好的應(yīng)用層安全性，因?yàn)橹鳈C(jī)型軟件可以檢測(cè)到失敗的訪問企圖，它可以監(jiān)視用戶訪問文件或目錄的次數(shù)。將代理軟件加載到眾多服務(wù)器和桌面上是一項(xiàng)費(fèi)用高且耗時(shí)的工作。另外，一旦發(fā)現(xiàn)軟件有新的問題l代理必須隨之進(jìn)行升級(jí)。

主機(jī)型IDS駐留在被檢測(cè)的主機(jī)中，網(wǎng)絡(luò)傳輸加密對(duì)入侵檢測(cè)代理的工作不會(huì)產(chǎn)生影響。因?yàn)槿肭謾z測(cè)代理是通過操作系統(tǒng)來讀取相關(guān)信息，而操作系統(tǒng)已經(jīng)在收到到來的數(shù)據(jù)時(shí)將其解密了。另外，主機(jī)型IDS還具有接近于實(shí)時(shí)的檢測(cè)和應(yīng)答響應(yīng)時(shí)間。

(1)特點(diǎn)：

假如入侵者突破網(wǎng)絡(luò)中的安全防線，已經(jīng)進(jìn)入主機(jī)操作，那么Host-Based IDS對(duì)于監(jiān)測(cè)重要的服務(wù)器安全狀態(tài)具有十分重要的價(jià)值。

(2)弱點(diǎn)：

①信息審計(jì)如易受攻擊，入侵者可通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)本身更低級(jí)的操作來騙過審計(jì)；

②審計(jì)與網(wǎng)絡(luò)不能通過分析主機(jī)審計(jì)記錄來檢測(cè)網(wǎng)絡(luò)攻擊(域名欺騙、端口掃描等)；

③攻擊類型受限Host-Based IDS只能對(duì)服務(wù)器的特定的用戶、應(yīng)用程序執(zhí)行動(dòng)作、日志進(jìn)行檢測(cè)，所能檢測(cè)到的攻擊類型受到限制，但提供預(yù)警報(bào)告。

3.2網(wǎng)絡(luò)型IDS

網(wǎng)絡(luò)型IDS則主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)包，其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流，能夠檢測(cè)該網(wǎng)段上發(fā)生的全部網(wǎng)絡(luò)入侵。因此，網(wǎng)絡(luò)型IDS可以保護(hù)整個(gè)網(wǎng)段內(nèi)的所有主機(jī)。

網(wǎng)絡(luò)型IDS利用網(wǎng)絡(luò)偵聽技術(shù)收集在網(wǎng)絡(luò)上傳輸?shù)姆纸M數(shù)據(jù)包，并對(duì)這些數(shù)據(jù)包的內(nèi)容、源地址。目的地址等進(jìn)行分析，從中發(fā)現(xiàn)入侵行為，如圖02所示。

(1)特點(diǎn)：

①服務(wù)器平臺(tái)獨(dú)立網(wǎng)絡(luò)型IDS監(jiān)視通信流量而不影響服務(wù)器平臺(tái)的變化與更新；

②一個(gè)接口便可訪問配置簡單的網(wǎng)絡(luò)型IDS的環(huán)境只需要一個(gè)普通的網(wǎng)絡(luò)訪問接口；

③防攻擊類型多樣眾多的攻擊標(biāo)識(shí)可以監(jiān)視多種多樣的攻擊，包括協(xié)議和特定環(huán)境的政擊。

(2)弱點(diǎn)：

①無訪問控制措施不像防火墻那樣采取訪問控制措施，但防火墻并不是入侵檢測(cè)設(shè)備；

②攻擊阻止差網(wǎng)絡(luò)型IDS不能去阻止攻擊，而采用預(yù)警方式。

現(xiàn)在一些產(chǎn)品擴(kuò)展了IDS的功能，提供具有中斷入侵會(huì)話的過程和非法修改訪問控制列表對(duì)抗攻擊。

4結(jié)束語

這兩種方式的IDS都能發(fā)現(xiàn)對(duì)方無法檢測(cè)到的一些入侵行為。例如，網(wǎng)絡(luò)型的入侵檢測(cè)檢查所有的數(shù)據(jù)包頭的標(biāo)志位，而主機(jī)型的入侵檢測(cè)并不查看包頭的首部；如本地服務(wù)器發(fā)起的攻擊可能不通過網(wǎng)絡(luò)，無法通過網(wǎng)絡(luò)型的入侵檢測(cè)來發(fā)現(xiàn)，只能使用主機(jī)型的入侵檢測(cè)來判斷：網(wǎng)絡(luò)型的入侵檢測(cè)可以研究負(fù)載的內(nèi)容，查找特定攻擊中使用的命令或語法，而主機(jī)型的無法看到負(fù)載，也無法識(shí)別嵌入式的攻擊。因此，網(wǎng)絡(luò)型和主機(jī)型的入侵檢測(cè)各有優(yōu)勢(shì)，兩者相互補(bǔ)充才能使網(wǎng)絡(luò)系統(tǒng)預(yù)警通報(bào)的實(shí)現(xiàn)更加可靠、準(zhǔn)確。