IDS入侵檢測基礎知識

什么是入侵監測

　　入侵監測系統處于防火墻之后對網(wǎng)絡(luò )活動(dòng)進(jìn)行實(shí)時(shí)檢測。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò )活動(dòng)，所以入侵監測系統是防火墻的延續。它們可以和你的防火墻和路由器配合工作。例如，你的IDS可以重新配置來(lái)禁止從防火墻外部進(jìn)入的惡意流量。你應當理解入侵監測系統是獨立于防火墻工作的。

　　入侵監測系統IDS與系統掃描器system scanner不同。系統掃描器是根據攻擊特征數據庫來(lái)掃描系統漏洞的，它更關(guān)注配置上的漏洞而不是當前進(jìn)出你的主機的流量。在遭受攻擊的主機上，即使正在運行著(zhù)掃描程序，也無(wú)法識別這種攻擊。

　　IDS掃描當前網(wǎng)絡(luò )的活動(dòng)，監視和記錄網(wǎng)絡(luò )的流量，根據定義好的規則來(lái)過(guò)濾從主機網(wǎng)卡到網(wǎng)線(xiàn)上的流量，提供實(shí)時(shí)報警。網(wǎng)絡(luò )掃描器檢測主機上先前設置的漏洞，而IDS監視和記錄網(wǎng)絡(luò )流量。如果在同一臺主機上運行IDS和掃描器的話(huà)，配置合理的IDS會(huì )發(fā)出許多報警。

入侵監測的功能

　　大多數的IDS程序可以提供關(guān)于網(wǎng)絡(luò )流量非常詳盡的分析。它們可以監視任何定義好的流量。大多數的程序對FTP，HTTP和Telnet流量都有缺省的設置，還有其它的流量像NetBus，本地和遠程登錄失敗等等。你也可以自己定制策略。下面討論一些更常見(jiàn)的檢測技巧。

入侵監測系統的必要性

　　防火墻看起來(lái)好像可以滿(mǎn)足系統管理員的一切需求。然而，隨著(zhù)基于雇員的攻擊行為和產(chǎn)品自身問(wèn)題的增多，IDS由于能夠在防火墻內部監測非法的活動(dòng)正變得越來(lái)越必要。新的技術(shù)同樣給防火墻帶來(lái)了嚴重的威脅。

　　例如，VPN可穿透防火墻，所以需要IDS在防火墻后提供安全保障。雖然VPN本身很安全，但有可能通過(guò)VPN進(jìn)行通信的其中一方被root kit或NetBus所控制，而這種破壞行為是防火墻無(wú)法抵御的?；谝陨蟽牲c(diǎn)原因，IDS已經(jīng)成為安全策略的重要組成部分。

　　我們還需要注意的是，攻擊者可以實(shí)施攻擊使IDS過(guò)載，其結果可能是IDS系統成為拒絕服務(wù)攻擊的參與者。而且，攻擊者會(huì )盡量調整攻擊手法，從而使IDS無(wú)法追蹤網(wǎng)絡(luò )上的活動(dòng)。

入侵監測系統的構架

　　有兩種構架的IDS可供選擇，每種都有它的適用環(huán)境。雖然主機級的IDS具有更強的功能而且可以提供更詳盡的信息，但它并不總是最佳選擇。

優(yōu)點(diǎn)和缺點(diǎn)

　　這種入侵監測系統很容易安裝和實(shí)施；通常只需要將程序在主機上安裝一次。網(wǎng)絡(luò )級的IDS尤其適合阻止掃描和拒絕服務(wù)攻擊。但是，這種IDS構架在交換和ATM環(huán)境下工作得不好。而且，它對處理升級非法賬號，破壞策略和篡改日志也并不特別有效。在掃描大型網(wǎng)絡(luò )時(shí)會(huì )使主機的性能急劇下降。所以，對于大型、復雜的網(wǎng)絡(luò )，你需要主機級的IDS。

特殊的考慮

　　每種IDS廠(chǎng)商對他們的產(chǎn)品都有特殊的考慮。通常這些考慮是針對操作系統的特殊設置的。例如，許多廠(chǎng)商要求你將代理安裝在使用靜態(tài)IP地址的主機上。因此，你也許需要配置DHCP和WINS服務(wù)器來(lái)配合管理者。這種特殊的考慮在一定程度上解釋了為什么大多數IDS程序用一個(gè)管理者來(lái)管理數臺主機。另外，安裝管理者會(huì )降低系統的性能。而且，在同一網(wǎng)段中安裝過(guò)多的管理者會(huì )占用過(guò)多的帶寬。

　　另外，許多IDS產(chǎn)品在快于10MB的網(wǎng)絡(luò )中工作起來(lái)會(huì )有問(wèn)題。通常IDS的廠(chǎng)商要求你不要將管理者安裝在使用NFS或NFS+的UNIX操作系統上，因為這種文件系統允許遠程訪(fǎng)問(wèn)，管理者會(huì )使它們缺乏穩定和不安全。

　　除非特殊情況，你不應將IDS的管理者安裝在裝了雙網(wǎng)卡或多網(wǎng)卡的用做路由器的主機上，或者安裝在防火墻上。例如，Windows NT PDC或BDC也不是安裝大多數IDS管理者的理想系統，不僅因為管理者會(huì )影響登錄，而且PDC或BDC所必須的服務(wù)會(huì )產(chǎn)生trap door和系統錯誤。 　常用檢測方法

　　入侵檢測系統常用的檢測方法有特征檢測、統計檢測與專(zhuān)家系統。據公安部計算機信息系統安全產(chǎn)品質(zhì)量監督檢驗中心的報告，國內送檢的入侵檢測產(chǎn)品中95％是屬于使用入侵模板進(jìn)行模式匹配的特征檢測產(chǎn)品，其他5％是采用概率統計的統計檢測產(chǎn)品與基于日志的專(zhuān)家知識庫系產(chǎn)品。

特征檢測

　　特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時(shí)，即報警。原理上與專(zhuān)家系統相仿。其檢測方法上與計算機病毒的檢測方式類(lèi)似。目前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高，但對于無(wú)經(jīng)驗知識的入侵與攻擊行為無(wú)能為力。

統計檢測

　　統計模型常用異常檢測，在統計模型中常用的測量參數包括：審計事件的數量、間隔時(shí)間、資源消耗情況等。常用的入侵檢測5種統計模型為：

　　1、操作模型，該模型假設異?？赏ㄟ^(guò)測量結果與一些固定指標相比較得到，固定指標可以根據經(jīng)驗值或一段時(shí)間內的統計平均得到，舉例來(lái)說(shuō)，在短時(shí)間內的多次失敗的登錄很有可能是口令嘗試攻擊；

　　2、方差，計算參數的方差，設定其置信區間，當測量值超過(guò)置信區間的范圍時(shí)表明有可能是異常；

　　3、多元模型，操作模型的擴展，通過(guò)同時(shí)分析多個(gè)參數實(shí)現檢測；

　　4、馬爾柯夫過(guò)程模型，將每種類(lèi)型的事件定義為系統狀態(tài)，用狀態(tài)轉移矩陣來(lái)表示狀態(tài)的變化，當一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉移的概率較小則可能是異常事件；

　　5、時(shí)間序列分析，將事件計數與資源耗用根據時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。

　　統計方法的最大優(yōu)點(diǎn)是它可以“學(xué)習”用戶(hù)的使用習慣，從而具有較高檢出率與可用性。但是它的“學(xué)習”能力也給入侵者以機會(huì )通過(guò)逐步“訓練”使入侵事件符合正常操作的統計規律，從而透過(guò)入侵檢測系統。 入侵檢測產(chǎn)品選擇要點(diǎn)

　　當您選擇入侵檢測系統時(shí)，要考慮的要點(diǎn)有：

　　1. 系統的價(jià)格

　　當然，價(jià)格是必需考慮的要點(diǎn)，不過(guò)，性能價(jià)格比、以及要保護系統的價(jià)值可是更重要的因素。

　　2. 特征庫升級與維護的費用

　　象反病毒軟件一樣，入侵檢測的特征庫需要不斷更新才能檢測出新出現的攻擊方法。

　　3. 對于網(wǎng)絡(luò )入侵檢測系統，最大可處理流量(包/秒 PPS)是多少

　　首先，要分析網(wǎng)絡(luò )入侵檢測系統所布署的網(wǎng)絡(luò )環(huán)境，如果在512K或2M專(zhuān)線(xiàn)上布署網(wǎng)絡(luò )入侵檢測系統，則不需要高速的入侵檢測引擎，而在負荷較高的環(huán)境中，性能是一個(gè)非常重要的指標。

　　4. 該產(chǎn)品容易被躲避嗎

　　有些常用的躲開(kāi)入侵檢測的方法，如：分片、TTL欺騙、異常TCP分段、慢掃描、協(xié)同攻擊等。

　　5. 產(chǎn)品的可伸縮性

　　系統支持的傳感器數目、最大數據庫大小、傳感器與控制臺之間通信帶寬和對審計日志溢出的處理。

　　6. 運行與維護系統的開(kāi)銷(xiāo)

　　產(chǎn)品報表結構、處理誤報的方便程度、事件與事志查詢(xún)的方便程度以及使用該系統所需的技術(shù)人員數量。

　　7. 產(chǎn)品支持的入侵特征數

　　不同廠(chǎng)商對檢測特征庫大小的計算方法都不一樣，所以不能偏聽(tīng)一面之辭。

　　8. 產(chǎn)品有哪些響應方法

　　要從本地、遠程等多個(gè)角度考察。自動(dòng)更改防火墻配置是一個(gè)聽(tīng)上去很“酷”的功能，但是，自動(dòng)配置防火墻可是一個(gè)極為危險的舉動(dòng)。

　　9. 是否通過(guò)了國家權威機構的評測

　　主要的權威測評機構有：國家信息安全測評認證中心、公安部計算機信息系統安全產(chǎn)品質(zhì)量監督檢驗中心。

入侵檢測技術(shù)發(fā)展方向

　　無(wú)論從規模與方法上入侵技術(shù)近年來(lái)都發(fā)生了變化。入侵的手段與技術(shù)也有了“進(jìn)步與發(fā)展”。入侵技術(shù)的發(fā)展與演化主要反映在下列幾個(gè)方面：

　　入侵或攻擊的綜合化與復雜化。入侵的手段有多種，入侵者往往采取一種攻擊手段。由于網(wǎng)絡(luò )防范技術(shù)的多重化，攻擊的難度增加，使得入侵者在實(shí)施入侵或攻擊時(shí)往往同時(shí)采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實(shí)施的初期掩蓋攻擊或入侵的真實(shí)目的。

　　入侵主體對象的間接化，即實(shí)施入侵與攻擊的主體的隱蔽化。通過(guò)一定的技術(shù)，可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術(shù)后，對于被攻擊對象攻擊的主體是無(wú)法直接確定的。

　　入侵或攻擊的規模擴大。對于網(wǎng)絡(luò )的入侵與攻擊，在其初期往往是針對于某公司或一個(gè)網(wǎng)站，其攻擊的目的可能為某些網(wǎng)絡(luò )技術(shù)愛(ài)好者的獵奇行為，也不排除商業(yè)的盜竊與破壞行為。由于戰爭對電子技術(shù)與網(wǎng)絡(luò )技術(shù)的依賴(lài)性越來(lái)越大，隨之產(chǎn)生、發(fā)展、逐步升級到電子戰與信息戰。對于信息戰，無(wú)論其規模與技術(shù)都與一般意義上的計算機網(wǎng)絡(luò )的入侵與攻擊都不可相提并論。信息戰的成敗與國家主干通信網(wǎng)絡(luò )的安全是與任何主權國家領(lǐng)土安全一樣的國家安全。

　　入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機執行。由于防范技術(shù)的發(fā)展使得此類(lèi)行為不能奏效。所謂的分布式拒絕服務(wù)（DDoS）在很短時(shí)間內可造成被攻擊主機的癱瘓。且此類(lèi)分布式攻擊的單機信息模式與正常通信無(wú)差異，所以往往在攻擊發(fā)動(dòng)的初期不易被確認。分布式攻擊是近期最常用的攻擊手段。

　　攻擊對象的轉移。入侵與攻擊常以網(wǎng)絡(luò )為侵犯的主體，但近期來(lái)的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)絡(luò )改為攻擊網(wǎng)絡(luò )的防護系統，且有愈演愈烈的趨勢?，F已有專(zhuān)門(mén)針對IDS作攻擊的報道。攻擊者詳細地分析了IDS的審計方式、特征描述、通信模式找出IDS的弱點(diǎn)，然后加以攻擊。

　　今后的入侵檢測技術(shù)大致可朝下述三個(gè)方向發(fā)展。