google Android centos 开源 java php Windows nginx Ubuntu shell apache 编程 wordpress 云计算 程序员 mysql linux Python Firefox 微软

入侵檢測概念理論

入侵檢測

入侵檢測系統(intrusion detection system)是一種自動檢查審計日誌與實時系統時間的產品。IDS主要用於檢測入侵企圖,但是也可以部署用於檢測系統故障或評價系統總體性能。IDS監測著違反機密性、完整性和可用性的行為。IDS的目標是提供入侵行為的行為人責任,並且能夠在短時間內對入侵做出準確的響應。IDS識別的攻擊可能來自外部連接(如Internet或合作夥伴的網絡)、病毒、惡意代碼、可信內部主體的未授權活動企圖、來自可信地址的未授權訪問企圖。IDS被視為一種技術檢測安全控制形式。

IDS能夠主動件事可疑活動、仔細查看審計日誌,並且在發現特定時間時向系統管理員發送警報。IDS還能夠鎖定重要的系統文件或操作能力,跟蹤有組織的入侵企圖,指出脆弱性,確定入侵的發源點,追蹤到違規者的邏輯或物理位置。此外,IDS也可疑終止或中斷攻擊或入侵企圖,並且能夠通過重新配置路由器和防火墻來阻止已發現攻擊的重復攻擊。通過在屏幕上顯示會播放聲音的通知(最常見的方式)、發送電子郵件通知、發送警報短信或者日誌文件中記錄相應信息,就可以發送或通知IDS警報。

如下所示,IDS的響應可以是主動的、被動的或者混合的:

主動響應 直接影響網絡通信或主機應用程序的惡意活動。

被動響應 並不影響惡意活動,但是記錄問題的相關信息並通知管理員。

混合響應 停止不希望的活動,記錄時間的相關信息,甚至可能通知管理員。

通常,IDS用來檢測來自可信網絡內外的未授權或惡意活動。IDS阻止當前攻擊或預防未來攻擊的能力是有限的。一般而言,IDS可疑抵禦攻擊的響應方式包括封鎖端口、封鎖源地址以及禁用特定線路段的所用通信。一旦發現異常的通信(例如欺騙的通信數據)或者違反其安全策略、過濾器、規則的情況,IDSjiuhui在日誌中記錄問題的細節,隨後刪除或丟棄相關的的數據包。

IDS應當被作為設施完善的安全工作中的一個獨立組件來保護網絡安全。IDS與防火墻是互補的安全工具。此外,其他安全控制(例如物理限制和邏輯性訪問控制)也是必不可少的組件(有關這些控制的討論,請參見第1章)。

入侵預防要求對整個系統安全進行適當的維護,例如應用補丁程序和設置安全控制。入侵預防還涉及通過建立防護對IDS發信的入侵做出響應,從而阻止相同的攻擊在未來重復發生。做到入侵預防可以像更新軟件或重新配置訪問空盒子一樣簡單,也可以像重新配置防火墻、刪除或更換應用程序或服務、重新設計整個網絡一樣做到有力度。

檢測到入侵行為時,最初的響應是抑制入侵。入侵抑制能夠防止對其他相同造成更多的破壞,但是也可能允許已受危害的相同仍被繼續侵擾。稍後,一旦從頭開始重構已受危害的系統,必須確保在重新連接網絡與重構相同之前復核其是否遵循安全策略,包括檢查ACL、服務配置與用戶帳戶設置。我們應當認識到:如果重新創建系統,那麽以前的系統和任何入侵痕跡都不再保留。

警告: 主動反擊入侵者或者主動嘗試反黑客攻擊入侵者的計算機相同被視為是缺乏職業道德的和冒險的行為。此時,我們應當依賴於日誌記錄能力和糗聞收集工作,從而為起訴罪犯或只是響應改善系統環境安全性提供足夠多的數據。

IDS類型與分類為每個系統定義了職責範圍與功能角色。在為IDS定義的各種類型與分類中存在足夠的互補元素,通過組合使用兩個或多個IDS系統就能夠再網絡中實現一個共同的目標。

入侵檢測--主機型與網絡型IDS

IDS類型一般根據信息來源進行分類。目前主要有兩類IDS:主機型與網絡型。主機型(host-based)IDS監視單個計算機系統霍桑的可疑活動,網絡型(network-based)則監視再網絡介質上進行的可疑活動。

1. 主機型IDS

因為主機型IDS主要關註單個計算機(而網絡型IDS必須監控整個網絡上的活動),所以它比網絡型IDS檢測到的事件信息更詳細。主機型的IDS能夠準確的發現危及系統安全的或者惡意用戶執行未授權活動所用的文件和進程。

主機型IDS能夠檢測到網絡型IDS不能發現的異常活動。不過,主機型IDS無法檢測到只針對網絡的攻擊或其他系統上的攻擊。因為主機型IDS被安裝在受監控的計算機上,所以攻擊者能夠發現IDS軟件並使之失去作用,或者通過操縱IDS軟件來隱藏攻擊者的痕跡。主機型IDS在檢測和跟蹤到拒絕服務(denial-of-sevice,DoS)攻擊方面(尤其是帶寬占用狀況)有一些困難。主機型IDS也會消耗來自受監控計算機的資源,因此降低了系統的性能。主機系統和應用程序的審計性能會對主機型IDS形成限制。

主機型IDS的管理成本遠遠高於網絡型IDS。主機型IDS需要在受監控的每臺服務器上進行安裝,並且需要在管理方面關註每個安裝點;網絡型IDS通常只需要單個安裝點。主機型IDS還具有其他弱點,例如可能導致主機系統的性能顯著下降、更能容易被入侵者發現或禁用。

2. 網絡型IDS

網絡型IDS通過捕獲和評估網絡數據包來檢測攻擊或異常事件。如果被安裝在網絡主幹上(大多數網絡數據流經的地方),單個網絡型IDS就能夠監控一個大型網絡。某些版本的網絡型IDS使用遠程代理收集來自不同子網的數據,並且向中央管理控制平臺報告。網絡型IDS被安裝在具有唯一用途的計算機之中,這使得它們在對抗攻擊時更有力度,減少了IDS的脆弱性,並且允許IDS在秘密行動模式下運行。在秘密行動模式中,IDS對於網絡來說是不可見的,入侵者只有知道了IDS的準確位置與系統的表示才能夠發現它。網絡型IDSdui整個網絡的性能幾乎沒有負面影響,這是因為它古樹在具有唯一用途的系統中,所以不會對其他計算機的性能插上任何不利影響。

在通信量非常大的網絡上,網絡型IDS無法及時分析數據流,這可能會導致IDS無法檢測到高數據流量情況下發生的攻擊。網絡型IDS通常在交換網絡中收效甚微,在路由器沒有監控端口的情況下,尤其如此。網絡型IDS被用於監控數據流的內容是否在網絡介質的傳輸過程中被加密。網絡型IDS通常能夠檢測到攻擊的發起或持續不斷的攻擊企圖(包括DOS),但是卻無法提供攻擊是否成功的信息或者哪些特定系統、用戶帳戶、文件或應用程序受到影響的相關信息。

很多情況下,通過執行逆向地址解析協議(Reverse Address Resolution Protocol,RARP)或域名系統(Domain Name System, DNS)查找,網絡型IDS能夠提供有限的功能來發現攻擊的來源。然而,因為絕大多數攻擊由通過欺騙偽裝身份的惡意攻擊者發起,所以這種方式並非總是可靠的。

IDS應當被視為唯一不變的安全解決方案。對於整個環境來說,IDS只是全面安全解決方案的一部分。盡管IDS能夠提供許多有點,但是也需要考慮到它的一些不足之處。如果主機系統工作時間過長並且為IDS進程分配的執行時間不足,那麽主機型DISC就無法查看所有細節。如果網絡流量過高並且IDS無法及時有效的處理數據包,那麽網絡型IDS也會遇到相同的問題。此外,網絡型IDS還無法查看被加密數據的內容。如果沒有被放置在鏡像端口(mirrored port,也就是一個專門配置為將所有數據發送至IDS的端口),由於無法查看所有網絡數據,因此在交換網絡中,網絡型IDS並不是一種有效的網絡範圍解決方案。IDS最開始可能會產生許多錯誤的警報,它需要在持續的基礎上才能進行有效的管理。

提示:交換網絡往往能夠預防糗聞器的攻擊,在IDS與交換機相連時,如果沒有配置交換機鏡像所有通信數據,那麽IDS只能訪問很少一部分網絡通信數據。不過許多攻擊類型(例如MAC或arp洪泛攻擊)能夠使交換機默認進入hub模式,從而使攻擊者具有訪問所有數據的權限(同時也會顯著降低網絡的效率與吞吐量)。

入侵檢測--知識型與行為型檢測、

 

IDS可以通過兩種常用的方法來檢測惡意的事件,其中一種方法使使用知識型檢測(knowledge-based detecton),這種方法也被稱為特征型檢測(singneture-based detecton)或者模式匹配檢測(pattern-matching detecton)。基本上,IDS會使用一個特征數據庫,並且嘗試匹配所有被監控的事件與數據庫內容。如果時間按匹配pipeiinamIDS就認定攻擊正在進行(或已經發生)。IDS供應商通過分析和檢查不同系統上的多種入侵事件繪制了一張可疑事件表格,其結果使常見攻擊方法或行為的描述或特征(signatrure)。IDS使用的知識型檢測功能與許多反病毒應用程序幾乎完全相同。

知識型IDS的主要缺點使只對已知的攻擊方法有效。知識型IDS無法識別新的攻擊或者已知攻擊的細微變化形式,這意味者知識型IDS缺少學習模型,也就是說在無法識別新攻擊模式的發生。因此,這種IDS類型只有在特征文件正確和最新的時候才會有作用。保持特征文件始終使最新的,這是維持知識型IDS性能最佳的一個重要方面。

第二中間的類型是行為型檢測,也被稱為統計入侵檢測(statistical intrusion detection)、異常檢測(anomaly detecton)或啟發型檢測(heuristice-based detection)。基本上,行為型檢測通過監視和學習來找出系統上正常活動和事件的相關信息。IDS就能起到像人類專家一樣的作用。為行為型IDS提供的與正常行為和事件有關的信息越多,它對異常事件檢測的精確度就越高。

行為型IDS的主要缺點使會生成許多錯誤的警報。用戶和系統活動的著呢剛才模式能夠在很大範圍內變化,因此定義正常的或可接受的活動十分困難。安全檢測系統產生的虛假警報越多,安全系統管理人員越不可能予以足夠的關註,正如寓言故事中那個總喊“狼來了”的男孩一樣。隨著時間的推移,IDS會變得更為有效和準確,但是學習的過程血藥花費相當長的時間。使用已知行為、活動統計數據以及針對先前事件對當前事件進行啟發式評估,行為型IDS就能夠檢測到為預見到的、新的、未知的漏洞(Vulnerability)、攻擊和入侵方法。

盡管知識型和行為型檢測方法有所差別,但兩者都使用了警報信號系統。當識別或檢測初入侵的時候,就會觸發警報。警報系統能通過電子郵件或彈出消息來通知系統管理員,或者通過執行腳本來發送ingbao消息。處理給系統管理員發出通知之外,警報系統還能把警報消息記錄到日誌與審計文件中,並且還生成違規報告,違規報告詳細說明了檢測到的入侵行為和發現的漏洞。

入侵檢測--與IDS相關的工具

 

入侵檢測系統通常與其他一些組件一起使用。這些與IDS相關的工具擴展了IDS的用途和能力,並且是IDS更加有效和減少誤報。這些攻擊包括蜜罐、填充單元和脆弱性掃描程序,接下來我們會逐一進行介紹。

2.3.1 理解“蜜罐”

蜜罐(honey pot)是專門穿件的單臺計算機或整個網絡,能夠作為誘捕入侵者的陷阱。蜜罐看上去像是一個合法的網絡,但它們完全是偽造的。通過包含沒有安裝補丁和沒有進行安全包含的脆弱性,並且駐留有吸引力的、誘人的但卻是偽造的數據,蜜罐能夠引誘入侵者。蜜罐被設計用於吸引入侵者的註意力,並引導它們進入已受到限制的地點,從而讓它們原理合法的網絡和機密的資源。合法的用戶不會進入蜜罐,蜜罐系統匯總不存在真是的數據或有用的資源。英雌,檢測到對蜜罐的訪問時,訪問往往可能來自未經授權的入侵者。部署蜜罐能夠使入侵者登陸陷阱網絡並有足夠長的時間執行惡意的活動,目的是為了讓自動化的IDS檢測到入侵並盡可能多的收集入侵者的相關信息。蜜罐吸引入侵者註意力的事件越長,系統管理員就會有更多的時間來調查研究攻擊,並且可能識別初入侵者的身份。

註意:蜜網(honey net)是兩個或多個互連的蜜罐,這些蜜罐協調使用,從而監控或重建更大的、更多樣的網絡結構。在某些時候,蜜網能夠對入侵檢測系統產生促進作用。

蜜罐的使用引出來有關引誘(enticement)和誘捕(entrapment)問題的討論。如果入侵者不是在蜜罐所有者對外公開時發現蜜罐,那麽蜜罐就可疑作為合法的引誘設備使用。在Internet上放置一個安全脆弱性開放的系統並用抑制的方法激活服務就是引誘。提夠了從事非法或未授權活動的機會但是犯罪者自己決定是否執行活動,這就稱為引誘。當蜜罐的所有者積極的唆使訪問者訪問蜜罐所在站點,然後控訴訪問者的未授權入侵,這就是非法的誘捕。換句話說,當你哄騙或慫恿犯罪者執行非法的或未經授權的活動時,就應該考慮到這是誘捕。

2.3.2 理解填充單元

填充單元(padded cell)系統與蜜罐類似,但它使用不同的方式來隔離入侵。當入侵者被IDS檢測到的時候,入侵者被自動的轉移到一個填充單元。填充單元具有實際網絡的結構和布局,但是在填充單元裏,入侵者既不能執行任何惡意的活動,也不能訪問任何機密數據。

填充單元是一個模擬環境,通過提供偽造數據來提供偽造數據來吸引入侵者的興趣。將入侵者轉移到填充單元時,並不會告知如騎著環境已經發生變化。與蜜罐一樣,填充單元系統被嚴密監控,並且被系統管理員用於為進行跟蹤和可能發生的訴訟收集證據。

2.3.3 理解漏洞掃描程序

漏洞掃描程序(Vulnerability scanner)是另外一種與IDS有關的攻擊。脆弱性掃描程序用於測試系統中已知的安全脆弱性和弱點,並且能夠生成報告,報告中指出系統中血藥設法改善安全性的區域或方面。報告中可以建議應用補丁程序、通過特定配置或更改安全設置來改善或加強安全性。

只有在其安全問題數據庫起作用的時候,脆弱性掃描程序才會有作用。因此,供應商必須經常更新安全問題數據庫,從而提供有用的、與特定系統有關的審計信息。配合使用脆弱性掃描程序與IDS,可以幫助減少IDS的誤報,並且是整體入侵或安全違規的總數維持在最小限度。通過快速和經常修補被發現的脆弱性,系統能夠提供一個更加安全的環境。

入侵防禦系統(intrusion prevention Systems,IPS)是IDS概念的延伸,這種系統設法主動阻止出現的未授權連接企圖或非法通信模式。對應於IDS,IPS被設計為相同的類型(主機型和網絡型)和分類(行為型和特征型),並且二者經常被一起部署在整個網絡範圍內。此外血多IPS平臺能夠通過解析高級的應用程序來查找惡意的載荷

延伸阅读

    评论