入侵检测系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于主机的入侵检测系统有一些重大缺点。 因为HIDS是基于主机的,它对整个网络的拓 扑结构认识有限。 攻击者可以控制一台未安装HIDS的机器,然 后对受保护的主机进行合法访问,这时HIDS 检测不出攻击,使得入侵检测系统变得毫无 用处。唯一的办法成了要在每一台可能遭受 攻击的主机上安装HIDS,这将导致成本过高, 而且也未必能保证绝对的安全。
根据分析引擎,可以将IDS划分为滥用检测 系统和异常检测系统。 从响应的角度来看,IDS可分为主动响应、 被动响应和混合响应这三种模式。按照数据 源可分为下列三种类型。
8.3.1 基于主机的入侵检测系统
基于主机的入侵检测系统的输入数据来源于 系统的审计日志,它只能检测发生在这个主 机上的入侵行为。 这种检测系统一般应用在系统服务器、用户 机器和工作站上。检测的目标主要是主机系 统和系统本地用户。 检测的原理是根据主机的审计数据和系统的 日志发现可疑事件,检测系统可以运行在被 检测的主机或单独的主机上。
基于主机的IDS具有如下优点
能够更加准确地判断攻击是否成功 监视特定的系统活动 HIDS可以检测到那些基于网络的系统察觉不 到的攻击
8.3.2 基于网络的入侵检测系统
基于网络的入侵检测系统通过在共享网段上 对通信数据进行侦听,采集数据,分析可疑 现象,系统根据网络流量、协议分析、简单 网络管理协议信息等检测入侵。 网络入侵检测系统(Network-based IDS,NIDS)放置在网络基础设施的关键区域, 监控流向其他主机的流量。
8.1 入侵检测系统概述
传统的计算机安全技术已不能满足复杂系统 的安全性要求. 入侵检测系统已成为网络计算机系统中一个 有效的防范检测手段,对正常和误用的系统 行为提供了识别的技术. 入侵是指对任何企图危及资源的完整性、机 密性和可用性的活动。入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的 发觉
(1)体系结构的发展 现有入侵检测系统多采用单一体系结构,即所 有的工作包括数据采集、分析都由单一主机上的单 一程序来完成。 而一些分布式的入侵检测系统只是在数据采集 上实现了分布式,数据的分析、入侵的发现还是由 单个的程序来完成,造成系统的可扩展性较差、单 点失效、系统缺乏灵活性和配置性等缺点。具有多 系统的、可以互相协同工作的、可重用的通用入侵 检测体系结构是重要的研究方向
8.3 入侵检测系统的类型
从数据来源和系统结构分类,入侵检测系统 分为3类: 基于主机的入侵检测系统:主机型IDS驻留 在一台主机上,监控那些有入侵动作的机器。 基于网络的入侵检测系统:对流动在网络中 的其他主机发送和接收的流量进行监控。 分布式入侵检测系统(混合型):由多个部件 组成,分布在网络的各个部分,它们分别进 行数据采集、分析等工作 。
在现有的网络环境下,单独依靠主机审计信 息进行入侵检测难以满足网络安全的需求, 由于主机的审计数据的弱点,如易受攻击, 而且入侵者可以通过使用某些系统特权和调 用比审计本身更低级的操作来逃避审计,因 此不能仅仅通过分析主机的审计记录来检测 网络攻击。
基于主机的HIDS(Host-based IDS , HIDS)在 操作系统、应用程序或内核层次上对攻击进 行监控,监视和寻找操作系统的可疑事件。 要发现一些恶意事件,HIDS需要和主机协调 一致,被监控的主机系统深入的知识只能由 入侵检测系统所掌握。要检测一些攻击, HIDS必须具备主机的正常行为的知识。
基于网络的入侵检测系统的数据来源于网络 的信息流,NIDS被动地在网络上监听整个网 络上的信息流,分析所截获的网络数据包, 检测其是否发生网络入侵。 NIDS与基于主机的入侵检测系统对比,前 者对入侵者而言是透明的,入侵者不知道有 入侵检测系统的存在。
与HIDS相比,NIDS更为安全也不易中断。 运行在一台加固的主机上的NIDS(主机只支 持入侵检测相关的服务)会使得主机更为健 壮。NIDS并不依赖于受监控主机的完整性 和可用性的缺点,因而它的监控不易被中断。 但NIDS也易受到IDS逃避技术的攻击,现今 黑客们已经发现了许多隐藏恶意流量以躲开 NIDS检测的方法。
基于主机的入侵检测系统图
审计数据
审计数据过滤
相关数据
审计分析
分析员
基于主机的入侵检测系统
此系统依赖于审计数据或系统日志的准确 性和完整性以及安全事件的定义。 这些系统的实现不全在目标主机上,有些 采用独立的外围处理机,也有的使用网络 将主机的信息传送到中央分析单元。 但全部是根据目标系统的审计记录工作, 不一定能及时采集到审计记录是这些系统 的弱点,因此入侵者可能会将主机审计系 统作为攻击目标以避开入侵检测系统。
(2)入侵检测的智能化 入侵方法越来越多样化和综合化,传统的 入侵检测分析方法无法完全实现检测功能, 保证计算机的安全。 入侵检测与智能代理、神经网络以及遗传算 法的结合是更深一层的研究,特别是智能代 理的IDS需要加以进一步的研究以解决自学 习能力与适应能力。
(3) 响应策略的研究 入侵检测系统只实现了检测功能,未能及 时的做出相应的响应。所以入侵检测系统的 响应策略是十分重要的。识别出入侵后的响 应策略是IDS维护系统安全性、完整性的关 键。 (4)网络安全技术相结合 结合防火墙、PKI、安全电子交易(SET) 等新的网络安全与电子商务技术,提供完整 的网络安全保障。
入侵检测的软件与硬件的组合便形成入侵检 测系统(IDS)。与其他安全产品不同的是, IDS需要更多的职能,它必须可以将得到的 数据进行分析,并得出有用的结果,一个合 格的IDS能大大地简化管理员的工作,保证 网络安全地运行。 一个安全的完整的入侵检测系统必须具备以 下特点:可行性、安全性、实时性、扩展性。
8.2Biblioteka Baidu入侵检测系统的发展历史和现状
入侵检测系统目前主要存在的问题有: (1)IDS产品的检测准确率比较低,漏报和 误报比较多。 (2)入侵检测系统不能对攻击做出响应 (3) IDS维护比较难 (4) 缺乏国际国内标准,IDS产品的测评缺 乏统一的标准和平台
入侵检测系统的发展