入侵检测系统(Intrusion Detection System,IDS)是一种设备,通常是另一台独立的计算机,通过监视内部的活动来识别恶意的或可疑的事件。IDS是一种探测器,像烟雾探测器一样,如果发生了指定的事件就会触发警报。入侵检测系统采用实时(或近似实时)运行方式,监视活动并及时向管理员报警,以便采取保护措施。
IDS是对网络安全极好的补充。防火墙封锁到达特定端口或地址的通信量,并限制使用某些协议来降低其影响。但根据定义,防火墙必须允许一些通信量进入一个受保护区域。监视通信量在受保护区域内的真实活动是IDS的工作。IDS能实现多种功能:
●监视用户和系统活动。
●评估关键系统和数据文件的完整性。
●识别系统活动中存在的已知攻击模式。
●通过统计分析识别不正常活动。
●管理审计跟踪,当用户违反策略或正常活动时,给出警示。
●纠正系统配置错误。
●安装、运行陷阱以记录入侵者的相关信息。
没有一个IDS能实现上述所有功能。在理想情况下,IDS应该快速、简单而且准确,同时也应该相当完善。它应该能以极小的性能代价检测出所有的攻击。一个IDS中可能会使用下面所列的部分或全部设计方法:
●在包头上进行过滤。
●在包内容上进行过滤。
●维护连接状态。
●使用复杂的多包标记。(www.xing528.com)
●使用最少的标记产生最大的效果。
●实时、在线过滤。
●隐藏自己。
●使用优化的滑动时间窗口大小来匹配标记。
1.警报响应
不论哪种入侵检测系统都应在发现匹配时报警。警报的范围包含从普通到重大的所有事件,如写审计日志的注释、记录系统安全管理员操作等。一些特别设计的入侵检测系统还允许用户决定系统对什么样的事件采取什么样的措施。
哪些是可能的响应呢?范围是无限的,可以是管理员(或程序)能想到的任何事情。一般情况下,响应主要分为3类(3类响应可部分或全部应用到单个响应中):
●监视器。收集数据,可能会在必要时增加收集数据的总量。
●保护。采取行动减少暴露。
●寻找相关人员解决。
对具有一般(最初的)影响的攻击,采用监视器比较恰当。监视器的真正目标在于观察入侵者,看其访问了哪些资源或者试图进行什么样的攻击。另一种可能使用监视器的情况是,记录来自给定源地址的所有通信量,用于以后分析。监视器对攻击者应是不可见的。保护意味着增加访问控制措施,甚至使得一个资源不可用(例如,关闭一个网络连接或者使一个文件不能访问)。系统甚至可能切断攻击者正在使用的网络连接。与监视器相反,保护对攻击者常常是可见的。最后,寻找相关人员解决类型的入侵检测系统允许个人进行辨别,IDS能立即采取初步的防御措施,同时也向人报警,相关人员也许会花几秒、几分钟或者更长的时间进行响应。
2.错误结果
入侵检测系统并不是完美无缺的,其最大的问题是出现错误。虽然IDS在大多数情况下能正确检测到入侵者,但也可能会犯两种不同类型的错误:一种是对非真正攻击报警(误报),另一种是对真正的攻击不报警(漏报)。太多的误报意味着管理员将降低对IDS报警的信任,有可能导致真正的报警被忽略。漏报意味着真正的攻击将通过IDS而没有采取措施。误报和漏报的程度代表了系统的敏感性。因此,绝大多数IDS允许管理员调整系统的敏感性,以便在误报和漏报之间取得可接受的平衡。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
