入侵检测系统,浅析几个著名的入侵检测系统
原文:http://www.cuntuba520.net/xiaozhishi/2347367.html
一 > 淺析幾個(gè)著名的入侵檢測系統(tǒng)
入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于,入侵檢測系統(tǒng)是一種積極主動的安全防護(hù)技術(shù)。
入侵檢測系統(tǒng)(IDS)檢查所有進(jìn)入和發(fā)出的網(wǎng)絡(luò)活動,并可確認(rèn)某種可疑模式,IDS利用這種模式能夠指明來自試圖進(jìn)入(或破壞系統(tǒng))的某人的網(wǎng)絡(luò)攻擊(或系統(tǒng)攻擊)。入侵檢測系統(tǒng)與防火墻不同,主要在于防火墻關(guān)注入侵是為了阻止其發(fā)生。防火墻限制網(wǎng)絡(luò)之間的訪問,目的在于防止入侵,但并不對來自網(wǎng)絡(luò)內(nèi)部的攻擊發(fā)出警報(bào)信號。而IDS卻可以在入侵發(fā)生時(shí),評估可疑的入侵并發(fā)出警告。而且IDS還可以觀察源自系統(tǒng)內(nèi)部的攻擊。從這個(gè)意義上來講,IDS可能安全工作做得更全面。今天我們就看看下面這五個(gè)最著名的入侵檢測系統(tǒng)。
1.Snort:這是一個(gè)幾乎人人都喜愛的開源IDS,它采用靈活的基于規(guī)則的語言來描述通信,將簽名、協(xié)議和不正常行為的檢測方法結(jié)合起來。其更新速度極快,成為全球部署最為廣泛的入侵檢測技術(shù),并成為防御技術(shù)的標(biāo)準(zhǔn)。通過協(xié)議分析、內(nèi)容查找和各種各樣的預(yù)處理程序,Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、端口掃描和各種可疑行為。在這里要注意,用戶需要檢查免費(fèi)的BASE來分析Snort的警告。
2.OSSEC HIDS:這一個(gè)基于主機(jī)的開源入侵檢測系統(tǒng),它可以執(zhí)行日志分析、完整性檢查、Windows注冊表監(jiān)視、rootkit檢測、實(shí)時(shí)警告以及動態(tài)的適時(shí)響應(yīng)。除了其IDS的功能之外,它通常還可以被用作一個(gè)SEM/SIM解決方案。因?yàn)槠鋸?qiáng)大的日志分析引擎,互聯(lián)網(wǎng)供應(yīng)商、大學(xué)和數(shù)據(jù)中心都樂意運(yùn)行 OSSEC HIDS,以監(jiān)視和分析其防火墻、IDS、Web服務(wù)器和身份驗(yàn)證日志3.Fragroute/Fragrouter:是一個(gè)能夠逃避網(wǎng)絡(luò)入侵檢測的工具箱,這是一個(gè)自分段的路由程序,它能夠截獲、修改并重寫發(fā)往一臺特定主機(jī)的通信,可以實(shí)施多種攻擊,如插入、逃避、拒絕服務(wù)攻擊等。它擁有一套簡單的規(guī)則集,可以對發(fā)往某一臺特定主機(jī)的數(shù)據(jù)包延遲發(fā)送,或復(fù)制、丟棄、分段、重疊、打印、記錄、源路由跟蹤等。嚴(yán)格來講,這個(gè)工具是用于協(xié)助測試網(wǎng)絡(luò)入侵檢測系統(tǒng)的,也可以協(xié)助測試防火墻,基本的TCP/IP堆棧行為。可不要濫用這個(gè)軟件呵。
4.BASE:又稱基本的分析和安全引擎,BASE是一個(gè)基于PHP的分析引擎,它可以搜索、處理由各種各樣的IDS、防火墻、網(wǎng)絡(luò)監(jiān)視工具所生成的安全事件數(shù)據(jù)。其特性包括一個(gè)查詢生成器并查找接口,這種接口能夠發(fā)現(xiàn)不同匹配模式的警告,還包括一個(gè)數(shù)據(jù)包查看器/解碼器,基于時(shí)間、簽名、協(xié)議、IP地址的統(tǒng)計(jì)圖表等。
5.Sguil:這是一款被稱為網(wǎng)絡(luò)安全專家監(jiān)視網(wǎng)絡(luò)活動的控制臺工具,它可以用于網(wǎng)絡(luò)安全分析。其主要部件是一個(gè)直觀的GUI界面,可以從 Snort/barnyard提供實(shí)時(shí)的事件活動。還可借助于其它的部件,實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)視活動和IDS警告的事件驅(qū)動分析。
通過以上內(nèi)容的介紹,相信大家對入侵檢測系統(tǒng)已經(jīng)有了一個(gè)大概的認(rèn)識,科學(xué)技術(shù)還在不斷地進(jìn)步,入侵檢測系統(tǒng)也會隨之不斷變革的。
二 > IDS入侵檢測系統(tǒng)搭建(linux)
Snort 它是一個(gè)多平臺的、實(shí)時(shí)流量分析的入侵檢測系統(tǒng)(www.cuntuba520.net)。Snort是一個(gè)基于libpcap的數(shù)據(jù)包嗅探器并可以作為一個(gè)輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)。
snort有三種工作模式:
1、嗅探器
嗅探器模式:是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。
2、數(shù)據(jù)包記錄器
數(shù)據(jù)包記錄器:是把數(shù)據(jù)包記錄到硬盤上。
3、網(wǎng)絡(luò)入侵檢測系統(tǒng)。
網(wǎng)路入侵檢測:它是可配置的(所以會相對是比較復(fù)雜的)。
工作原理:
是因?yàn)槟軌驅(qū)W(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行抓包,但區(qū)別于嗅探器的它能夠根據(jù)自定義規(guī)則來進(jìn)行相應(yīng)和處理。根據(jù)以下的規(guī)則有五種響應(yīng)的機(jī)制。
Activation (報(bào)警并啟動另外一個(gè)動態(tài)規(guī)則鏈)
Dynamic (由其它的規(guī)則包調(diào)用)
Alert (報(bào)警)
Pass (忽略)
Log (不報(bào)警但記錄網(wǎng)絡(luò)流量)
Snort通過在網(wǎng)絡(luò)TCP/IP的5層結(jié)構(gòu)的數(shù)據(jù)鏈路層進(jìn)行抓取網(wǎng)絡(luò)數(shù)據(jù)包,抓包時(shí)需將網(wǎng)卡設(shè)置為混雜模式,根據(jù)操作系統(tǒng)的不同采用libpcap或winpcap函數(shù)從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包;然后將捕獲的數(shù)據(jù)包送到包解碼器進(jìn)行解碼。
Snort的運(yùn)行:
主要是通過各插件協(xié)同工作才使其功能強(qiáng)大,所以在部署時(shí)選擇合適的數(shù)據(jù)庫,Web服務(wù)器,圖形處理程序軟件及版本也非常重要。
不足:
Snort之所以說他是輕量型就是說他的功能還不夠完善,比如與其它產(chǎn)品產(chǎn)生聯(lián)動等方面還有待改進(jìn);Snort由各功能插件協(xié)同工作,安裝復(fù)雜,各軟件插件有時(shí)會因版本等問題影響程序運(yùn)行;Snort對所有流量的數(shù)據(jù)根據(jù)規(guī)則進(jìn)行匹配,有時(shí)會產(chǎn)生很多合法程序的誤報(bào)。
入侵檢測系統(tǒng):IDS
入侵防護(hù)系統(tǒng):IPS
IDS是防護(hù)檢測、IPS是防護(hù)功能;
SessionWall :CA公司出品、圖形界面、可以流量和程序全面監(jiān)控通過報(bào)警和阻塞規(guī)則進(jìn)行相應(yīng)。
RealSecure :ISS RealSecure是一種實(shí)時(shí)監(jiān)控軟件,它包含控制臺、網(wǎng)絡(luò)引擎和系統(tǒng)代理三個(gè)部分組成。RealSecure的模板包括安全事件模板、連接事件模板和用戶定義事件模板。
IDS從本質(zhì)上可以分成兩類:網(wǎng)絡(luò)型IDS(NIDS)和主機(jī)型IDS(HIDS)這兩種IDS。
基于主機(jī)的叫HIDS (軟件)snort(用于沒有被防火墻檢測出來的入侵)。需要安裝到被保護(hù)的主機(jī)、(可以查看流量、日志、用戶行為和一些文件)
基于網(wǎng)絡(luò)的叫NIDS (硬件)神州數(shù)碼 H3C 都有(硬件產(chǎn)品),安裝需要和交換機(jī)來結(jié)合的;
工作原理:
IDS監(jiān)聽端口:(收集它所關(guān)心的報(bào)文
特征比較:IDS 提取的流量統(tǒng)計(jì)特征值、與特征庫比對;
報(bào)警:匹配度較高的報(bào)文劉來那個(gè)將被認(rèn)為是進(jìn)攻,IDS將報(bào)警。
【信息的收集 --- 分析– 檢測是否報(bào)警】
基于主機(jī)的應(yīng)用檢測;也只裝在重要的主機(jī)上面。
基于網(wǎng)絡(luò)的入侵檢測:就要部署在網(wǎng)絡(luò)設(shè)備上。
IDS的部署位置(snort):
( 如果沒有裝IDS 的只能依靠路由的基本設(shè)置來保護(hù)內(nèi)網(wǎng) )
在linux下的應(yīng)用:(示例)
平臺:
Linux5.4
軟件包:
adodb514.zip
(一種 PHP 存取數(shù)據(jù)庫的中間函式組件、對php優(yōu)化的一個(gè)數(shù)據(jù)庫支持;)
base-1.4.5.tar.gz
(是一個(gè)用來查看Snort IDS告警的Web應(yīng)用程序)
snort-2.8.0.1-1.RH5.i386.rpm
(入侵檢測系統(tǒng))
snort-mysql-2.8.0.1-1.RH5.i386.rpm
(snort與數(shù)據(jù)庫結(jié)合器件)
snortrules-snapshot-2.8.tar.gz
(入侵檢測規(guī)則庫)
安裝:
rpm -ivh snort-2.8.0.1-1.RH5.i386.rpm
安裝完成就可以直接來用行了;
在終端可直接執(zhí)行指令:snort –v
如果在外網(wǎng) ping 的時(shí)候、在這里就會有記錄顯示;(暫停 ctrl+Z )
把這個(gè)進(jìn)程殺掉:pkill -9 snort
然后還可以再使用jobs 查看一下是否被殺掉;
還可以使用 snort -vde (但是并沒有MAC地址)
信息記錄:snort -vde l ./ &/dev/null & 就可以記錄了、
入侵規(guī)則庫的應(yīng)用:
cd /etc/snort/rules/ (在這文件夾下)
然后進(jìn)行規(guī)則導(dǎo)入、因?yàn)槭且粋€(gè)壓縮包、直接解壓到/etc/snort/目錄下就可以了:
tar -zxvf snortrules-snapshot-2.8.tar.gz –C /etc/snort/
導(dǎo)入之后在來到 cd /setc/snort/rules/ 目錄下查看;就會有很多規(guī)則了。
(軟件的版本過舊相對的入侵規(guī)則庫就很略不同 資源也會顯的老舊 盡量隨時(shí)更新)
規(guī)則的下一部分是協(xié)議:
Snort當(dāng)前分析可疑包的ip協(xié)議有四種:TCP 、UDP 、ICMP 、IP ;
(也許不久發(fā)展還會有 ARP、IGRP、GRE、OSPF、RIP、IPX )
如果檢測的文件希望記錄到數(shù)據(jù)里面;所以這個(gè)入侵檢測系統(tǒng)搭建需要安裝的軟件還是比較多的:
mysql、apache、php、libpcap(linux下網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)包)、adodb(可以對數(shù)據(jù)庫優(yōu)化)、snort(主程序)、base(是基本的分析和安全引擎)、-acid以項(xiàng)目的代碼為基礎(chǔ)、提供web的前端。
因?yàn)榘惭b這些東西也盡可能是使用yum來裝:
編輯本地yum:
vim /etc/yum.repos.d/rhel-debuginfo.repo
[rhel-server]
name=Red Haterprise Linux server
baseurl=file:///mnt/cdrom/
enabled=1
gpgcheck=1
gpgkey=file:///mnt/cdrom/RPM-GPG-KEY-redhat-relase
掛載光盤進(jìn)行yum安裝:
mkdir /mnt/cdrom
mount /dev/cdrom /mnt/cdrom/
yum 安裝:
擴(kuò)展:ids入侵檢測系統(tǒng) / ids入侵檢測系統(tǒng) 品牌 / linux入侵檢測系統(tǒng)
?
安裝完成開啟各種服務(wù),然后chkconfig設(shè)置:
chkconfig httpd on
對于mysql需要設(shè)置口令(默認(rèn)安裝時(shí)是root用戶是沒有口令的)
mysqladmin–u root -p password ‘123’
再進(jìn)一步在數(shù)據(jù)添加snort的數(shù)據(jù)庫以及表格:
(因?yàn)槲覀兤谕麢z測的信息放到mysql數(shù)據(jù)庫里面去、放到什么數(shù)據(jù)庫、還要在進(jìn)一步的設(shè)置)
連接到數(shù)據(jù)庫: mysql -u root -p
create database snort;
(新建snort數(shù)據(jù)庫)
use snort;
( 使用snort數(shù)據(jù)庫 )
show tables;
(在此進(jìn)行添加表格、每見一個(gè)表格、都要添加一個(gè)表格的框架;但是呢這里可以直接導(dǎo)入、都是一些創(chuàng)建表格的字段之類的 )
導(dǎo)入表格:
chkconfig mysql on
(依然使用chkconfig設(shè)置)
然后還希望snort檢測的協(xié)議數(shù)據(jù)是需放置在數(shù)據(jù)庫里面的、因此還要安裝一個(gè)東東:
就是 snort-mysql-2.8.0.1-1.RH5.i386.rpm 包
( 一個(gè)snort與數(shù)據(jù)庫的連接器件 )
vim /etc/snort/snort.conf
更改一些量
更改完成之后可以再啟動snort、(可以做一些細(xì)致的命令、做一些詳細(xì)的截獲、掛載規(guī)則庫、信息輸出);然后可以看一下進(jìn)程、是否已經(jīng)啟動了;
或者也可以用jobs 進(jìn)行查看是否正在運(yùn)行著;
升級安裝 pear
( 即:PHP擴(kuò)展與應(yīng)用庫 )
pear install --force PEAR-1.8.1 (系統(tǒng)連接到了互聯(lián)網(wǎng)、直接就可以升級)
pear upgrade pear (然后再更新一次)
然后再安裝一些模塊;(圖形化界面的一些模塊)
安裝adodb
adodb514.zip ( 它是用來對php優(yōu)化的一個(gè)數(shù)據(jù)庫支持 )
解壓先:unzip adodb514.zip
然后把它也移動到/var/www/html/adodb 這個(gè)目錄下。
mv adodb5 /var/www/html/adodb ( 便于還可以做名稱的更改 )
base安裝
tar -zxvf base-1.4.5.tar.gz -C/var/www/html/
為方便操作可以更改一下名稱:以后可以直接訪問物理目錄http://0.0.0.0/base
mv base-1.4.5/ base
然后再重新進(jìn)入這個(gè)目錄、還需要拷貝一些文件。
然后在/var/www/html/ 更改里面有個(gè) base_conf.php 的配置文件;
更改之前仍需要作下base目錄的權(quán)限設(shè)置:chmod o+w base/
就是這樣:
(其實(shí)這個(gè)可以在網(wǎng)頁之中直接進(jìn)行設(shè)置、設(shè)置之后就形成了這個(gè)文件;通過物理訪問http://192.168.1.101/base/setup/index.php 在里直接設(shè)置 ;但是呢有的可能默認(rèn)設(shè)置的日志幾倍太高、所以還需要編輯etc目錄下的php.ini更改一下 )
例如這樣提示:
然后就需要 vim /etc/php.ini
既然這樣更改了、就還需要把a(bǔ)pache重啟而后重新進(jìn)入:
一共有5部安裝;語言設(shè)置、adodb路徑:
然后設(shè)置一些數(shù)據(jù)庫的相關(guān):
界面的管理設(shè)置用戶與口令:
接著也就進(jìn)入了基本的分析與安全引擎:(創(chuàng)建base AG)
進(jìn)入第5部:看到檢測的一些協(xié)議。
(當(dāng)然這個(gè)沒數(shù)據(jù) 是因?yàn)闆]運(yùn)行 )
重新啟動、在做個(gè)Ping動作,新刷新一下網(wǎng)頁:
或者利用工具做個(gè)端口掃描測試:
以上就是linux環(huán)境下 搭建IDS入侵檢測系統(tǒng)簡要流程
擴(kuò)展:ids入侵檢測系統(tǒng) / ids入侵檢測系統(tǒng) 品牌 / linux入侵檢測系統(tǒng)
?
擴(kuò)展:ids入侵檢測系統(tǒng) / ids入侵檢測系統(tǒng) 品牌 / linux入侵檢測系統(tǒng)
三 > 入侵檢測系統(tǒng)
入侵檢測系統(tǒng)
1. 引言
1.1 背景
近年來,隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及其它的一些利益的驅(qū)動,計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,特別是各種官方機(jī)構(gòu)網(wǎng)站成為黑客攻擊的目標(biāo),近年來由于對電子商務(wù)的熱切需求,更加激化了各種入侵事件增長的趨勢。作為網(wǎng)絡(luò)安全防護(hù)工具“防火墻”的一種重要的補(bǔ)充措施,入侵檢測系統(tǒng)(Intrusion Detection System,簡稱 IDS)得到了迅猛的發(fā)展。 依賴防火墻建立網(wǎng)絡(luò)的組織往往是“外緊內(nèi)松”,無法阻止內(nèi)部人員所做的攻擊,對信息流的控制缺乏靈活性從外面看似非常安全,但內(nèi)部缺乏必要的安全措施。據(jù)統(tǒng)計(jì),全球80%以上的入侵來自于內(nèi)部。由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測能力,對于企業(yè)內(nèi)部人員所做的攻擊,防火墻形同虛設(shè)。 入侵檢測是對防火墻及其有益的補(bǔ)充,入侵檢測系統(tǒng)能使在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中,能減少入侵攻擊所造成的損失。在被入侵攻擊后,收集入侵攻擊的相關(guān)信息,作為防范系統(tǒng)的知識,添加入知識庫內(nèi),增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到入侵。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)聽,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),大大提高了網(wǎng)絡(luò)的安全性。
1.2 背國內(nèi)外研究現(xiàn)狀
入侵檢測技術(shù)國外的起步較早,有比較完善的技術(shù)和相關(guān)產(chǎn)品。如開放源代碼的snort,雖然它已經(jīng)跟不上發(fā)展的腳步,但它也是各種商業(yè)IDS的參照系;NFR公司的NID等,都已相當(dāng)?shù)耐晟啤km然國內(nèi)起步晚,但是也有相當(dāng)?shù)纳虡I(yè)產(chǎn)品:天闐IDS、綠盟冰之眼等不錯(cuò)的產(chǎn)品,不過國外有相當(dāng)完善的技術(shù)基礎(chǔ),國內(nèi)在這方面相對較弱。
信息與計(jì)算科學(xué)系課程設(shè)計(jì)報(bào)告
2. 入侵檢測的概念和系統(tǒng)結(jié)構(gòu)
2.1 入侵檢測的概念
入侵檢測是對發(fā)生在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中的事件進(jìn)行監(jiān)控及對入侵信號的分析過程。使監(jiān)控和分析過程自動化的軟件或硬件產(chǎn)品稱為入侵檢測系統(tǒng)(Intrusion Detection System),簡稱IDS。一個(gè)完整的入侵檢測系統(tǒng)必須具有:經(jīng)濟(jì)性、時(shí)效性、安全性、可擴(kuò)展性的特點(diǎn)。
2.2 入侵檢測的系統(tǒng)結(jié)構(gòu)
入侵檢測系統(tǒng)的基本結(jié)構(gòu)構(gòu)成CIDF(Common Intrusion Detection Frame,公共入侵檢測框架)提出了通用模型,將入侵檢測系統(tǒng)分為四個(gè)基本組件:事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫,見圖。
圖2-1公共入侵檢測框架(CIDF)的體系結(jié)構(gòu)
(1) 事件產(chǎn)生器(Event generators) 事件產(chǎn)生器是入侵檢測系統(tǒng)中負(fù)責(zé)原始數(shù)據(jù)采集的部分,它對數(shù)據(jù)流、日志文件等進(jìn)行追蹤,然后將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件,并向系統(tǒng)的其他部分提供此事件。
2
信息與計(jì)算科學(xué)系課程設(shè)計(jì)報(bào)告
(2) 事件分析器(Event analyzers) 事件分析器接收事件信息,然后對它們進(jìn)行分析,判斷是否是入侵行為或異常現(xiàn)象,最后把判斷的結(jié)果轉(zhuǎn)換為警告信息。
(3) 事件數(shù)據(jù)庫(Response units ) 事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方。
(4) 響應(yīng)單元(Response units ) 響應(yīng)單元根據(jù)警告信息做出反應(yīng),如切斷連接、改變文本屬性等強(qiáng)烈的反應(yīng),也可能是簡單地報(bào)警。它是入侵檢測系統(tǒng)中的主動武器。
3. 入侵檢測系統(tǒng)的分類
通過對現(xiàn)有的入侵檢測系統(tǒng)和入侵檢測技術(shù)的研究,可以從以下幾個(gè)方面對入侵檢測系統(tǒng)進(jìn)行分類
3.1 根據(jù)目標(biāo)系統(tǒng)的類型分類
根據(jù)目標(biāo)系統(tǒng)類型的不同可以將入侵檢測系統(tǒng)分為如下兩類。
(1) 基于主機(jī)(host-based)的入侵檢測系統(tǒng)
通常,基于主機(jī)的入侵檢測系統(tǒng)可以檢測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)文件發(fā)生變化時(shí),入侵檢測系統(tǒng)將新的記錄條目與攻擊標(biāo)記相比較,看他們是否匹配。如果匹配,系統(tǒng)就會向管理員報(bào)警,以采取措施。基于主機(jī)的入侵檢測系統(tǒng)如圖3-1。
圖3-1 基于主機(jī)的入侵檢測系統(tǒng)的基本結(jié)構(gòu)
(2) 基于網(wǎng)絡(luò)(network-based)的入侵檢測系統(tǒng)
基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。它通常利用一個(gè)運(yùn)行
3
信息與計(jì)算科學(xué)系課程設(shè)計(jì)報(bào)告
在混雜模式下的網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視并分析網(wǎng)絡(luò)的所有通信業(yè)務(wù)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的基本結(jié)構(gòu)如圖3-2。
圖3-2 基于主機(jī)的入侵檢測系統(tǒng)的基本結(jié)構(gòu)
3.2 根據(jù)入侵檢測分析方法分類
根據(jù)入侵檢測分析方法的不同可以將入侵檢測系統(tǒng)分為如下兩類。
(1)誤用入侵檢測(特征檢測 signature-based)
誤用檢測是基于已知的系統(tǒng)缺陷和入侵模式,所以又稱為特征檢測。誤用檢測是對不正常的行為建模,這些不正常的行為是被記錄下來的確認(rèn)的誤用和攻擊。通過對系統(tǒng)活動的分析,發(fā)現(xiàn)與被定義好的攻擊特征相匹配的事件或事件集合。該檢測方法可以有效地檢測到已知攻擊,檢測精度高,誤報(bào)少。但需要不斷更新攻擊的特征庫,系統(tǒng)靈活性和自適應(yīng)性較差,漏報(bào)較多。商用IDS多采用該種檢測方法。
(2)異常入侵檢測(anomaly-based)
異常檢測是指能根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測出入侵的方法。它試圖用定量的方式描述可以接受的行為特征,以區(qū)分非正常的、潛在的入侵行為。也就是,異常檢測是對用戶的正常行為建模,通過正常行為與用戶的行為進(jìn)行比較,如果二者的偏差超過了規(guī)定閾值則認(rèn)為該用戶的行為是異常的。異常檢測的誤報(bào)較多。目前,大多數(shù)的異常檢測技術(shù)還處于研究階段,基本沒有用于商業(yè)IDS中。
3.3 根據(jù)檢測系統(tǒng)各個(gè)模塊運(yùn)行的分布方式分類
根據(jù)檢測系統(tǒng)各個(gè)模塊運(yùn)行的分布方式的不同可以將入侵檢測系統(tǒng)分為如下兩類。
(1) 集中式入侵檢測系統(tǒng)
4
信息與計(jì)算科學(xué)系課程設(shè)計(jì)報(bào)告
集中式IDS有多個(gè)分布在不同主機(jī)上的審計(jì)程序,僅有一個(gè)中央入侵檢測服務(wù)器。審計(jì)程序?qū)?dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。隨著服務(wù)器所承載的主機(jī)數(shù)量的增多,中央服務(wù)器進(jìn)行分析處理的數(shù)量就會猛增,而且一旦服務(wù)器遭受攻擊,整個(gè)系統(tǒng)就會崩潰。
(2)分布式(協(xié)作式)入侵檢測系統(tǒng)
分布式IDS是將中央檢測服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的IDS,這些IDS不分等級,各司其職,負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動。所以,其可伸縮性、安全性都等到了顯著的提高,并且與集中式IDS相比,分布式IDS對基于網(wǎng)絡(luò)的共享數(shù)據(jù)量的要求較低。但維護(hù)成本卻提高了很多,并且增加了所監(jiān)控主機(jī)的工作負(fù)荷,如通信機(jī)制、審計(jì)開銷、蹤跡分析等。
3.4 其他的分類方法
(1) 根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源分類
入侵檢測系統(tǒng)分析的數(shù)據(jù)可以是:主機(jī)系統(tǒng)日志、原始的網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序的日志、防火墻報(bào)警日志以及其他入侵檢測系統(tǒng)的報(bào)警信息等。據(jù)此可將入侵檢測系統(tǒng)分為基于不同分析數(shù)據(jù)源的入侵檢測系統(tǒng)。
(2) 根據(jù)系統(tǒng)對入侵攻擊的響應(yīng)方式分類
①主動的入侵檢測系統(tǒng)系統(tǒng)。 在檢測出入侵后,可自動地對目標(biāo)系統(tǒng)中的漏洞采取修補(bǔ)、強(qiáng)制可疑用戶(可能的入侵者)退出以及關(guān)閉相關(guān)服務(wù)等對策和響應(yīng)措施。
②被動的入侵檢測系統(tǒng)。檢測出對系統(tǒng)的入侵攻擊后只是產(chǎn)生報(bào)警信息通知系統(tǒng)安全管理員,至于之后的處理工作則由系統(tǒng)管理員來完成。
4. 入侵檢測系統(tǒng)的功能
4.1 入侵檢測系統(tǒng)的主要功能:
(1) 監(jiān)視并分析用戶和系統(tǒng)的行為;
(2) 審計(jì)系統(tǒng)配置和漏洞;
(3) 評估敏感系統(tǒng)和數(shù)據(jù)的完整性;
(4) 識別攻擊行為、對異常行為進(jìn)行統(tǒng)計(jì);
5
信息與計(jì)算科學(xué)系課程設(shè)計(jì)報(bào)告
(5) 自動收集與系統(tǒng)相關(guān)的補(bǔ)丁;
(6) 審計(jì)、識別、跟蹤違反安全法規(guī)的行為;
(7) 使用誘騙服務(wù)器記錄黑客行為;
4.2 入侵檢測系統(tǒng)的功能結(jié)構(gòu)
4.2.1 入侵檢測系統(tǒng)的工作模式
入侵檢測是防火墻的合理補(bǔ)充,幫助系統(tǒng)對付來自外部或內(nèi)部的攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(如安全審計(jì)、監(jiān)視、攻擊識別及其響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
入侵檢測系統(tǒng)的主要工作就是從信息系統(tǒng)的若干關(guān)鍵點(diǎn)上收集信息,然后分析這些信息,用來得到網(wǎng)絡(luò)中有無違反安全策略的行為和遭到襲擊的跡象。
無論對于什么類型的入侵檢測系統(tǒng),其工作模式都可以體現(xiàn)為以下步驟。下圖所示:
4.2.2 入侵檢測系統(tǒng)的功能結(jié)構(gòu)
一個(gè)典型的入侵檢測系統(tǒng)從功能上可以分為3個(gè)組成部分:感應(yīng)器(Sensor)、分析器(Analyzer)和管理器(Menager),如圖4-2所示:
圖 4-2入侵檢測系統(tǒng)的功能結(jié)構(gòu)
4.2.2.1 信息收集模塊
感應(yīng)器負(fù)責(zé)收集信息
6 圖4-1 工作模式
信息與計(jì)算科學(xué)系課程設(shè)計(jì)報(bào)告
(1) 收集的數(shù)據(jù)內(nèi)容
主機(jī)和網(wǎng)絡(luò)日志文件;目錄和文件中不期望的改變;程序執(zhí)行中的不期望行為;物理形式的入侵信息
(2) 入侵檢測系統(tǒng)的數(shù)據(jù)收集機(jī)制
基于主機(jī)的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集;分布式與集中式數(shù)據(jù)收集機(jī)制;直接監(jiān)控和間接監(jiān)控;外部探測器和內(nèi)部探測器
4.2.2.2 數(shù)據(jù)分析模塊
分析器從許多感應(yīng)器接受信息,并對這些信息進(jìn)行分析以決定是否有入侵行為發(fā)生,就是對從數(shù)據(jù)源提供的系統(tǒng)運(yùn)行狀態(tài)和活動記錄進(jìn)行同步、整理、組織、分類以及各種類型的細(xì)致分析,提取其中包含的系統(tǒng)活動特征或模式,用于對正常和異常行為的判斷
4.2.2.3 入侵響應(yīng)模塊
管理器通常也被稱為用戶控制臺,它以一種可視的方式向用戶提供收集到的各種數(shù)據(jù)及相應(yīng)的分析結(jié)果,用戶可以通過管理器對入侵檢測系統(tǒng)進(jìn)行配置,設(shè)定各種系統(tǒng)的參數(shù),從而對入侵行為進(jìn)行檢測以及相應(yīng)措施進(jìn)行管理。
一個(gè)好的IDS應(yīng)該讓用戶能夠裁剪定制其響應(yīng)機(jī)制,以符合特定的需求環(huán)境。
(1) 主動響應(yīng)
系統(tǒng)自動或以用戶設(shè)置的方式阻斷攻擊過程或以其他方式影響攻擊過程,通常可以選擇的措施有:針對入侵者采取的措施;修正系統(tǒng);收集更詳細(xì)的信息。
(2) 被動響應(yīng)
在被動響應(yīng)系統(tǒng)中,系統(tǒng)只報(bào)告和記錄發(fā)生的事件。
5. 入侵檢測器的部署
對于入侵檢測系統(tǒng)來說,其類型不同,應(yīng)用環(huán)境不同,部署方案也就會有所差別。
5.1在基于網(wǎng)絡(luò)的IDS中部署入侵檢測器
基于網(wǎng)絡(luò)的IDS主要檢測網(wǎng)絡(luò)數(shù)據(jù)報(bào)文,因此一般將檢測器部署在靠近防火墻的地方。具體可安排在下圖中的幾個(gè)位置:
7
信息與計(jì)算科學(xué)系課程設(shè)計(jì)報(bào)告
檢測器(3)(4) 檢測器
(1) 檢測器(2)(4)
圖5-1基于網(wǎng)絡(luò)的IDS中部署入侵檢測器
其中,檢測器可安放的位置: DMZ(DeMilitarized Zone,隔離區(qū))也稱“非軍事化區(qū)”;內(nèi)網(wǎng)主干(防火墻內(nèi)側(cè));外網(wǎng)入口(防火墻外側(cè));在防火墻的內(nèi)外都放置;關(guān)鍵子網(wǎng)
5.2在基于主機(jī)的IDS中部署入侵檢測器
基于主機(jī)的IDS通常是一個(gè)程序,部署在最重要、最需要保護(hù)的主機(jī)上用于保護(hù)關(guān)鍵主機(jī)或服務(wù)器。
6. 入侵檢測系統(tǒng)的發(fā)展方向及評估
6.1 入侵檢測系統(tǒng)
(1)入侵檢測系統(tǒng)的優(yōu)點(diǎn):
提高了信息系統(tǒng)安全體系其他部分的完整性;提高了系統(tǒng)的監(jiān)察能力;可以跟 蹤用戶從進(jìn)入到退出的所有活動或影響;能夠識別并報(bào)告數(shù)據(jù)文件的改動;可以發(fā)現(xiàn)系統(tǒng)配置的錯(cuò)誤,并能在必要時(shí)予以改正;可以識別特定類型的攻擊,并進(jìn)行報(bào)警,作出防御響應(yīng);可以使管理人員最新的版本升級添加到程序中;允許非專業(yè)人員從事系統(tǒng)安全工作;可以為信息系統(tǒng)安全提供指導(dǎo)。
(2) 入侵檢測系統(tǒng)的局限:
8
信息與計(jì)算科學(xué)系課程設(shè)計(jì)報(bào)告
在無人干預(yù)的情形下,無法執(zhí)行對攻擊的檢測;無法感知組織(公司)安策略 的內(nèi)容;不能彌補(bǔ)網(wǎng)絡(luò)協(xié)議的漏洞;不能彌補(bǔ)系統(tǒng)提供信息的質(zhì)量或完整性問題;不能分析網(wǎng)絡(luò)繁忙時(shí)的所有事物;不能總是對數(shù)據(jù)包級的攻擊進(jìn)行處理;
6.2 近年對入侵檢測系統(tǒng)有幾個(gè)主要發(fā)展方向
(1) 分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足。同時(shí)不同的IDS系統(tǒng)之間不能協(xié)同工作能力,為解決這一問題,需要分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。
(2) 應(yīng)用層入侵檢測
許多入侵的語義只有在應(yīng)用層才能理解,而目前的IDS僅能檢測如WEB之類的通用協(xié)議,而不能處理如Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應(yīng)用,需要應(yīng)用層的入侵檢測保護(hù)。
(3) 智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究,但是這只是一些嘗試性的研究工作,需要對智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。
入侵檢測產(chǎn)品仍具有較大的發(fā)展空間,從技術(shù)途徑來講,我們認(rèn)為,除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識別和完整性檢測)外,應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。
參考文獻(xiàn):
[1] 曹元大.入侵檢測技術(shù)[M].第1版.北京:人民郵電出版社,2007.
[2] 何新權(quán).計(jì)算機(jī)等級教程[M].第2012年版.北京:高等教育出版社,1957.
[3] 劉遠(yuǎn)生.網(wǎng)絡(luò)安全實(shí)用教程[M].第2011年版.北京:人民郵電出版社,2011.
[4] 唐正軍.入侵檢測系統(tǒng)技術(shù)導(dǎo)論[M] .北京:機(jī)械工業(yè)出版社,2004.
[5] 宋勁松.網(wǎng)絡(luò)入侵檢測[M] .北京:國防工業(yè)出版社,2004.9。
[6] 劉文濤.網(wǎng)絡(luò)安全開發(fā)包詳解[M] .北京:電子工業(yè)出版社,2005.
[7] 張世斌.網(wǎng)絡(luò)安全技術(shù)[M] .北京:清華大學(xué)出版社,2004.
[8] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M] .北京:電子工業(yè)出版社,2003.
入侵檢測系統(tǒng)是探測計(jì)算機(jī)網(wǎng)絡(luò)攻擊行為的軟件或硬件。它作為防火墻的合理補(bǔ)充,可以幫助網(wǎng)絡(luò)管理員探查進(jìn)入網(wǎng)絡(luò)的入侵行為,從而擴(kuò)展了系統(tǒng)管理員的安全管理能力。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于,IDS一種積極主動的安全防護(hù)技術(shù)。
入侵檢測系統(tǒng)通常包括三個(gè)功能模塊:信息收集模塊、入侵分析模塊和響應(yīng)模塊。
(1)信息收集模塊
入侵檢測的第一步是信息收集。收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。通常需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn),不同網(wǎng)段和不同主機(jī)收集信息, 這除了盡可能擴(kuò)大檢測范圍的因素外。還有一個(gè)重要的因素就是從一個(gè)源來的信息有可能看不出疑點(diǎn),但從幾個(gè)源來的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識。
(2)入侵分析模塊
一般通過模式匹配、統(tǒng)計(jì)分析和完整性分析三種技術(shù)手段對收集到的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息進(jìn)行分析,其中前兩種方法用于實(shí)時(shí)入侵檢測,而完整性分析則用于事后分析。
(3)響應(yīng)模塊
響應(yīng)方式分為主動響應(yīng)和被動響應(yīng)。
被動響應(yīng)型系統(tǒng)只會發(fā)出告警通知,將發(fā)生的不正常情況報(bào)告給管理員,本身并不試圖降低所造成的破壞,更不會主動地對攻擊者采取反擊行動。
主動響應(yīng)系統(tǒng)可以分為對被攻擊系統(tǒng)實(shí)施控制和對攻擊系統(tǒng)實(shí)施控制的系統(tǒng)。
?
?
?
?
?
?
總結(jié)
以上是生活随笔為你收集整理的入侵检测系统,浅析几个著名的入侵检测系统的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: PIL库改变图片大小
- 下一篇: 零售超市pos收银系统多少钱一台