入侵检测概念理论

<b>入侵检测</b>

入侵检测系统（intrusion detection system）是一种自动检查审计日志与实时系统时间的产品。IDS主要用于检测入侵企图，但是也可以部署用于检测系统故障或评价系统总体性能。IDS监测着违反机密性、完整性和可用性的行为。IDS的目标是提供入侵行为的行为人责任，并且能够在短时间内对入侵做出准确的响应。IDS识别的攻击可能来自外部连接（如Internet或合作伙伴的网络）、病毒、恶意代码、可信内部主体的未授权活动企图、来自可信地址的未授权访问企图。IDS被视为一种技术检测安全控制形式。

IDS能够主动件事可疑活动、仔细查看审计日志，并且在发现特定时间时向系统管理员发送警报。IDS还能够锁定重要的系统文件或操作能力，跟踪有组织的入侵企图，指出脆弱性，确定入侵的发源点，追踪到违规者的逻辑或物理位置。此外，IDS也可疑终止或中断攻击或入侵企图，并且能够通过重新配置路由器和防火墙来阻止已发现攻击的重复攻击。通过在屏幕上显示会播放声音的通知（最常见的方式）、发送电子邮件通知、发送警报短信或者日志文件中记录相应信息，就可以发送或通知IDS警报。

如下所示，IDS的响应可以是主动的、被动的或者混合的：

主动响应 直接影响网络通信或主机应用程序的恶意活动。

被动响应 并不影响恶意活动，但是记录问题的相关信息并通知管理员。

混合响应 停止不希望的活动，记录时间的相关信息，甚至可能通知管理员。

通常，IDS用来检测来自可信网络内外的未授权或恶意活动。IDS阻止当前攻击或预防未来攻击的能力是有限的。一般而言，IDS可疑抵御攻击的响应方式包括封锁端口、封锁源地址以及禁用特定线路段的所用通信。一旦发现异常的通信（例如欺骗的通信数据）或者违反其安全策略、过滤器、规则的情况，IDSjiuhui在日志中记录问题的细节，随后删除或丢弃相关的的数据包。

IDS应当被作为设施完善的安全工作中的一个独立组件来保护网络安全。IDS与防火墙是互补的安全工具。此外，其他安全控制（例如物理限制和逻辑性访问控制）也是必不可少的组件（有关这些控制的讨论，请参见第1章）。

入侵预防要求对整个系统安全进行适当的维护，例如应用补丁程序和设置安全控制。入侵预防还涉及通过建立防护对IDS发信的入侵做出响应，从而阻止相同的攻击在未来重复发生。做到入侵预防可以像更新软件或重新配置访问空盒子一样简单，也可以像重新配置防火墙、删除或更换应用程序或服务、重新设计整个网络一样做到有力度。

检测到入侵行为时，最初的响应是抑制入侵。入侵抑制能够防止对其他相同造成更多的破坏，但是也可能允许已受危害的相同仍被继续侵扰。稍后，一旦从头开始重构已受危害的系统，必须确保在重新连接网络与重构相同之前复核其是否遵循安全策略，包括检查ACL、服务配置与用户帐户设置。我们应当认识到：如果重新创建系统，那么以前的系统和任何入侵痕迹都不再保留。

警告： 主动反击入侵者或者主动尝试反黑客攻击入侵者的计算机相同被视为是缺乏职业道德的和冒险的行为。此时，我们应当依赖于日志记录能力和糗闻收集工作，从而为起诉罪犯或只是响应改善系统环境安全性提供足够多的数据。

IDS类型与分类为每个系统定义了职责范围与功能角色。在为IDS定义的各种类型与分类中存在足够的互补元素，通过组合使用两个或多个IDS系统就能够再网络中实现一个共同的目标。

<b>入侵检测</b><b>--</b><b>主机型与网络型</b><b>IDS</b>

IDS类型一般根据信息来源进行分类。目前主要有两类IDS：主机型与网络型。主机型（host-based）IDS监视单个计算机系统霍桑的可疑活动，网络型（network-based）则监视再网络介质上进行的可疑活动。

1. 主机型IDS

因为主机型IDS主要关注单个计算机（而网络型IDS必须监控整个网络上的活动），所以它比网络型IDS检测到的事件信息更详细。主机型的IDS能够准确的发现危及系统安全的或者恶意用户执行未授权活动所用的文件和进程。

主机型IDS能够检测到网络型IDS不能发现的异常活动。不过，主机型IDS无法检测到只针对网络的攻击或其他系统上的攻击。因为主机型IDS被安装在受监控的计算机上，所以攻击者能够发现IDS软件并使之失去作用，或者通过操纵IDS软件来隐藏攻击者的痕迹。主机型IDS在检测和跟踪到拒绝服务（denial-of-sevice,DoS）攻击方面（尤其是带宽占用状况）有一些困难。主机型IDS也会消耗来自受监控计算机的资源，因此降低了系统的性能。主机系统和应用程序的审计性能会对主机型IDS形成限制。

主机型IDS的管理成本远远高于网络型IDS。主机型IDS需要在受监控的每台服务器上进行安装，并且需要在管理方面关注每个安装点；网络型IDS通常只需要单个安装点。主机型IDS还具有其他弱点，例如可能导致主机系统的性能显著下降、更能容易被入侵者发现或禁用。

2. 网络型IDS

网络型IDS通过捕获和评估网络数据包来检测攻击或异常事件。如果被安装在网络主干上（大多数网络数据流经的地方），单个网络型IDS就能够监控一个大型网络。某些版本的网络型IDS使用远程代理收集来自不同子网的数据，并且向中央管理控制平台报告。网络型IDS被安装在具有唯一用途的计算机之中，这使得它们在对抗攻击时更有力度，减少了IDS的脆弱性，并且允许IDS在秘密行动模式下运行。在秘密行动模式中，IDS对于网络来说是不可见的，入侵者只有知道了IDS的准确位置与系统的表示才能够发现它。网络型ＩＤＳｄｕｉ整个网络的性能几乎没有负面影响，这是因为它古树在具有唯一用途的系统中，所以不会对其他计算机的性能插上任何不利影响。

在通信量非常大的网络上，网络型IDS无法及时分析数据流，这可能会导致IDS无法检测到高数据流量情况下发生的攻击。网络型IDS通常在交换网络中收效甚微，在路由器没有监控端口的情况下，尤其如此。网络型IDS被用于监控数据流的内容是否在网络介质的传输过程中被加密。网络型IDS通常能够检测到攻击的发起或持续不断的攻击企图（包括DOS），但是却无法提供攻击是否成功的信息或者哪些特定系统、用户帐户、文件或应用程序受到影响的相关信息。

很多情况下，通过执行逆向地址解析协议（Reverse Ａｄｄｒｅｓｓ Ｒｅｓｏｌｕｔｉｏｎ Protocol，ＲＡＲＰ）或域名系统（Domain Name System， DNS）查找，网络型IDS能够提供有限的功能来发现攻击的来源。然而，因为绝大多数攻击由通过欺骗伪装身份的恶意攻击者发起，所以这种方式并非总是可靠的。

IDS应当被视为唯一不变的安全解决方案。对于整个环境来说，IDS只是全面安全解决方案的一部分。尽管IDS能够提供许多有点，但是也需要考虑到它的一些不足之处。如果主机系统工作时间过长并且为IDS进程分配的执行时间不足，那么主机型DISC就无法查看所有细节。如果网络流量过高并且IDS无法及时有效的处理数据包，那么网络型IDS也会遇到相同的问题。此外，网络型IDS还无法查看被加密数据的内容。如果没有被放置在镜像端口（mirrored port，也就是一个专门配置为将所有数据发送至IDS的端口），由于无法查看所有网络数据，因此在交换网络中，网络型IDS并不是一种有效的网络范围解决方案。IDS最开始可能会产生许多错误的警报，它需要在持续的基础上才能进行有效的管理。

提示：交换网络往往能够预防糗闻器的攻击，在IDS与交换机相连时，如果没有配置交换机镜像所有通信数据，那么IDS只能访问很少一部分网络通信数据。不过许多攻击类型（例如MAC或ARP洪泛攻击）能够使交换机默认进入hub模式，从而使攻击者具有访问所有数据的权限（同时也会显著降低网络的效率与吞吐量）。

<b>入侵检测</b><b>--</b><b>知识型与行为型检测、</b>

IDS可以通过两种常用的方法来检测恶意的事件，其中一种方法使使用知识型检测（knowledge-based detecton），这种方法也被称为特征型检测（singneture-based detecton）或者模式匹配检测（pattern-matching detecton）。基本上，IDS会使用一个特征数据库，并且尝试匹配所有被监控的事件与数据库内容。如果时间按匹配pipeiinamIDS就认定攻击正在进行（或已经发生）。IDS供应商通过分析和检查不同系统上的多种入侵事件绘制了一张可疑事件表格，其结果使常见攻击方法或行为的描述或特征（signatrure）。IDS使用的知识型检测功能与许多反病毒应用程序几乎完全相同。

知识型IDS的主要缺点使只对已知的攻击方法有效。知识型IDS无法识别新的攻击或者已知攻击的细微变化形式，这意味者知识型IDS缺少学习模型，也就是说在无法识别新攻击模式的发生。因此，这种IDS类型只有在特征文件正确和最新的时候才会有作用。保持特征文件始终使最新的，这是维持知识型IDS性能最佳的一个重要方面。

第二中间的类型是行为型检测，也被称为统计入侵检测（statistical intrusion detection）、异常检测（anomaly detecton）或启发型检测（ｈｅｕｒｉｓｔｉｃｅ－based detection）。基本上，行为型检测通过监视和学习来找出系统上正常活动和事件的相关信息。IDS就能起到像人类专家一样的作用。为行为型IDS提供的与正常行为和事件有关的信息越多，它对异常事件检测的精确度就越高。

行为型IDS的主要缺点使会生成许多错误的警报。用户和系统活动的着呢刚才模式能够在很大范围内变化，因此定义正常的或可接受的活动十分困难。安全检测系统产生的虚假警报越多，安全系统管理人员越不可能予以足够的关注，正如寓言故事中那个总喊“狼来了”的男孩一样。随着时间的推移，IDS会变得更为有效和准确，但是学习的过程血药花费相当长的时间。使用已知行为、活动统计数据以及针对先前事件对当前事件进行启发式评估，行为型IDS就能够检测到为预见到的、新的、未知的漏洞（Vulnerability）、攻击和入侵方法。

尽管知识型和行为型检测方法有所差别，但两者都使用了警报信号系统。当识别或检测初入侵的时候，就会触发警报。警报系统能通过电子邮件或弹出消息来通知系统管理员，或者通过执行脚本来发送ingbao消息。处理给系统管理员发出通知之外，警报系统还能把警报消息记录到日志与审计文件中，并且还生成违规报告，违规报告详细说明了检测到的入侵行为和发现的漏洞。

<b>入侵检测</b><b>--</b><b>与</b><b>IDS</b><b>相关的工具</b>

入侵检测系统通常与其他一些组件一起使用。这些与IDS相关的工具扩展了IDS的用途和能力，并且是IDS更加有效和减少误报。这些攻击包括蜜罐、填充单元和脆弱性扫描程序，接下来我们会逐一进行介绍。

2.3.1 理解“蜜罐”

蜜罐（honey pot）是专门穿件的单台计算机或整个网络，能够作为诱捕入侵者的陷阱。蜜罐看上去像是一个合法的网络，但它们完全是伪造的。通过包含没有安装补丁和没有进行安全包含的脆弱性，并且驻留有吸引力的、诱人的但却是伪造的数据，蜜罐能够引诱入侵者。蜜罐被设计用于吸引入侵者的注意力，并引导它们进入已受到限制的地点，从而让它们原理合法的网络和机密的资源。合法的用户不会进入蜜罐，蜜罐系统汇总不存在真是的数据或有用的资源。英雌，检测到对蜜罐的访问时，访问往往可能来自未经授权的入侵者。部署蜜罐能够使入侵者登陆陷阱网络并有足够长的时间执行恶意的活动，目的是为了让自动化的IDS检测到入侵并尽可能多的收集入侵者的相关信息。蜜罐吸引入侵者注意力的事件越长，系统管理员就会有更多的时间来调查研究攻击，并且可能识别初入侵者的身份。

注意：蜜网（honey net）是两个或多个互连的蜜罐，这些蜜罐协调使用，从而监控或重建更大的、更多样的网络结构。在某些时候，蜜网能够对入侵检测系统产生促进作用。

蜜罐的使用引出来有关引诱（enticement）和诱捕（entrapment）问题的讨论。如果入侵者不是在蜜罐所有者对外公开时发现蜜罐，那么蜜罐就可疑作为合法的引诱设备使用。在Internet上放置一个安全脆弱性开放的系统并用抑制的方法激活服务就是引诱。提够了从事非法或未授权活动的机会但是犯罪者自己决定是否执行活动，这就称为引诱。当蜜罐的所有者积极的唆使访问者访问蜜罐所在站点，然后控诉访问者的未授权入侵，这就是非法的诱捕。换句话说，当你哄骗或怂恿犯罪者执行非法的或未经授权的活动时，就应该考虑到这是诱捕。

2.3.2 理解填充单元

填充单元（padded cell）系统与蜜罐类似，但它使用不同的方式来隔离入侵。当入侵者被IDS检测到的时候，入侵者被自动的转移到一个填充单元。填充单元具有实际网络的结构和布局，但是在填充单元里，入侵者既不能执行任何恶意的活动，也不能访问任何机密数据。

填充单元是一个模拟环境，通过提供伪造数据来提供伪造数据来吸引入侵者的兴趣。将入侵者转移到填充单元时，并不会告知如骑着环境已经发生变化。与蜜罐一样，填充单元系统被严密监控，并且被系统管理员用于为进行跟踪和可能发生的诉讼收集证据。

2.3.3 理解漏洞扫描程序

漏洞扫描程序（Vulnerability scanner）是另外一种与IDS有关的攻击。脆弱性扫描程序用于测试系统中已知的安全脆弱性和弱点，并且能够生成报告，报告中指出系统中血药设法改善安全性的区域或方面。报告中可以建议应用补丁程序、通过特定配置或更改安全设置来改善或加强安全性。

只有在其安全问题数据库起作用的时候，脆弱性扫描程序才会有作用。因此，供应商必须经常更新安全问题数据库，从而提供有用的、与特定系统有关的审计信息。配合使用脆弱性扫描程序与IDS，可以帮助减少IDS的误报，并且是整体入侵或安全违规的总数维持在最小限度。通过快速和经常修补被发现的脆弱性，系统能够提供一个更加安全的环境。

入侵防御系统（intrusion prevention Systems，IPS）是IDS概念的延伸，这种系统设法主动阻止出现的未授权连接企图或非法通信模式。对应于IDS，IPS被设计为相同的类型（主机型和网络型）和分类（行为型和特征型），并且二者经常被一起部署在整个网络范围内。此外血多IPS平台能够通过解析高级的应用程序来查找恶意的载荷

本文转自 沐小七  51CTO博客，原文链接:http://blog.51cto.com/3088522/575568