入侵检测技术

Chenun
3,795 阅读19分钟

学习《计算机网络安全》

入侵检测系统基本知识

入侵检测,顾名思义,就是对入侵行为的发现。入侵检测系统(Intrusion DetectionSystem,IDS)就是能够完成入侵检测功能的计算机软硬件系统。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测技术从计算机系统中的若干个节点获取不同信息,然后对数据进行分析,判定是否有违反安全策略的行为,从而对这些行为进行不同级别的告警。如图所示为入侵检测系统的主要工作方式。

image.png

入侵检测是一种能够积极主动地对网络进行保护的方法。由于攻击行为可以从外部网络发起,也可以从内部发起,还包括合法内部人员由于失误操作导致的虚假攻击,入侵检测会对以上三个方面进行分析。 如果发现网络有受到攻击的迹象,那么就会对该行为做出相应的处理。入侵检测技术在监控网络的同时对网络的性能影响不大。可以简单地把入侵检测技术理解为一个有着丰富经验的网络侦查员,任务就是分析系统中的可疑信息,并进行相应的处理。入侵检测系统是一个相对主动的安全部件,可以把入侵检测看成网络防火墙的有效补充。

入侵检测系统的基本部署图。 image.png

入侵检测技术的主要作用体现以下这些方面:

  • 监控、分析用户和系统的活动。
  • 评估关键系统和数据文件的完整性。
  • 识别攻击的活动模式。
  • 对异常活动进行统计分析。
  • 对操作系统进行审计跟踪管理,识别违反政策的用户动作。

入侵检测系统一般不采取预防的措施来防止入侵事件的发生。入侵检测作为安全技术,主要目的有:

  • 识别入侵者;
  • 识别入侵行为;
  • 检测和监视已成功的安全突破;
  • 为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。 从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。

入侵检测系统模型

入侵检测技术模型的发展变化大概可以分成三个阶段,分别是集中式、层次式和集成式阶段。在每个阶段,研究人员都研究出对应的入侵检测模型。其中,研究者在集中式阶段研究出了通用入侵检测模型,在层次式阶段研究出了层次入侵检测模型,在集成式阶段研究出了管理式入侵检测模型。

  1. Denning入侵检测模型 入侵检测模型最早由Dorthy Denning在1987年提出,目前的各种入侵检测技术和体系都是在这个基础上的扩展和细化。Denning提出的模型是一个基于主机的入侵检测模型。首先对主机事件按照一定的规则学习产生用户行为模型,然后将当前的事件和模型进行比较,如果不匹配则认为是异常入侵。

Denning入侵检测模型是一个基于规则的匹配系统。该模型没有包含攻击方法和系统漏洞。它主要由主体、对象、审计记录、活动剖面、异常记录和规则集处理引擎六个部分组成。

Denning入侵检测模型 image.png

  1. 层次式入侵检测模型 层次式入侵模型对收集到的数据进行加工抽象和关联操作,简化了对跨域单机的入侵行为识别。层次化模型将IDS分为六个层次,由低到高分别是数据层、事件层、主体层、上下文层、威胁层和安全状态层。

  2. 管理式入侵检测模型 管理式入侵检测模型英文名称叫作SNMP-IDSM(Simple Network ManagementProtocol-Intrusion Detection Systems Management),它从网络管理的角度出发解决多个IDS协同工作的问题。SNMP-IDSM以SNMP协议为公共语言来实现IDS之间的消息交换和协同检测。

SNMP-IDSM的工作原理。 image.png

入侵检测技术分类

根据各个模块运行分布方式的分类

根据系统各个模块运行的分布不同,可以将入侵检测系统分为如下两类。

(1)集中式入侵检测系统。集中式入侵检测系统的各个模块包括信息的收集和数据的分析以及响应单元都在一台主机上运行,这种方式适用于网络环境比较简单的情况。

(2)分布式入侵检测系统。分布式入侵检测系统是指系统的各个模块分布在网络中不同的计算机和设备上,分布性主要体现在数据收集模块上,如果网络环境比较复杂或数据流量较大,那么数据分析模块也会分布,按照层次性的原则进行组织。

根据检测对象分类

入侵检测的对象,即要检测的数据来源,根据要检测的对象的不同,可将其分为基于主机的IDS和基于网络的IDS。也有人说这种分类是按照入侵检测的数据来源分类。

(1)基于主机的IDS,英文为Host-besed IDS,行业上称之为HDS。这种IDS系统获取数据的来源是主机。它主要是从系统日志、应用程序日志等渠道来获取数据,进行分析后来判断是否有入侵行为,以保护系统主机的安全。

基于主机的入侵检测系统。 image.png

(2)基于网络的IDS,英文为Network-based IDS,行业上称之为NIDS,系统获取数据的来源是网络数据包。它主要是用来监测整个网络中所传输的数据包并进行检测与分析,再加以识别,若发现有可疑情况即入侵行为立即报警,来保护网络中正在运行的各台计算机。

基于网络的入侵检测系统。 image.png

按照所采用的技术进行分类

按照入侵检测系统所采用的技术可以将其分为异常检测、误用检测。

  1. 异常入侵检测系统 异常入侵检测系统是将系统正常行为的信息作为标准,将监控中的活动与正常行为相比较。在异常入侵检测系统中,把所有与正常行为不同的行为都视为异常,而一次异常视为一次入侵。可以人为地建立系统正常的所有行为事件,那么理论上可以把与正常事件不同的所有行为视为可疑事件。事件中的异常阈值及其选择是预测是否为入侵行为的关键。例如,通过对数据流量监控,将异常行为的异常网络流量视为可疑。它的局限性是系统的事件难以描述和计算,不能完全找出异常行为,因为并非所有的入侵都表现为异常。

异常检测原理。 image.png

  1. 误用入侵检测系统 误用入侵检测系统是收集非正常操作的行为,建立相关的攻击特征库,依据所有入侵行为都能够用一种特征来表示,那么所有已知的入侵方法都可以用模式匹配的方法发现。误用入侵检测的关键是如何制订检测规则,把入侵行为与正常行为区分开来。其优点是误报率较低,缺点是漏报较高,因为它只能发现已知的攻击,如果攻击特征稍加变化,那么该系统就无能为力了。

误用检测原理。 image.png

入侵检测系统工作流程

通用的入侵检测的工作流程主要分为以下四步。

第一步:信息收集。信息收集的内容包括系统、网络、数据及用户活动的状态和行为。这一步非常重要,因为入侵检测系统很大程度上依赖于收集信息的可靠性和正确性。

第二步:信息分析,是指对收集到的数据信息进行处理分析。一般通过协议规则分析模式匹配、逻辑分析和完整性分析几种手段和方法来分析。

第三步:信息存储。当入侵检测系统捕获到有攻击发生时,为了便于系统管理人员对攻击信息进行査看和对攻击行为进行分析,还需要将入侵检测系统收集到的信息进行保存,这些数据通常存储到用户指定的日志文件或特定的数据库中。

第四步:攻击响应。对攻击信息进行了分析并确定攻击类型后,入侵检测系统会根据用户的设置,对攻击行为进行相应的处理,如发出警报、给系统管理员发邮件等方式提醒用户。或者利用自动装置直接进行处理,如切断连接、过滤攻击者的IP地址等,从而使系统能够较早地避开或阻断攻击。

典型的入侵检测系统Snort介绍

1998年,Marty Roesch用C语言开发了开放源代码的入侵检测系统Snort。今天,Snort已发展成为一个多平台,具有实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测系统。在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。

Snort的结构。 image.png

Snort的结构由以下四大软件模块组成。

(1)数据包捕获模块:负责监听网络数据包,对网络进行分析。

(2)预处理模块:该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描、IP碎片等,数据包经过预处理后才传到检测引擎。

(3)检测模块:该模块是Snort的核心模块。当数据包从预处理器送过来后,检测引擎依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则匹配,就通知报警模块。

(4)报警/日志模块:经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配,则会触发一条报警。这条报警信息会传送给日志文件,甚至可以将报警传送给第三方插件。另外,报警信息也可以记入SQL数据库。

Snort拥有三大基本功能:嗅探器、数据包记录器和入侵检测。嗅探器模式仅从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式是把数据包记录到硬盘上。网络入侵检测模式是最复杂的,而且是可配置的。可以让Snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。

入侵检测技术存在的问题及发展趋势

  1. 入侵检测技术存在的问题 入侵检测技术存在的问题主要为:IDS对攻击的检测效率和其对自身攻击的防护。

由于现在网络发展迅速,网络传输速率大大加快,这造成了IDS工作的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技术的不完善,IDS的虚警率较高也是一大问题。

  1. 入侵检测技术的发展趋势 入侵检测技术的主要发展方向可以概括为以下几方面。

(1)分布式入侵检测。传统的入侵检测系统一般局限于单一的主机或网络架构,对异构系统及大规模网络的检测明显不足,同时不同的入侵检测系统之间不能协同工作。为此,分布式入侵检测技术是发展方向之一。

(2)应用层入侵检测。目前的入侵检测系统对应用层的入侵检测较少,因此应用层的入侵检测技术是发展方向之一。

(3)智能入侵检测。目前,入侵方法越来越多样化与综合化,速度也越来越快,尽管已经有智能体系、神经网络与遗传算法等方法应用在入侵检测领域,但这些还远远不够,需要对智能化的入侵检测系统进一步研究,以解决其自学习与自适应能力。

(4)与网络安全技术相结合。结合个人防火墙、网络防火墙、漏洞扫描、身份认证等安全技术与入侵检测技术相互联动,提供完整的网络安全保护。

总之,入侵检测系统作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时检测与分析,在网络系统受到危害之前拦截和响应入侵,它是信息系统安全不可或缺的一部分。

入侵防御系统与入侵管理系统

随着计算机网络的飞速发展,网络安全风险系数不断提高,曾经作为最主要安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙有益的补充,入侵检测系统能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全系统的完整性。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。

IDS作为网络安全架构中的重要一环,其重要地位有目共睹。但是IDS的缺点很明确,它只能提供报警,不能实施对攻击的阻断。

随着技术的不断完善和更新,IDS正呈现出新的发展态势,入侵防御系统IPS(Intrusion Prevention System)和入侵管理系统IMS(Intrusion Management System)就是在IDS的基础上发展起来的新技术。

入侵检测技术发展的三个阶段

网络入侵检测技术发展到现在大致经历了三个阶段。

第一阶段:入侵检测系统IDS。IDS能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。但是IDS只能被动地检测攻击行为,而不能主动地把变化莫测的各种攻击阻止在网络之外。

第二阶段:入侵防御系统IPS。相对于IDS比较成熟的技术,IPS还处于发展阶段。IPS综合了防火墙、IDS、漏洞扫描与评估等安全技术,可以主动、积极地防范、阻止入侵。它部署在网络的进出口处,当检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断,这样攻击包将无法到达目标,从而可以从根本上避免攻击。

第三阶段:入侵管理系统IMS。IMS技术实际上包含了IDS、IPS的功能,并通过一个统一的平台进行统一管理,从系统的层次来解决各种入侵行为,对系统进行保护。

入侵防御系统IPS

入侵防御系统IPS是一种计算机网络安全设施,是对防病毒软件、防火墙、身份认证等安全机制的有效补充。入侵防御系统IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时地中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。

绝大多数IDS系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报,并且IDS一般都是并联在网络当中的。有时当IDS发出警报时,攻击已经发生了,所以IDS不能实时阻止攻击的发生。

IPS是串联在网络当中的。它更倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除。

IPS的部署示意图。 image.png

如下IPS系统工作原理图。它对每个网络数据包进行检查过滤,在发现攻击时会自己阻止攻击的发生。

IPS工作原理图 image.png

IPS技术需要面对很多挑战,其中主要有三点:一是单点故障,二是性能瓶颈,三是误报和漏报。设计要求IPS必须以嵌入模式工作在网络中,这就可能造成瓶颈问题或单点故障。如果IDS出现故障,最坏的情况也就是造成某些攻击无法被检测到,而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转。如果IPS出现故障而关闭,用户就会面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。

入侵管理系统IMS

入侵管理系统IMS技术实际上包含了IDS、IPS的功能,并通过一个统一的平台进行统一管理,从系统的层次来解决入侵行为。IMS技术是一个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。

IMS具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征,这些特征本身具有一个明确的层次关系。

第一,大规模部署是实施入侵管理的基础条件,一个有组织的完整系统通过大规模部署的作用,要远远大于单点系统简单的叠加。IMS对于网络安全监控有着同样的效用,可以实现从宏观的安全趋势分析到微观的事件控制。

第二,入侵预警。检测和预警的最终目标就是一个字“快”,要和攻击者抢时间。只有减小时间差,才能使损失降低到最小。要实现这个“快”字,入侵预警必须具有全面的检测途径,并以先进的检测技术来实现高准确和高性能。入侵预警是IMS进行规模部署后的直接作用,也是升华IMS的一个非常重要的功能。

第三,精确定位。入侵预警之后就需要进行精确定位,这是从发现问题到解决问题的必然途径。精确定位的可视化可以帮助管理人员及时定位问题区域,良好的定位还可以通过关联其他安全设备,进行合作抑制攻击的继续发生。IMS要求做到对外定位到边界,对内定位到设备。

第四,监管结合。监管结合就是把检测提升到管理,形成自改善的全面保障体系。监管结合最重要的是落实到对资产安全管理,通过IMS可以实现对资产风险的评估和管理。监管结合要通过人来实现,但并不意味着大量的人力投入。IMS具备良好的集中管理手段来保证人员的高效,同时具备全面的知识库和培训服务,能够有效提高管理人员的知识和经验,保证应急体系的高效运行。

avatar
文章
阅读
粉丝