网络入侵是威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自互联网的攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行的非法访问。入侵检测就是对发生在计算机系统或者网络上的事件进行监视、分析是否出现入侵的过程。入侵检测系统(英文称IDS:Intrusion Detection System)是自动进行入侵检测的监视和分析过程的硬件或软件产品。入侵监测系统处于防火墙之后对网络活动进行实时监测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。防火墙看起来好像可以满足系统管理员的一切需求。然而,随着基于内部人员的攻击行为和产品自身问题的增多,IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁,这些破坏行为也是防火墙无法抵御的。IDS已经成为企业网络安全防护系统的三大重要组成部分之一。
一、入侵检测系统基础原理
1、入侵检测系统的产品分类
根据采集数据源的不同,IDS可分为主机型入侵检测系统(Host-based IDS,简称HIDS)和网络型入侵检测系统(Network-based IDS,简称NIDS)。HIDS从主机/服务器上采集数据,包括操作系统日志、系统进程、文件访问和注册表访问等信息。HIDS的检测引擎被称为主机代理,HIDS的主机代理安装在所保护的主机/服务器上,不同的操作系统平台需要不同的主机代理。NIDS直接从网络中采集原始的数据包。NIDS的检测引擎被称为网络引擎。NIDS的网络引擎放置在需要保护的网段内,不占用网络资源,可以保护整个网段。
主机型入侵检测系统的特点:主机型入侵检测系统通常情况下比网络型入侵检测系统误报率要低,因为检测在主机上运行的命令序列比检测网络流更简单,系统的复杂性也少得多。主机型入侵检测系统安装在我们需要保护的设备上,这会降低应用系统的效率。主机型入侵检测系统依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能,则必需重新配置,这将会给运行中的业务系统带来不可预见的性能影响。
网络型入侵检测系统的特点:网络型入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。网络型入侵检测系统只检查它直接连接网段的通信,不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络型入侵检测系统的传感器会使布署整个系统的成本大大增加。
2、入侵检测的主要技术
●模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。该过程可以很简单,也可以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。
●异常检测
异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。
●协议分析
协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有的数据包。
3、入侵检测技术的对比
●模式匹配技术:预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。对系统资源的消耗较高。
●异常检测技术:最大优点就是它可以统计用户的网络使用习惯,从而具有较高检测率与可用性。但是它的统计能力也给入侵者以机会通过逐步测试而使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
●协议分析技术:充分利用通信协议的已知结构,可以更快更有效地处理信息数据帧和连接。将命令解析技术与协议分析技术相结合,来模拟执行一个命令字符串,可以在通信连接到达操作系统或应用系统之前准确判断该通信是否恶意。对系统资源的极低消耗。
4、入侵检测术语
Alerts(警报)
当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示。如果是远程控制台,那么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员。
Anomaly(异常)
当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警。一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警,例如有人做了以前他没有做过的事情的时候,例如,一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能。
Attacks(攻击)
Attacks可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信息以及破坏目标网络或系统功能的行为。
Enumeration(列举)
经过被动研究和社会工程学的工作后,攻击者就会开始对网络资源进行列举。列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。由于现在的行动不再是被动的,它就有可能被检测出来。当然为了避免被检测到,他们会尽可能地悄悄进行。
Evasion(躲避)
Evasion是指发动一次攻击,而又不被IDS成功地检测到。其中的窍门就是让IDS只看到一个方面,而实际攻击的却是另一个目标,所谓明修栈道,暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL(有效时间)值,这样,经过IDS的信息看起来好像是无害的,而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。一旦经过了IDS并接近目标,无害的部分就会被丢掉,只剩下有害的。
Exploits(漏洞利用)
对于每一个漏洞,都有利用此漏洞进行攻击的机制。为了攻击系统,攻击者编写出漏洞利用代码或脚本。对每个漏洞都会存在利用这个漏洞执行攻击的方式,这个方式就是Exploit。为了攻击系统,黑客会编写出漏洞利用程序。
False Negatives(漏报)
漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。
False Positives(误报)
误报是指实际无害的事件却被IDS检测为攻击事件。
Fragmentation(分片)
如果一个信息包太大而无法装载,它就不得不被分成片断。分片的依据是网络的MTU(Maximum Transmission Units,最大传输单元)。例如,灵牌环网(token ring)的MTU是4464,以太网(Ethernet)的MTU是1500,因此,如果一个信息包要从灵牌环网传输到以太网,它就要被分裂成一些小的片断,然后再在目的地重建。虽然这样处理会造成效率降低,但是分片的效果还是很好的。黑客将分片视为躲避IDS的方法,另外还有一些DOS攻击也使用分片技术。
Heuristics(启发)
Heuristics就是指在入侵检测中使用AI(artificial intelligence,人工智能)思想。真正使用启发理论的IDS已经出现大约10年了,但他们还不够"聪明",攻击者可以通过训练它而使它忽视那些恶意的信息流。有些IDS使用异常模式去检测入侵,这样的IDS必须要不断地学习什么是正常事件。一些产商认为这已经是相当"聪明"的IDS了,所以就将它们看做是启发式IDS。但实际上,真正应用AI技术对输入数据进行分析的IDS还很少很少。
Honeypot(蜜罐)
蜜罐是一个包含漏洞的系统,它模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。与此同时,最初的攻击目标受到了保护,真正有价值的内容将不受侵犯。
Promiscuous(混杂模式)
默认状态下,IDS网络接口只能看到进出主机的信息,也就是所谓的non-promiscuous(非混杂模式)。如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地。这对于网络IDS是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量。交换型HUB可以解决这个问题,在能看到全面通信量的地方,会都许多跨越(span)端口。
二、市场上常见的硬件入侵检测系统
1、安氏领信LinkTrust?IDS NetworkDefender 200
安氏互联网安全系统有限公司自1999年在中国成立,公司总部位于北京,在上海、广州、成都等地设有分公司及办事处。以领信入侵检测系统为代表的安氏入侵检测类产品,在国内入侵检测(IDS)市场更是拥有绝对优势的市场份额。LinkTrust?IDS采用了许多先进技术和设计,如专用硬件承载平台设计;复杂协议分析和模式匹配的融合技术;多层分布式体系结构设计;完全远程升级技术;数据相关性分析技术等。领信入侵检测系统由网络传感器、主机传感器以及管理器组成,在网络和主机层面,将基于攻击特征分析和协议分析的入侵检测技术完美结合,监控分析网络传输和系统事件,自动检测和响应可疑行为,使用户在系统受到危害之前截取并防范非法入侵和内部网络误用,最大程度降低安全风险,保护企业网络系统安全。安氏公司通过强大的安氏安全实验室为用户提供技术支持与升级服务。
2、Enterasys Networks 公司Dragon Sensor
Enterasys Networks 公司诞生于2000年,是世界领先网络设计及制造商美国Cabletron 公司年初进行战略性结构重组后形成的四家独立专业化子公司之一。Dragon Sensor对正在使用的网络分组进行监控,寻找计算机犯罪、网络攻击、网络滥用迹象及异常现象。当它观察一个事件时,Dragon Sensor可以发送寻呼和电子邮件信息,然后采取相应措施来终止该事件,并对事件进行记录以用于以后的诉讼分析。一般来说,Dragon Sensor可以部署在防火墙前的独立系统上,或位于网络的关键位置。
3、启明星辰天阗入侵检测系统 N500
启明星辰信息技术有限公司成立于1996年,是一家由中国留学生创立的专业网络安全公司。拥有网络安全自主知识产权产品,提供整体安全解决方案与服务。天阗入侵检测与预警系统是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品,同时天阗还通过了所有权威管理部门的测评和认证。它是一种动态的入侵检测与响应系统。它能够实时监控网络传输,自动检测可疑行为,及时发现来自网络外部或内部的攻击,并可以实时响应,切断攻击方的连接。天阗系统可以与防火墙紧密结合,弥补了防火墙的访问控制不严密的问题。其联机文档提供了丰富的事件说明及恢复措施,可以最大程度地为网络系统提供安全保障。天阗N500为一种具有国际先进水平的多级分布式管理功能的IDS, 主要应用在安全需求明显,投资规模较大,安全要求较高,业务管理有多层次的结构,分支和下属单位多,网络结构较复杂,有核心业务的主机需要保护,有特殊的网络行为需要监控,网络流量在百兆环境下较高的单位。
4、中科网威天眼入侵检测系统NPIDS-N-HP-SB
北京中科网威信息技术有限公司于1999年在北京成立,一直专注于解决政府、银行、证券、电信等重点行业的安全问题。天眼入侵检测系统作为安全检测的最后一道防线,能提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,是其它安全措施的必要补充。系统采用引擎/控制台结构,引擎在网络中各个关键点部署,通过网络和中央控制台交换信息。网络引擎部分运行于安全操作系统Open BSD之上,负责网络数据的获取、分析、检测,对警报进行过滤和实时响应,并发送给控制台进行显示和记录。控制台运行于Windows平台,负责警报信息的及时显示、记录、查阅,支持用户定制检测、响应策略和控制网络引擎。
5、中联绿盟冰之眼入侵检测系统NIDS100-P
中联绿盟信息技术(北京)有限公司2000年成立于北京目前在广州、上海设有分公司,在湖南、沈阳设有办事处,是中国第一家专业从事网络安全服务的高科技公司。基于国际公认的安全实施标准和评估标准,推行绿盟科技的 DIEM 系统安全工程实施模型,进一步提高了安全服务和安全集成的实施质量,更有效的保障了客户的网络安全。冰之眼网络入侵检测系统由网络探测器、内网探测器、SSL加密传输通道、中央控制台、日志分析系统、SQL 日志数据库系统及绿盟科技中央升级站点几部分组成。能够准确地对入侵行为进行识别,并采取有效措施进行防护和干预。冰之眼网络入侵检测系统加强了对内网行为(内网拨号、IP-MAC对应关系改变、主机是否在线等发生在企业内网中的特定事件)的有效监控和跟踪,能够很好的帮助网络管理者发现和跟踪内网异常,确保对内网安全事件进行有效的监控管理。
6、金诺网安KIDS 3000
金诺网络安全技术发展股份有限公司2000年成立于上海,自主开发的拥有知识产权的部分产品有:金诺网安入侵检测系统KIDS、金诺网安外联监控系统KNCS、金诺网安介质取证系统DISKFOREN等。KIDS采用了智能的检测技术,它综合了特征匹配、协议分析和流量异常监测等多种检测技术的优点,能检测多种入侵攻击行为,包括扫描、嗅探、后门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异常和欺骗等11大类的安全事件,目前拥有的检测规则超过1800条,安全报警事件1200多条。系统具有完善的攻击事件库,并与国际上标准的漏洞库CVE、BugTraq和Whitehats等保持兼容。KIDS提供了多种分析工具,具有强大的安全事件追踪分析功能。KIDS采用了新一代的包处理技术和协议分析算法,传感器具备强劲的流量处理引擎。
7、东软NetEye IDS 2100 - FE2
东软集团来自东北大学,创立于1991年,总部位于中国沈阳。东软NetEye IDS利用独创的数据包截取技术对网络进行不间断的监控,扩大网络防御的纵深,同时采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图,进行报警、响应和防范。是防火墙之后的第二道安全闸门。同时具备强大的网络信息审计功能,可对网络的运行,使用情况进行全面的监控、记录、审计和重放,使用户对网络的运行状况一目了然。并且提供网络嗅探器和扫描器用于分析网络的问题,定位网络的故障。不但保障网络的安全,同时保障网络的健康运行。NetEye入侵检测系统可对自身的数据库进行自动维护,不需要用户的干预。学习和使用及其简易,不对网络的正常运行造成任何干扰,是完整的网络审计、监测、分析和管理系统。NetEye 入侵检测系统可与防火墙联动,自动配置防火墙策略,配合防火墙系统使用,可以全面保障网络的安全,组成完整的网络安全解决方案。
三、实际应用实例
应用环境:在一个企业级的Intranet网络中,在多个关键网段中(DMZ网络服务区、内网区、工作组区)分别部署IDS系统,以实现多处设防;采用IDS管理中心进行集中监控,同时也可与防火墙、网管平台等外围设备进行集成互动。
IDS通常只有两个端口,1个管理口与1个网络监听端口。管理口与控制中心连接,监听端口连接到所要检测区域的中心交换机上。
1、配置交换机的端口镜像
在非共享式的交换机上需要配置端口镜像。交换机端口镜像功能将从指定的交换机端口中复制端口流量到镜像端口中,以便进行流量和协议分析。下面以思科的3500、2900系统的交换机为例讲述如何配置端口镜像:
|
型号 |
配置方式 |
命令步骤 |
说明 |
|
3500,2900 系列 |
IOS |
enable,password |
school.enet.com.cn |
|
configure |
school.enet.com.cn |
|
configure terminal |
school.enet.com.cn |
|
interface fastethernet moudle/port |
模块 / 端口 |
|
port monitor {moudal/port vlanID} |
镜像源端口或 vlan |
|
end |
school.enet.com.cn |
|
write |
school.enet.com.cn |
|
show intterface fastethernet moudle/port mornitor |
查看镜像 |
2、设置控制中心
控制中心的任何操作都是通过菜单来完成的,为了增加操作的方便,对常用的一些操作设置了专门的按钮。
3、配置探测引擎
探测引擎分两部分,工具栏和探测引擎/子控制列表。工具栏里罗列了和探测引擎控制相关的常用工具按钮。列表里面是受控制中心直接管理的探测引擎、和子控制中心。有名称、IP地址、运行策略、通道状态、应用策略的时间等信息。添加、修改探测引擎配置如下:
4、编辑策略
策略分为系统策略以及衍生策略两类,系统策略为系统固有的策略,不可以进行编辑、删除及重命名。衍生策略为系统固有策略的衍生策略,可以由用户更改。
选中一个策略,并按动"衍生策略"按钮,系统则复制一份完全一样的模板,名称是在原有的名字后面加上"衍生策略"。选中一个衍生策略,原"查看策略"按钮就会自动变成"编辑策略",按动该按钮,系统则以读写方式打开策略编辑器。如图:
5、分析报表
IDS的一个最大的特点就是有详细的入侵检测报表分析,对每一件的网络攻击事件都有详细的记录(如:事件发生的时间、源IP与目的IP、攻击事件等)。根据不同的条件分为几组,方便查找。如图:
6、联动
由于IDS的接入方式都是采用旁路方式来监听网络上的数据流,所以这就限制了IDS本身的阻断功能,IDS只有靠发阻断数据包来阻断当前的行为,阻断的范围很小,只能阻断建立在TCP基础之上的一些行为,如TELNET、FTP、HTTP等,对建立在UDP基础之上或已经完成了TCP三次握手之后的行为就无能为力了。IDS与防火墙联动的目的就是为了更有效的阻断所发生的攻击事件。在联动菜单的设置如下:
在窗口中,选择防火墙的类型;添加防火墙的IP地址即可。当IDS发现有黑客攻击的时候,就会发出阻断数据包传输到防火墙,由防火墙来阻断攻击行为,更好的保护网络。
四、入侵检测系统的一些比较
1、入侵检测系统和等其他安全产品的区别
不同的安全产品会起到不同的作用。单位虽然有了防火墙,但只能对外部来的网络攻击起到防御作用,对于调制解调器的后门却是毫无能力。据国际IDC统计,70%以上的攻击都是来自防火墙管不到的网络内部。依据目前黑客所掌握的攻击能力,使得现有的安全产品如防火墙、身份认证、防病毒、加密等,在现有的操作系统本身以及各种应用软件的环境下, 都不能阻止黑客对系统网络的攻击。
另外,针对不同的行业需求, 比如金融机构对数据防篡改、防抵赖、身份认证的高度重视程度,政府机构对信息的保密性、隐蔽性、防窃密、防泄密的要求,以及电信、电力等行业对数据业务连续性的保障需求等等,我们应该利用各种安全产品的不同功效提出不同的解决方案,同时也要考虑到一些黑客的攻击的共性,例如操作系统一旦被攻破,整个系统的数据和业务都将全部被黑客掌握,信息网络安全的保密性、防篡改性、业务连续性都将被彻底破坏。这些问题是值得各行各业都要关注和重视的。相关安全产品对比表如下:
|
功能 产品 |
防火墙 |
网络型 IDS |
主机型 IDS |
审计系统 |
|
安全体系分布 |
最外层 |
网络通道 |
服务器 |
服务器 / 外加 |
|
检测入侵时间 |
不能 |
预警 / 实时 |
实时 / 事后 |
事后 |
|
阻断攻击 |
可以 |
可以(全网) |
仅限制本机 |
不能 |
|
防范黑客型病毒 |
不能 |
可以(全网) |
仅限制本机 |
不能 |
|
防止后门 |
不能 |
可以(全网) |
仅限制本机 |
不能 |
|
保护内网 |
不能 |
可以(全网) |
仅限制本机 |
可以(事后) |
|
影响原系统负荷 |
有 |
无 |
有 |
有 |
|
防范纯网络型攻击 |
可以 |
可以 |
不能 |
不能 |
|
与防火墙互动 |
当然 |
可以 |
不能 |
不能 |
|
网络安全审计 |
部分 |
有 |
不能 |
部分 |
|
主机安全审计 |
无 |
无 |
有 |
部分 |
2、性能与价格的比较
|
产品名称 |
警告通知方式 |
自动将事件信息记录到关系数据库中 |
对详细的信息深入追究 |
提供可定制的报告 |
获得的许可证 |
价 格(单位:人民币元) |
|
东软 NetEye IDS 2100 - FE2 |
日志、邮件、实时界面显示以及声音 |
√ |
√ |
包括 IP、端口、警报内容、危险级别以及访问站点列表等 |
公安部销售许可证、国家信息安全测评认证中心认证、军用信息安全产品认证 |
150000 |
|
金诺网安 KIDS 3000 |
控制台报警、邮件、短信、传呼机、传真、 SNMP Trap消息、Winpopup、声音、自定义程序、日志记录、中断TCP会话、伪造ICMP应答、根据黑名单断开、通过防火墙阻断等 |
√ |
√ |
可自由选择报表模板,任意定义条件,包括时间范围、传感器 ID、攻击风险、事件类型、事件ID、目标地址、源地址、目标端口、远端口 |
公安部销售许可证、国家信息安全测评认证中心证书、国家保密局科学技术成果鉴定证书、军用信息安全产品证书 |
175000 |
|
启明星辰 N500 |
E-mail、呼(手)机、Windows短消息、声音、自定义方式 |
√ |
√ |
包括事件名称、 IP、端口、警报内容、危险级别等 |
公安部计算机信息系统安全专用产品销售许可证、国家信息安全认证、军用信息安全产品认证、国家保密局科学技术鉴定 |
218600 |
|
中科网威 NPIDS-SB |
E-mail、声音、SNMP陷阱、NT消息 |
√ |
√ |
√ |
公安部销售许可证、国家信息安全测评认证中心证书、军用信息安全产品证书以及国家保密局鉴定 |
186000 |
|
中联绿盟 NIDS100-P |
E-mail呼机、通过学习Web服务器在浏览器中实时显示 |
√ |
√ |
包括 IP、端口、警报内容、危险级别等 |
公安部销售许可证、国家信息安全测评认证中心认证、军用信息安全产品认证、军密认证 |
218000 |
|
安氏 ND200 |
E-mail呼机、通过学习Web服务器在浏览器中实时显示 |
√ |
√ |
包括 IP、端口、警报内容、危险级别等 |
公安部销售许可证、国家信息安全测评认证中心认证 |
226600 |
五、如何选购入侵检测系统
1. 入侵检测系统的价格
入侵检测系统本身的价格是必需考虑的要点,不过,性能价格比、以及要保护系统的价值可是更重要的因素。象反病毒软件一样,入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。特征库升级与维护是需要额外的费用。
2. 部署入侵检测系统的环境
在选购入侵检测系统之前,首先要分析产品所部署的网络环境,如果在512K或2M专线上部署网络入侵检测系统,则只需要100M的入侵检测引擎;而在负荷较高的环境中,则需要采用1000M的入侵检测引擎
3. 入侵检测系统的实际性能
产品的实际检测性能是否稳定,对于一些常见的针对入侵检测系统的攻击手法(如:分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击)是否能清楚的识别。
4. 产品的可伸缩性
入侵检测系统所支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽是否可以升级。
5. 产品的入侵响应方式
要从本地、远程等多个角度考虑,通常的一些响应方式有:短信、手机、传真、邮件、警报、SNMP等。
6. 是否通过了国家权威机构的评测
产品是否获得了《计算机信息系统安全专用产品销售许可证》、《国家信息安全产品测评认证证书》、《军用信息安全产品认证证书》和《涉密网网络安全产品科技成果鉴定》。
网页显示有限 阅读全文请下载本文完整版WORD文档