入侵檢測概述
網絡安全基本概念
計算機網絡的功能作用是:
-
提供計算機的連通性服務
-
資源共享
計算機網絡系統的安全威脅主要來自於3個方面:
-
黑客(Hacker)的攻擊
-
計算機病毒(Virus)
-
拒絕服務攻擊(Denies Of Service, DOS)
網絡安全的實質
- 保障系統中的人、設備、設施、軟件、數據以及各種供給品等要素免遭各種偶然的或人爲的破壞或攻擊,使它們發揮正常,保障系統能安全可靠地工作 。
- 爲了提高網絡系統的安全性,需要從多個層次和環節入手,分別分析應用系統、宿主機、操作系統、數據庫管理系統、網絡管理系統、子網、分佈式計算機系統和全網中的弱點,採取措施加以防範。
- 瞭解網絡系統受到的威脅及胞弱性;
- 開發和實施成效的安全策略,減少風險;
- 制定應急計劃
- 完備的安全管理措施等
入侵檢測的產生與發展
網絡系統的安全對策與入侵檢測
入侵檢測是最近10餘年發展起來的一種動態的監控、預防或抵禦系統入侵行爲的安全機制。主要通過監控網絡、系統的狀態、行爲以及系統的使用情況,來檢測系統用戶的越權使用以及系統外部的入侵者利用系統的安全缺陷對系統進行入侵的企圖。
防火牆
一種高級訪問控制設備,置於不同網絡安全域之間的一系列部件的組合,它是不同網絡安全域間通信流的唯一通道,能根據企業有關的安全政策控制(允許、拒絕、監視、記錄)進出網絡的訪問行爲
防火牆不能防止通向站點的後門;一般不提供對內部的保護;無法防範數據驅動型的攻擊;不能防止用戶由Internet上下載被病毒感染的計算機程序或將該類程序附在電子郵件上傳輸。爲確保網絡的安全,就必須對網絡內部進行實時的檢測,這就需要IDS無時不在的防護
網絡安全的P2DR模型與入侵檢測
-
Policy(安全策略)
-
Protection(防護)
-
Detection(檢測)
-
Response(響應)
- 所有的環節(防護、檢測、響應)都是圍繞安全策略展開的;安全策略是P2DR模型的核心。
- PDR模型強調網絡安全的動態性,P2DR在PDR模型的基礎上,更強調管理因素。
入侵檢測的早期研究
- 主機審計(入侵檢測技術的起源)
- 出現在入侵檢測技術之前
- 定義
- 產生、記錄並檢查按照時間順序排列的系統事件記錄的過程。
- 主要目的
- 在早期(貴)的中央主機集中計算的環境之下,主機審計的是統計用戶的上機時間,便於進行計費管理。
- 隨着計算機的普及,審計的用途擴展到跟蹤記錄計算機系統的資源使用情況
- 主機審計開始應用於追蹤調查計算機系統中用戶的不正當使用行爲的目的
主機和網絡IDS的集成
- 分佈式入侵檢測系統(DIDS)最早試圖把基於主機的方法和網絡監視方法集成在一起。
- DIDS的最初概念是採用集中式控制技術,向DIDS中心控制器發報告。
入侵檢測的基本概念
-
入侵:是指任何試圖危及計算機資源的完整性、機密性或可用性的行爲。
-
入侵檢測:對入侵行爲的發覺。它通過從計算機網絡或系統中的若干關鍵點收集信息,並對這些信息進行分析,從而發現網絡或系統中是否有違反安全策略的行爲和遭到襲擊的跡象。
-
入侵檢測系統:進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(簡稱IDS)。
入侵檢測的作用
-
監控、分析用戶和系統的活動
-
審計系統的配置和弱點
-
評估關鍵系統和數據文件的完整性
-
識別攻擊的活動模式
-
對異常活動進行統計分析
-
對操作系統進行審計跟蹤管理,識別違反政策的用戶活動
入侵檢測的優點
-
提高信息安全構造的其他部分的完整性
-
提高系統的監控
-
從入口點到出口點跟蹤用戶的活動
-
識別和彙報數據文件的變化
-
偵測系統配置錯誤並糾正他們
-
識別特殊攻擊類型,並向管理人員發出警報,進行防禦
入侵檢測的缺點
-
不能彌補差的認證機制
-
如果沒有人的干預,不能管理攻擊調查
-
不能知道安全策略的內容
-
不能彌補網絡協議上的弱點
-
不能彌補系統提供質量或完整性的問題
-
不能分析一個堵塞的網絡
-
不能處理有關packet-level的攻擊