入侵检测系统(IDS)应用分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇入侵检测系统(IDS)应用分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
1 引言
随着计算机网络技术和互联网的飞速发展,网络攻击和入侵事件与日俱增,特别是政府部门、军事机构、金融机构、企业的计算机网络频遭黑客袭击。攻击者对那些没有安全保护的网络进行攻击和入侵,如进行拒绝服务攻击、从事非授权的访问、肆意窃取和篡改重要的数据信息、安装后门监听程序以便随时获得内部信息、传播计算机病毒、摧毁主机等等。受攻击系统问题主要表现在操作系统、网络服务、TCP/IP协议、应用程序(如数据库、浏览器等)、网络设备等几个方面。
入侵检测系统(Intrusion Detection System,ids)作为对防火墙极其有益的补充,IDS能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
从宏观方面看,入侵检测的基本原理很简单。从收集到的一组数据中,检测出符合某一特点的数据。入侵者在攻击时会留下一些痕迹,用这些痕迹与系统正常运行时产生的数据混合在一起。入侵检测的任务就是要从这样的混合数据中找出具有特征的数据,判断是否有入侵。
2 入侵检测的过程分析
IDS进行入侵检测有两个过程:信息收集和信息分析。
2.1信息收集
信息收集的对象包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息。除了尽可能扩大检测范围外,还有一个重要的因素就是仅从一个源点来的信息可能找不出疑点,但从几个源点来的信息的不一致性却是可疑行为或入侵的最好标识。当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性。
2.2 信息分析
信息分析通常有三种手段:模式匹配、统计分析和完整性分析。这三种分析手段对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析。
模式匹配:是将收集到的信息与已知的网络入侵和系统已有的模式数据库比较,从而发现违反安全策略的行为。
统计分析:是首先给系统对象(如用户、文件、目录和设备等)创造一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,如果观察值在正常值范围之外,就认为有入侵发生。
完整性分析:利用加密机制能识别很微小的变化。
2.3入侵检测系统的结构
从系统结构上看,IDS包括事件提取、入侵分析、入侵响应和远程管理等。如图1所示。
3IDS的应用部署
3.1 IDS的部署方式分析
从IDS技术原理来看,IDS的部署主要有共享模式,交换模式,隐蔽模式,Tap模式和In-line模式。
共享模式和交换模式: 从HUB上的任意一个接口,或者在交换机上设置成监听模式的监听端口上收集信息。如果设备是交换机则属于交换模式,惟一不同的是需要在交换机上做端口镜像。
隐蔽模式: 这种模式是在其他模式的基础上将探测器的探测口IP地址去除,使得IDS在对外界不可见的情况下正常工作。这种IDS大多数用在DMZ(周边网络)外,在防火墙的保护之外。它有自动响应的优点。例如采用双网卡的技术,一个网卡绑定IP,用来与Console(控制台)通信;另外一个网卡无IP,用来收集网络数据包。
Tap模式: 以双向监听全双工以太网连接中的网络通信信息,这样能捕捉到网络中的所有流量,能更好地了解网络攻击的发生源和攻击的性质,为阻止网络攻击提供丰富的信息,并能记录完整的状态信息,使得与防火墙联动或发送Reset包更加容易。
In-line模式: 直接将IDS串接在通信线路中。网络上所有数据都通过IDS。这样做的目的主要是考虑到阻断攻击时的方便。
3.2应用部署分析
部署在防火墙之外
入侵检测探测器通常被放置在防火墙外的DMZ中。DMZ是介于ISP和最外端防火墙界面之间的区域,这样部署使探测器可以看到所有来自Internet的攻击。然而如果攻击类型是TCP攻击,而防火墙或过滤路由器能封锁这种攻击,那么入侵检测系统可能就检测不到这种攻击的发生。因为许多攻击类型只能通过检测是否与字符串特征一致才能被发现,而字符串的传送只有在TCP三次握手完成后才能进行。虽然放在防火墙外的检测器无法检测到某些攻击,但这种位置的好处是:可以看到自己在DMZ区的服务(如站点)和防火墙暴露在多少种攻击之下。
部署在防火墙之内
部署在防火墙之内的目的是,如果攻击者能够发现检测器,就可能会对检测器进行攻击,从而减少攻击者的行动被审计的机会。防火墙内的系统会比外面的系统的脆弱性少一些,如果检测器在防火墙内就会少一些干扰,从而有可能减少误报警。如果本应该被防火墙封锁的攻击渗透进来,检测器在防火墙内检测到后就能发现防火墙的设置失误。
防火墙的内外兼有
如果有足够的经费,可在防火墙内外都部署检测器,这样无需猜测是否有攻击渗透过防火墙。同时可以检测来自内部和外部的攻击,可以检测到由于设置有问题而无法通过防火墙的内部系统,这可以帮助系统管理员。
3.3IDS的性能指标分析
漏警率: 入侵检测系统在检测时出现“没有正确地识别某些入侵行为而未报警”的概率称为系统的漏警率。入侵检测漏警率如果很高,那就会有很多入侵行为检测不到,因此也起不到作用。
虚警率: 检测系统在检测时出现“把系统的正常行为判为入侵行为的错误”的概率称为系统的虚警率。
丢包率: 丢包率是指在满负荷的情况下,IDS所能处理的带宽,即IDS能够处理的网络流量。目前的网络IDS系统一般能够处理50~60Mb/s的网络流量,经过专门定制的系统可能会处理更高的流量。
3.4IDS的功能指标分析
系统结构
IDS的体系结构按照引擎和控制中心的分布情况,主要分为单机和分布式的两种。
单机结构是引擎和控制中心在一个系统之上,不能远距离操作,只能在现场进行操作。分布式结构就是引擎和控制中心在两个系统之上,通过网络通信,可以远距离查看和操作。目前的大多数IDS系统都是分布式的。
分布式的优点是明显的:不是必须在现场操作,可以用一个控制中心控制多个引擎,可以统一进行策略编辑和下发,可以统一查看申报的事件,可以通过分开事件显示和查看的功能提高处理速度等。单机的优点是结构简单,不会因为通信而影响网络带宽和泄密。
根据一个控制中心带动引擎的多少,即控制比例,可以分为高、中、低3类结构。高比例结构指一个控制中心可以带动没有限制的引擎数量,事实上超过50个引擎即可以算是该比例体系结构。中比例结构指一个控制中心可以带动10~50个探测引擎。低比例结构指一个控制中心可以带动10个以下的探测引擎。影响比例高低的主要因素除了控制中心的程序结构外,还有就是系统的处理速度,特别是数据库处理速度。由于多个引擎就多一份处理时间和数据空间,引擎过多将引起控制中心因处理时间过慢和数据库数据溢出而死机。
事件数量
考察IDS系统的一个关键性指标是报警事件的多少。一般而言,事件越多,表明IDS系统能够处理的能力越强。目前的IDS系统都具有1000个左右的事件分析产生能力。但随着事件的推移,并非事件越多越好,因为过于陈旧的非法事件,在现实的网络和系统环境中已经不存在了,其攻击非法等自然就没有任何意义,而且还会占用系统的处理时间和空间。因此,应该说当前能够使用的非法事件越多越好。一般而言,这个数量在500~1000之间,应该与流行系统的漏洞数目相关。
通信安全
作为分布式结构的IDS系统,通信是其自身安全的关键因素。这包含两个部分:一是身份认证,一是数据加密。身份认证是要保证一个引擎,或者子控制中心只能由固定的上级进行控制,任何分支的控制行为将予以阻止,如图2所示。
其中,实连线为合法连接,被系统接受并进行控制;虚连线为非法连接,被系统拒绝。
一般而言,身份认证采用非对称加密算法,通过拥有对方的公钥,进行加密、解密完成身份认证的,经过双方两个回合的相互认证,完成了相互的惟一身份认证。
数据的加密传输一般使用对称加密算法,在完成身份认证后,利用相对简单的加密算法进行大量的数据交换。这里的关键在于密钥的保密性。一般系统都是使用动态密钥,并且在一段时间内自动进行密钥更换。对目前的IDS系统,数据加密已经是系统必备的功能。
4入侵检测系统的发展趋势分析
入侵检测技术要体现在入侵的综合化和复杂化、入侵主体对象的隐蔽化、入侵规模的扩大化、入侵技术的分布化等方面,因此入侵技术可向以下几个方面发展。
分布式入侵检测:首先是针对分布式网络攻击的检测方法;其次是使用分布式的方法来检测分布式的攻击,其中关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
智能化入侵检测:目前常用的智能化检测方法有神经网络、遗传算法、模糊技术、免疫原理等。除了上述两种方法外,还有全面的安全防御方案、对分析技术的改进和向高度可集成性发展。
由于防火墙技术已比较成熟,将入侵检测技术和防火墙技术相结合,利用入侵检测结果实时改变防火墙配置,使其断开恶意连接或数据传送,应该是一个可行的网络安全解决方案。
参考文献
【1】Matt Bishop.王立彬,等译. 计算机安全学.电子工业出版社.
【2】刘远生. 计算机网络安全.清华大学出版社.
【3】胡铮.网络与信息安全.清华大学出版社.