入侵檢測設備有哪些
⑴ 入侵檢測系統可以分為哪幾類
分為兩類:
1、信息來源一類:基於主機IDS和基於網路的IDS。
2、檢測方法一類:異常入侵檢測和誤用入侵檢測。
入侵檢測系統(intrusion detection system,簡稱「IDS」)是一種對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於,IDS是一種積極主動的安全防護技術。
IDS最早出現在1980年4月。 1980年代中期,IDS逐漸發展成為入侵檢測專家系統(IDES)。 1990年,IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前,IDS發展迅速,已有人宣稱IDS可以完全取代防火牆。
(1)入侵檢測設備有哪些擴展閱讀:
對IDS的要求:
IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里,"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中,已經很難找到以前的HUB式的共享介質沖突域的網路,絕大部分的網路區域都已經全面升級到交換式的網路結構。
因此,IDS在交換式網路中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。這些位置通常是:伺服器區域的交換機上;Internet接入路由器之後的第一台交換機上;重點保護網段的區域網交換機上。由於入侵檢測系統的市場在近幾年中飛速發展,許多公司投入到這一領域上來。
⑵ 什麼是入侵檢測
入侵檢測(Intrusion Detection)是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現:監視、分析用戶及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式並向相關人士報警;異常行為模式的統計分析;評估重要系統和數據文件的完整性;操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為。 入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。
入侵檢測技術
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術。進行入侵檢測的軟體與硬體的組合便是入侵檢測系統
入侵檢測技術的分類:
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
1 .特徵檢測:
特徵檢測 (Signature-based detection) 又稱 Misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。
2 .異常檢測:
異常檢測 (Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。
入侵檢測系統的工作步驟
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程序、文件和硬體設備等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連接、記錄事件和報警等。
信息收集
入侵檢測的第一步是信息收集,內容包括系統、網路、數據及用戶活動的狀態和行為。而且,需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息,這除了盡可能擴大檢測范圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然,入侵檢測很大程度上依賴於收集信息的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息,例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣,而實際上不是。例如,unix系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同於指定文件的文件(黑客隱藏了初試文件並用另一版本代替)。這需要保證用來檢測網路系統的軟體的完整性,特別是入侵檢測系統軟體本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息。
1.系統和網路日誌文件
黑客經常在系統日誌文件中留下他們的蹤跡,因此,充分利用系統和網路日誌文件信息是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日誌文件,能夠發現成功的入侵或入侵企圖,並很快地啟動相應的應急響應程序。日誌文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄「用戶活動」類型的日誌,就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地,對用戶活動來講,不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網路環境中的文件系統包含很多軟體和數據文件,包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變(包括修改、創建和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件,同時為了隱藏系統中他們的表現及活動痕跡,都會盡力去替換系統程序或修改系統日誌文件。
3.程序執行中的不期望行為
網路系統上的程序執行一般包括操作系統、網路服務、用戶起動的程序和特定目的的應用,例如資料庫伺服器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同許可權的環境中,這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程,以及與網路間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解,從而導致它失敗,或者是以非用戶或管理員意圖的方式操作。
4. 物理形式的入侵信息
這包括兩個方面的內容,一是未授權的對網路硬體連接;二是對物理資源的未授權訪問。黑客會想方設法去突破網路的周邊防衛,如果他們能夠在物理上訪問內部網,就能安裝他們自己的設備和軟體。依此,黑客就可以知道網上的由用戶加上去的不安全(未授權)設備,然後利用這些設備訪問網路。例如,用戶在家裡可能安裝Modem以訪問遠程辦公室,與此同時黑客正在利用自動工具來識別在公共電話線上的Modem,如果一撥號訪問流量經過了這些自動工具,那麼這一撥號訪問就成為了威脅網路安全的後門。黑客就會利用這個後門來訪問內部網,從而越過了內部網路原有的防護措施,然後捕獲網路流量,進而攻擊其它系統,並偷取敏感的私有信息等等。
信號分析
對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配,統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測,而完整性分析則用於事後分析。
1. 模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字元串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得許可權)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火牆採用的方法一樣,檢測准確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
2.統計分析
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網路、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。例如,統計分析可能標識一個不正常行為,因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法,目前正處於研究熱點和迅速發展之中。
3.完整性分析
完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用於實時響應。盡管如此,完整性檢測方法還應該是網路安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模塊,對網路系統進行全面地掃描檢查。
入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司(國際互聯網安全系統公司)的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,從而最大程度地為企業網路提供安全。
入侵檢測功能
·監督並分析用戶和系統的活動
·檢查系統配置和漏洞
·檢查關鍵系統和數據文件的完整性
·識別代表已知攻擊的活動模式
·對反常行為模式的統計分析
·對操作系統的校驗管理,判斷是否有破壞安全的用戶活動。
·入侵檢測系統和漏洞評估工具的優點在於:
·提高了信息安全體系其它部分的完整性
·提高了系統的監察能力
·跟蹤用戶從進入到退出的所有活動或影響
·識別並報告數據文件的改動
·發現系統配置的錯誤,必要時予以更正
·識別特定類型的攻擊,並向相應人員報警,以作出防禦反應
·可使系統管理人員最新的版本升級添加到程序中
·允許非專家人員從事系統安全工作
·為信息安全策略的創建提供指導
·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望:這些產品並不是無所不能的,它們無法彌補力量薄弱的識別和確認機制
·在無人干預的情況下,無法執行對攻擊的檢查
·無法感知公司安全策略的內容
·不能彌補網路協議的漏洞
·不能彌補由於系統提供信息的質量或完整性的問題
·它們不能分析網路繁忙時所有事務
·它們不能總是對數據包級的攻擊進行處理
·它們不能應付現代網路的硬體及特性
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。從網路安全立體縱深、多層次防禦的角度出發,入侵檢測理應受到人們的高度重視,這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內,隨著上網的關鍵部門、關鍵業務越來越多,迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品(缺乏升級和服務)階段,或者是防火牆中集成較為初級的入侵檢測模塊。可見,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究
⑶ IPS安防及入侵檢測哪個牌子好
入侵檢測系來統(IDS,IntrusionDetectionSystems)。
源專業上講就是依照一定的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。
在本質上,入侵檢測系統是一個典型的「窺探設備」。
它不跨接多個物理網段(通常只有一個監聽埠),無須轉發任何流量,而只需要在網路上被動的、無聲息的收集它所關心的報文即可。
入侵檢測系統的分類:1.基於主機的入侵檢測系統:主要用於保護運行關鍵應用的伺服器。
它通過監視和分析主機的審計記錄和日誌文件,來檢測入侵日誌中包含發生在系統上的不尋常和不期望活動的證據,可以指出有人正在入侵或已成功入侵了系統。
通過查看日誌文件,能夠發現成功的入侵或入侵企圖,並很快的啟動相應的應急響應程序。
⑷ 入侵檢測系統的簡介
IDS是計算機的監視系統,它通過實時監視系統,一旦發現異常情況就發出警告。IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類:根據信息來源可分為基於主機IDS和基於網路的IDS,根據檢測方法又可分為異常入侵檢測和誤用入侵檢測。不同於防火牆,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里,"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中,已經很難找到以前的HUB式的共享介質沖突域的網路,絕大部分的網路區域都已經全面升級到交換式的網路結構。因此,IDS在交換式網路中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。這些位置通常是:伺服器區域的交換機上;Internet接入路由器之後的第一台交換機上;重點保護網段的區域網交換機上。由於入侵檢測系統的市場在近幾年中飛速發展,許多公司投入到這一領域上來。Venustech(啟明星辰)、Internet Security System(ISS)、思科、賽門鐵克等公司都推出了自己的產品。
⑸ 入侵檢測系統的分類及功能
入侵檢測系統的概念
入侵行為主要是指對系統資源的非授權使用,可以造成系統數據的丟失和破壞、系統拒絕服務等危害。對於入侵檢測而言的網路攻擊可以分為4類:
①檢查單IP包(包括TCP、UDP)首部即可發覺的攻擊,如winnuke、ping of death、land.c、部分OS detection、source routing等。
②檢查單IP包,但同時要檢查數據段信息才能發覺的攻擊,如利用CGI漏洞,緩存溢出攻擊等。
③通過檢測發生頻率才能發覺的攻擊,如埠掃描、SYN Flood、smurf攻擊等。
④利用分片進行的攻擊,如teadrop,nestea,jolt等。此類攻擊利用了分片組裝演算法的種種漏洞。若要檢查此類攻擊,必須提前(在IP層接受或轉發時,而不是在向上層發送時)作組裝嘗試。分片不僅可用來攻擊,還可用來逃避未對分片進行組裝嘗試的入侵檢測系統的檢測。
入侵檢測通過對計算機網路或計算機系統中的若干關鍵點收集信息並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟體與硬體的組合就是入侵檢測系統。
入侵檢測系統執行的主要任務包括:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。入侵檢測一般分為3個步驟,依次為信息收集、數據分析、響應(被動響應和主動響應)。
信息收集的內容包括系統、網路、數據及用戶活動的狀態和行為。入侵檢測利用的信息一般來自系統日誌、目錄以及文件中的異常改變、程序執行中的異常行為及物理形式的入侵信息4個方面。
數據分析是入侵檢測的核心。它首先構建分析器,把收集到的信息經過預處理,建立一個行為分析引擎或模型,然後向模型中植入時間數據,在知識庫中保存植入數據的模型。數據分析一般通過模式匹配、統計分析和完整性分析3種手段進行。前兩種方法用於實時入侵檢測,而完整性分析則用於事後分析。可用5種統計模型進行數據分析:操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統計分析的最大優點是可以學慣用戶的使用習慣。
入侵檢測系統在發現入侵後會及時作出響應,包括切斷網路連接、記錄事件和報警等。響應一般分為主動響應(阻止攻擊或影響進而改變攻擊的進程)和被動響應(報告和記錄所檢測出的問題)兩種類型。主動響應由用戶驅動或系統本身自動執行,可對入侵者採取行動(如斷開連接)、修正系統環境或收集有用信息;被動響應則包括告警和通知、簡單網路管理協議(SNMP)陷阱和插件等。另外,還可以按策略配置響應,可分別採取立即、緊急、適時、本地的長期和全局的長期等行動。
IDS分類
一般來說,入侵檢測系統可分為主機型和網路型。
主機型入侵檢測系統往往以系統日誌、應用程序日誌等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。
網路型入侵檢測系統的數據源則是網路上的數據包。往往將一台機子的網卡設於混雜模式(promisc mode),監聽所有本網段內的數據包並進行判斷。一般網路型入侵檢測系統擔負著保護整個網段的任務。
不難看出,網路型IDS的優點主要是簡便:一個網段上只需安裝一個或幾個這樣的系統,便可以監測整個網段的情況。且由於往往分出單獨的計算機做這種應用,不會給運行關鍵業務的主機帶來負載上的增加。但由於現在網路的日趨復雜和高速網路的普及,這種結構正受到越來越大的挑戰。一個典型的例子便是交換式乙太網。
而盡管主機型IDS的缺點顯而易見:必須為不同平台開發不同的程序、增加系統負荷、所需安裝數量眾多等,但是內在結構卻沒有任何束縛,同時可以利用操作系統本身提供的功能、並結合異常分析,更准確的報告攻擊行為。參考文獻[7]對此做了描述,感興趣的讀者可參看。
入侵檢測系統的幾個部件往往位於不同的主機上。一般來說會有三台機器,分別運行事件產生器、事件分析器和響應單元。將前兩者合在一起,只需兩台。在安裝IDS的時候,關鍵是選擇數據採集部分所在的位置,因為它決定了「事件」的可見度。
對於主機型IDS,其數據採集部分當然位於其所監測的主機上。
對於網路型IDS,其數據採集部分則有多種可能:
(1)如果網段用匯流排式的集線器相連,則可將其簡單的接在集線器的一個埠上即可;
(2)對於交換式乙太網交換機,問題則會變得復雜。由於交換機不採用共享媒質的辦法,傳統的採用一個sniffer來監聽整個子網的辦法不再可行。可解決的辦法有:
a. 交換機的核心晶元上一般有一個用於調試的埠(span port),任何其他埠的進出信息都可從此得到。如果交換機廠商把此埠開放出來,用戶可將IDS系統接到此埠上。
優點:無需改變IDS體系結構。
缺點:採用此埠會降低交換機性能。
b. 把入侵檢測系統放在交換機內部或防火牆內部等數據流的關鍵入口、出口。
優點:可得到幾乎所有關鍵數據。
缺點:必須與其他廠商緊密合作,且會降低網路性能。
c. 採用分接器(Tap),將其接在所有要監測的線路上。
優點:在不降低網路性能的前提下收集了所需的信息。
缺點:必須購買額外的設備(Tap);若所保護的資源眾多,IDS必須配備眾多網路介面。
d. 可能唯一在理論上沒有限制的辦法就是採用主機型IDS。
通信協議
IDS系統組件之間需要通信,不同的廠商的IDS系統之間也需要通信。因此,定義統一的協議,使各部分能夠根據協議所制訂的標准進行溝通是很有必要的。
IETF目前有一個專門的小組Intrusion Detection Working Group (IDWG)負責定義這種通信格式,稱作Intrusion Detection Exchange Format。目前只有相關的草案(internet draft),並未形成正式的RFC文檔。盡管如此,草案為IDS各部分之間甚至不同IDS系統之間的通信提供了一定的指引。
IAP(Intrusion Alert Protocol)是IDWG制定的、運行於TCP之上的應用層協議,其設計在很大程度上參考了HTTP,但補充了許多其他功能(如可從任意端發起連接,結合了加密、身份驗證等)。對於IAP的具體實現,請參看 [4],其中給出了非常詳盡的說明。這里我們主要討論一下設計一個入侵檢測系統通信協議時應考慮的問題:
(1)分析系統與控制系統之間傳輸的信息是非常重要的信息,因此必須要保持數據的真實性和完整性。必須有一定的機制進行通信雙方的身份驗證和保密傳輸(同時防止主動和被動攻擊)。
(2)通信的雙方均有可能因異常情況而導致通信中斷,IDS系統必須有額外措施保證系統正常工作。
入侵檢測技術
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基於標志(signature-based),另一種基於異常情況(anomaly-based)。
對於基於標識的檢測技術來說,首先要定義違背安全策略的事件的特徵,如網路數據包的某些頭信息。檢測主要判別這類特徵是否在所收集到的數據中出現。此方法非常類似殺毒軟體。
而基於異常的檢測技術則是先定義一組系統「正常」情況的數值,如CPU利用率、內存利用率、文件校驗和等(這類數據可以人為定義,也可以通過觀察系統、並用統計的辦法得出),然後將系統運行時的數值與所定義的「正常」情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在於如何定義所謂的「正常」情況。
兩種檢測技術的方法、所得出的結論有非常大的差異。基於異常的檢測技術的核心是維護一個知識庫。對於已知得攻擊,它可以詳細、准確的報告出攻擊類型,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新。基於異常的檢測技術則無法准確判別出攻擊的手法,但它可以(至少在理論上可以)判別更廣泛甚至未發覺的攻擊。
如果條件允許,兩者結合的檢測會達到更好的效果.
入侵檢測系統技術和主要方法
入侵檢測系統技術
可以採用概率統計方法、專家系統、神經網路、模式匹配、行為分析等來實現入侵檢測系統的檢測機制,以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果。
發現入侵檢測一般採用如下兩項技術:
① 異常發現技術,假定所有入侵行為都是與正常行為不同的。它的原理是,假設可以建立系統正常行為的軌跡,所有與正常軌跡不同的系統狀態則視為可疑企圖。異常閥值與特徵的選擇是其成敗的關鍵。其局限在於,並非所有的入侵都表現為異常,而且系統的軌跡難於計算和更新。
② 是模式發現技術,它是假定所有入侵行為和手段(及其變種)都能夠表達為一種模式或特徵,所有已知的入侵方法都可以用匹配的方法發現。模式發現技術的關鍵是如何表達入侵的模式,以正確區分真正的入侵與正常行為。模式發現的優點是誤報少,局限是只能發現已知的攻擊,對未知的攻擊無能為力。
入侵檢測的主要方法
靜態配置分析
靜態配置分析通過檢查系統的當前系統配置,諸如系統文件的內容或者系統表,來檢查系統是否已經或者可能會遭到破壞。靜態是指檢查系統的靜態特徵(系統配置信息),而不是系統中的活動。
採用靜態分析方法主要有以下幾方面的原因:入侵者對系統攻擊時可能會留下痕跡,這可通過檢查系統的狀態檢測出來;系統管理員以及用戶在建立系統時難免會出現一些錯誤或遺漏一些系統的安全性措施;另外,系統在遭受攻擊後,入侵者可能會在系統中安裝一些安全性後門以方便對系統進行進一步的攻擊。
所以,靜態配置分析方法需要盡可能了解系統的缺陷,否則入侵者只需要簡單地利用那些系統中未知的安全缺陷就可以避開檢測系統。
⑹ 入侵檢測哪一種比較好啊
入侵檢測系統(IDS,Intrusion Detection Systems)。專業上講就是依照一定的安全策略,對網路、系統專的運行狀況進行屬監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。 在本質上,入侵檢測系統是一個典型的"窺探設備"。它不跨接多個物理網段(通常只有一個監聽埠),無須轉發任何流量,而只需要在網路上被動的、無聲息的收集它所關心的報文即可。 入侵檢測系統的分類: 1.基於主機的入侵檢測系統:主要用於保護運行關鍵應用的伺服器。它通過監視和分析主機的審計記錄和日誌文件,來檢測入侵日誌中包含發生在系統上的不尋常和不期望活動的證據,可以指出有人正在入侵或已成功入侵了系統。通過查看日誌文件,能夠發現成功的入侵或入侵企圖,並很快的啟動相應的應急響應程序。
⑺ 入侵檢測系統的基本功能是什麼
入侵檢測系統的基本功能是對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。
與其他網路安全設備的不同之處便在於,入侵檢測系統是一種積極主動的安全防護技術。在很多中大型企業,政府機構,都會布有入侵檢測系統。假如防火牆是一幢大廈的門鎖,那麼入侵檢測系統就是這幢大廈里的監視系統。一旦小偷進入了大廈,或內部人員有越界行為,只有實時監視系統才能發現情況並發出警告。
專業上講入侵檢測系統就是依照一定的安全策略,對網路、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。與防火牆不同的是,入侵檢測系統是一個旁路監聽設備,沒有也不需要跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對入侵檢測系統的部署的唯一要求就是:入侵檢測系統應當掛接在所有所關注流量都必須流經的鏈路上。
(7)入侵檢測設備有哪些擴展閱讀
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基於標志,另一種基於異常情況。
對於基於標志的檢測技術來說,首先要定義違背安全策略的事件的特徵,如網路數據包的某些頭信息。檢測主要判別這類特徵是否在所收集到的數據中出現。此方法非常類似殺毒軟體。
而基於異常的檢測技術則是先定義一組系統「正常」情況的數值,如CPU利用率、內存利用率、文件校驗和等(這類數據可以人為定義,也可以通過觀察系統、並用統計的辦法得出),然後將系統運行時的數值與所定義的「正常」情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在於如何定義所謂的「正常」情況。
兩種檢測技術的方法、所得出的結論有非常大的差異。基於標志的檢測技術的核心是維護一個知識庫。對於已知的攻擊,它可以詳細、准確的報告出攻擊類型,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新。基於異常的檢測技術則無法准確判別出攻擊的手法,但它可以(至少在理論上可以)判別更廣范、甚至未發覺的攻擊。
⑻ 什麼是入侵檢測系統它有哪些基本組件構成
入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現:
· 監視、分析用戶及系統活動;
· 系統構造和弱點的審計;
· 識別反映已知進攻的活動模式並向相關人士報警;
· 異常行為模式的統計分析;
· 評估重要系統和數據文件的完整性;
· 操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為。
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程序、文件和硬體設備等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連接、記錄事件和報警等。
信息收集入侵檢測的第一步是信息收集,內容包括系統、網路、數據及用戶活動的狀態和行為。而且,需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息,這除了盡可能擴大檢測范圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然,入侵檢測很大程度上依賴於收集信息的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息,例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣,而實際上不是。例如,unix系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同於指定文件的文件(黑客隱藏了初試文件並用另一版本代替)。這需要保證用來檢測網路系統的軟體的完整性,特別是入侵檢測系統軟體本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息。
入侵檢測利用的信息一般來自以下四個方面:
1.系統和網路日誌文件
黑客經常在系統日誌文件中留下他們的蹤跡,因此,充分利用系統和網路日誌文件信息是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日誌文件,能夠發現成功的入侵或入侵企圖,並很快地啟動相應的應急響應程序。日誌文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄「用戶活動」類型的日誌,就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地,對用戶活動來講,不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網路環境中的文件系統包含很多軟體和數據文件,包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變(包括修改、創建和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件,同時為了隱藏系統中他們的表現及活動痕跡,都會盡力去替換系統程序或修改系統日誌文件。
3.程序執行中的不期望行為
網路系統上的程序執行一般包括操作系統、網路服務、用戶起動的程序和特定目的的應用,例如資料庫伺服器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同許可權的環境中,這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程,以及與網路間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。
⑼ 簡述入侵檢測常用的四種方法
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
1、特徵檢測
特徵檢測(Signature-based detection) 又稱Misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。
它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。
2、異常檢測
異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。
異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。
(9)入侵檢測設備有哪些擴展閱讀
入侵分類:
1、基於主機
一般主要使用操作系統的審計、跟蹤日誌作為數據源,某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。
這種類型的檢測系統不需要額外的硬體.對網路流量不敏感,效率高,能准確定位入侵並及時進行反應,但是佔用主機資源,依賴於主機的可靠性,所能檢測的攻擊類型受限。不能檢測網路攻擊。
2、基於網路
通過被動地監聽網路上傳輸的原始流量,對獲取的網路數據進行處理,從中提取有用的信息,再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。
此類檢測系統不依賴操作系統作為檢測資源,可應用於不同的操作系統平台;配置簡單,不需要任何特殊的審計和登錄機制;可檢測協議攻擊、特定環境的攻擊等多種攻擊。
但它只能監視經過本網段的活動,無法得到主機系統的實時狀態,精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。
3、分布式
這種入侵檢測系統一般為分布式結構,由多個部件組成,在關鍵主機上採用主機入侵檢測,在網路關鍵節點上採用網路入侵檢測,同時分析來自主機系統的審計日誌和來自網路的數據流,判斷被保護系統是否受到攻擊。