入侵檢測系統(tǒng)(IDS)

入侵檢測系統(tǒng)IDS黑客攻擊日益猖獗,防范問題日趨嚴峻政府、軍事、郵電和金融網(wǎng)絡(luò)是黑客攻擊的主要目標。即便已經(jīng)擁有高性能防火墻等安全產(chǎn)品，依然抵擋不住這些黑客對網(wǎng)絡(luò)和系統(tǒng)的破壞。據(jù)統(tǒng)計，幾乎每20秒全球就有一起黑客事件發(fā)生，僅美國每年所造成的經(jīng)濟損失就超過100億美元。網(wǎng)絡(luò)入侵的特點網(wǎng)絡(luò)入侵的特點沒有地域和時間的限制；通過網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動之間，隱蔽性強；入侵手段更加隱蔽和復(fù)雜。為什么需要IDS？單一防護產(chǎn)品的弱點防御方法和防御策略的有限性動態(tài)多變的網(wǎng)絡(luò)環(huán)境來自外部和內(nèi)部的威脅為什么需要IDS？關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備，只能抵擋外部來的入侵行為自身存在弱點，也可能被攻破對某些攻擊保護很弱即使透過防火墻的保護，合法的使用者仍會非法地使用系統(tǒng)，甚至提升自己的權(quán)限僅能拒絕非法的連接請求，但是對于入侵者的攻擊行為仍一無所知為什么需要IDS？入侵很容易入侵教程隨處可見各種工具唾手可得入侵檢測的概念入侵檢測（IntrusionDetection）：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)（IDS）：入侵檢測系統(tǒng)是軟件與硬件的組合，是防火墻的合理補充，是防火墻之后的第二道安全閘門。入侵檢測的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄漏、獨占資源以及惡意使用。入侵檢測的職責(zé)IDS系統(tǒng)主要有兩大職責(zé)：實時檢測和安全審計，具體包含4個方面的內(nèi)容識別黑客常用入侵與攻擊監(jiān)控網(wǎng)絡(luò)異常通信鑒別對系統(tǒng)漏洞和后門的利用完善網(wǎng)絡(luò)安全管理

入侵檢測系統(tǒng)的功能監(jiān)控用戶和系統(tǒng)的活動查找非法用戶和合法用戶的越權(quán)操作檢測系統(tǒng)配置的正確性和安全漏洞評估關(guān)鍵系統(tǒng)和數(shù)據(jù)的完整性識別攻擊的活動模式并向網(wǎng)管人員報警對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性入侵檢測系統(tǒng)模型(Denning)入侵檢測系統(tǒng)模型(CIDF)入侵檢測系統(tǒng)的組成特點入侵檢測系統(tǒng)一般是由兩部分組成：控制中心和探測引擎?？刂浦行臑橐慌_裝有控制軟件的主機，負責(zé)制定入侵監(jiān)測的策略，收集來自多個探測引擎的上報事件，綜合進行事件分析，以多種方式對入侵事件作出快速響應(yīng)。探測引擎負責(zé)收集數(shù)據(jù)，作處理后，上報控制中心?？刂浦行暮吞綔y引擎是通過網(wǎng)絡(luò)進行通訊的，這些通訊的數(shù)據(jù)一般經(jīng)過數(shù)據(jù)加密。入侵檢測的工作過程信息收集檢測引擎從信息源收集系統(tǒng)、網(wǎng)絡(luò)、狀態(tài)和行為信息。信息分析從信息中查找和分析表征入侵的異常和可疑信息。告警與響應(yīng)根據(jù)入侵性質(zhì)和類型，做出相應(yīng)的告警和響應(yīng)。信息收集入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息，這樣做的理由就是從一個來源的信息有可能看不出疑點，但從幾個來源的信息的不一致性卻是可疑行為或入侵的最好標識。信息收集入侵檢測的效果很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當強的堅固性，防止被篡改而收集到錯誤的信息信息收集系統(tǒng)和網(wǎng)絡(luò)日志文件目錄和文件中的不期望的改變程序執(zhí)行中的不期望行為物理形式的入侵信息信息分析模式匹配----誤用檢測（MisuseDetection）維護一個入侵特征知識庫準確性高統(tǒng)計分析--------異常檢測（AnomalyDetection）統(tǒng)計模型誤報、漏報較多完整性分析關(guān)注某個文件或?qū)ο笫欠癖桓氖潞蠓治?7模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化）統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）測量屬性的平均值和偏差被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓陌ㄎ募湍夸浀膬?nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效響應(yīng)動作主動響應(yīng)被動響應(yīng)入侵檢測性能關(guān)鍵參數(shù)誤報(falsepositive)：如果系統(tǒng)錯誤地將異?；顒佣x為入侵漏報(falsenegative)：如果系統(tǒng)未能檢測出真正的入侵行為入侵檢測系統(tǒng)分類（一）按照分析方法（檢測方法）異常檢測模型（AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵誤用檢測模型（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵23異常檢測模型如果系統(tǒng)錯誤地將異?；顒佣x為入侵，稱為誤報(falsepositive)；如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏報(falsenegative)。特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵。同時系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。誤用檢測模型如果入侵特征與正常的用戶行為能匹配，則系統(tǒng)會發(fā)生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報。特點：采用特征匹配，誤用檢測能明顯降低錯報率，但漏報率隨之增加。攻擊特征的細微變化，會使得誤用檢測無能為力。入侵檢測系統(tǒng)分類（二）根據(jù)檢測對象分類基于主機的IDS（Host-BasedIDS）HIDS一般主要使用操作系統(tǒng)的審計日志作為主要數(shù)據(jù)源輸入，試圖從日志判斷濫用和入侵事件的線索?；诰W(wǎng)絡(luò)的IDS（Network-BasedIDS）NIDS在計算機網(wǎng)絡(luò)中的關(guān)鍵點被動地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，對獲取的網(wǎng)絡(luò)數(shù)據(jù)進行分析處理，從中獲取有用的信息，以識別、判定攻擊事件?；旌闲虸DS基于網(wǎng)絡(luò)的IDS（NIDS）是網(wǎng)絡(luò)上的一個監(jiān)聽設(shè)備通過網(wǎng)絡(luò)適配器捕獲數(shù)據(jù)包并分析數(shù)據(jù)包根據(jù)判斷方法分為基于知識的數(shù)據(jù)模式判斷和基于行為的行為判斷方法能夠檢測超過授權(quán)的非法訪問IDS發(fā)生故障不會影響正常業(yè)務(wù)的運行配置簡單基于主機的IDS（HIDS）HIDS是配置在被保護的主機上的，用來檢測針對主機的入侵和攻擊主要分析的數(shù)據(jù)包括主機的網(wǎng)絡(luò)連接狀態(tài)、審計日志、系統(tǒng)日志。實現(xiàn)原理配置審計信息系統(tǒng)對審計數(shù)據(jù)進行分析(日志文件)NIDS和HIDS比較入侵檢測的分類(混合IDS)基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御體系不全面。但是，它們的缺憾是互補的。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會構(gòu)架成一套完整立體的主動防御體系，綜合了基于網(wǎng)絡(luò)和基于主機兩種結(jié)構(gòu)特點的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。入侵檢測系統(tǒng)分類（三）根據(jù)系統(tǒng)工作方式來分：在線入侵檢測(IPS)，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。這個檢測過