入侵檢測系統怎麼配置使用
Ⅰ 中小企業如何部署入侵檢測系統
隨著網路技術的快速發展,如今的網路安全不再僅僅是靠防火牆或者個別安全社設備就可以完全抵禦的,攻擊手法和方式的多樣化勢必要求網路安全產品整合,協同工作。防火牆、殺毒軟體、安全策略早已被大多數用戶紛紛採用的,更出現了IPS、IDP等高端的安全產品,但筆者以為其實就中小企業而言入侵檢測系統更能滿足用戶的需求。筆者始終認為,只有掌握了惡意軟體或行為後,對症下葯會更好的解決用戶所遇到的威脅。 入侵檢測的用途 雖然入侵檢測系統(Intrusion Detection System,IDS)早已不再是什麼神秘的神兵利器,但卻可以在惡意行為發生時及時通告用戶,此種檢測手段非常適合於在防火牆的基礎之上部署在中、小企業中,甚至對於要求更嚴格的大型企業網路也是適用的。現在用戶都清楚一個事實,一台普通的計算機是以安裝防火牆的方式來進行訪問規則的設置,而對於企業網路來說,這是遠遠不夠的。此時相對更加昂貴的IPS或IDP設備,入侵檢測系統IDS已經可以勝任網路防護的重任,管理員只要留意網路通信的異常和警告稍加分析就可以判斷是否有惡意行為的發生。通常筆者在實施企業級應用時,首先會考慮企業的實際需要,而IDS不論對於何種規模的網路都是適用的,IDS是建立在防火牆基礎之上的一種很有效的防護手段。 入侵檢測適用范圍 雖然IDS和IPS之間的爭論已經了結了很久,但是仍有不少用戶在選擇安全產品的時候存在錯誤或者說是模糊的概念。有人說IDS和IPS目前只適用於中大型網路,對於只有小型網路和若干IT工作人員的中小型企業來說,大型IDS入侵檢測系統造價偏高而且還得投入工作人員全天候進行監控,相對來說並不劃算。因此很多小型企業只能利用防火牆對其實現安全防護,這顯然是不夠的,這讓很多入侵行為無法被防火牆及時發現並造成損失。曾經筆者在為一家中小企業處理做應急方案的時候就發現,由於防火牆自身規則的限制,使得企業無法防範來自內部的威脅,困此小型企業可以嘗試使用小型網路產品或者利用外包商們專為中小型企業提供的檢測和預警服務,在防火牆產品以備或防火牆無法滿足現有安全需求時完善企業的安全機制。但是筆者還是強調任何設備都不是萬能的守護神,而IDS應該是多層防禦系統的一部份,這個防禦系統中最重要的還應是安全管理。 如何部署入侵檢測系統 如果企業在已擁有防火牆基礎之上部署入侵檢測系統,應首先評考慮目前的網路規模和范圍以及需要保護的數據和基礎設施等,由於IDS只是一種安全硬體,而且由於IDS在行為檢測過程中可能會佔用比較多的資源,這對於一個極小的網路來說會成為很大的負擔,甚至會影響網路的使用性能。用戶只有根據自身的需求進行評估後,才可以對相關的IDS或IPS進行評測考證,隨後才能討論IDS如何融入現有的安全策略中。 在小型企業中,配備好一個處理能力良好的防火牆會比完備的IDS更好控制,但是防火牆只能阻止已經被限制網路通信,並不能起到很好的防護效果。而對於IDS來說可以記錄不必要的通信量,雖然有時不進行阻止,但在記錄中發現不明規則的同時,可以利用防火牆新建策略對其進行阻止訪問,所以防火牆與IDS是功能互補,相互依賴的。 通常惡意行為在入侵一台伺服器時會先侵入較低保護的系統,然後通過提權獲得更高的許可權直至達到入侵目的。因此用戶考慮是否部署IDS產品前,應對目前伺服器中存儲的信息進行風險分析,不僅要考慮數據安全性,也要考慮系統結構和低風險系統到高風險系統的可侵入性。 如果僅靠IDS是不會達到很好的防護效果的,用戶要想IDS對網路起到很好的保護,那其設備必須安裝在防火牆的兩邊以及網關處,讓其檢測無論是內部的還是外部的所有通信量,並將不同網段的檢測結果進行對比,那樣才能確定攻擊的來源或者試圖入侵的惡意代碼。而對於內部攻擊,可通過IDS入侵檢測系統對內部網段可疑活動的檢測,找到病源。當然IDS可能會產生誤報,管理人員可以從惡意程序試探網路的通信數據中找到入侵的路徑。 總結 隨著黑客技術的提升,使得安全技術和產品必須更快的發展,以應對網路各種脅威。
Ⅱ 什麼是入侵檢測,以及入侵檢測的系統結構組成
入侵檢測(Intrusion Detection)是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計
數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現:監視、分析用戶及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式並向相關人士報警;異常行為模式的統計分析;評估重要系統和數據文件的完整性;操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為。 入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。 入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現: · 監視、分析用戶及系統活動; · 系統構造和弱點的審計; · 識別反映已知進攻的活動模式並向相關人士報警; · 異常行為模式的統計分析; · 評估重要系統和數據文件的完整性; · 操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為。 對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程序、文件和硬體設備等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連接、記錄事件和報警等。編輯本段分類情況
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
特徵檢測
特徵檢測 (Signature-based detection) 又稱 Misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。
異常檢測
異常檢測 (Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。編輯本段工作步驟
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程序、文件和硬體設備等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連接、記錄事件和報警等。編輯本段常用術語
隨著IDS(入侵檢測系統)的超速發展,與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語,其中一些是非常基本並相對通用的,而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力,不同的產商可能會用同一個術語表示不同的意義,從而導致某些術語的確切意義出現了混亂。對此,本文會試圖將所有的術語都囊括進來。
Alert
(警報) 當一個入侵正在發生或者試圖發生時,IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器,alert信息將顯示在監視器上,也可能伴隨著聲音提示。如果是遠程式控制制台,那麼alert將通過IDS系統內置方法(通常是加密的)、SNMP(簡單網路管理協議,通常不加密)、email、SMS(簡訊息)或者以上幾種方法的混合方式傳遞給管理員。
Anomaly
(異常) 當有某個事件與一個已知攻擊的信號相匹配時,多數IDS都會告警。一個基於anomaly(異常)的IDS會構造一個當時活動的主機或網路的大致輪廓,當有一個在這個輪廓以外的事件發生時
入侵檢測圖片(2)
,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個用戶突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能,但一個啟發式的IDS應該在其推理判斷方面具有更多的智能。
Appliance
(IDS硬體) 除了那些要安裝到現有系統上去的IDS軟體外,在市場的貨架上還可以買到一些現成的IDS硬體,只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。
ArachNIDS
ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫,它是動態更新的,適用於多種基於網路的入侵檢測系統。 ARIS:Attack Registry & Intelligence Service(攻擊事件注冊及智能服務) ARIS是SecurityFocus公司提供的一個附加服務,它允許用戶以網路匿名方式連接到Internet上向SecurityFocus報送網路安全事件,隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來,最終形成詳細的網路安全統計分析及趨勢預測,發布在網路上。它的URL地址是。
Attack
(攻擊) Attacks可以理解為試圖滲透系統或繞過系統的安全策略,以獲取信息、修改信息以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型: 攻擊類型1-DOS(Denial Of Service attack,拒絕服務攻擊):DOS攻擊不是通過黑客手段破壞一個系統的安全,它只是使系統癱瘓,使系統拒絕向其用戶提供服務。其種類包括緩沖區溢出、通過洪流(flooding)耗盡系統資源等等。 攻擊類型2-DDOS(Distributed Denial of Service,分布式拒絕服務攻擊):一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊,卻無法發出足夠的信息包來達到理想的結果,因此就產生了DDOS,即從多個分散的主機一個目標發動攻擊,耗盡遠程系統的資源,或者使其連接失效。 攻擊類型3-Smurf:這是一種老式的攻擊,但目前還時有發生,攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作,然後所有活動主機都會向該目標應答,從而中斷網路連接。 攻擊類型4-Trojans(特洛伊木馬):Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當木馬運到城裡,士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中,它原本是指那些以合法程序的形式出現,其實包藏了惡意軟體的那些軟體。這樣,當用戶運行合法程序時,在不知情的情況下,惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程序都是遠程式控制制工具,Trojan這個術語很快就演變為專指這類工具,例如BackOrifice、SubSeven、NetBus等等。
Automated Response
(自動響應) 除了對攻擊發出警報,有些IDS還能自動抵禦這些攻擊。抵禦方式有很多:首先,可以通過重新配置路由器和防火牆,拒絕那些來自同一地址的信息流;其次,通過在網路上發送reset包切斷連接。但是這兩種方式都有問題,攻擊者可以反過來利用重新配置的設備,其方法是:通過偽裝成一個友方的地址來發動攻擊,然後IDS就會配置路由器和防火牆來拒絕這些地址,這樣實際上就是對「自己人」拒絕服務了。發送reset包的方法要求有一個活動的網路介面,這樣它將置於攻擊之下,一個補救的辦法是:使活動網路介面位於防火牆內,或者使用專門的發包程序,從而避開標准IP棧需求。
CERT
(Computer Emergency Response Team,計算機應急響應小組) 這個術語是由第一支計算機應急反映小組選擇的,這支團隊建立在Carnegie Mellon大學,他們對計算機安全方面的事件做出反應、採取行動。現在許多組織都有了CERT,比如CNCERT/CC(中國計算機網路應急處理協調中心)。由於emergency這個詞有些不夠明確,因此許多組織都用Incident這個詞來取代它,產生了新詞Computer Incident Response Team(CIRT),即計算機事件反應團隊。response這個詞有時也用handling來代替,其含義是response表示緊急行動,而非長期的研究。
CIDF
(Common Intrusion Detection Framework;通用入侵檢測框架) CIDF力圖在某種程度上將入侵檢測標准化,開發一些協議和應用程序介面,以使入侵檢測的研究項目之間能夠共享信息和資源,並且入侵檢測組件也能夠在其它系統中再利用。
CIRT
(Computer Incident Response Team,計算機事件響應小組) CIRT是從CERT演變而來的,CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的,而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。
CISL
(Common Intrusion Specification Language,通用入侵規范語言) CISL是CIDF組件間彼此通信的語言。由於CIDF就是對協議和介面標准化的嘗試,因此CISL就是對入侵檢測研究的語言進行標准化的嘗試。
CVE
(Common Vulnerabilities and Exposures,通用漏洞披露) 關於漏洞的一個老問題就是在設計掃描程序或應對策略時,不同的廠商對漏洞的稱謂也會完全不同。還有,一些產商會對一個漏洞定義多種特徵並應用到他們的IDS系統中,這樣就給人一種錯覺,好像他們的產品更加有效。MITRE創建了CVE,將漏洞名稱進行標准化,參與的廠商也就順理成章按照這個標准開發IDS產品。
Crafting Packet
(自定義數據包) 建立自定義數據包,就可以避開一些慣用規定的數據包結構,從而製造數據包欺騙,或者使得收到它的計算機不知該如何處理它。
Desynchronization
(同步失效) Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑,從而導致無法重新構建數據。這一技術在1998年很流行,現在已經過時了,有些文章把desynchronization這個術語代指其它IDS逃避方法。
Eleet
當黑客編寫漏洞開發程序時,他們通常會留下一個簽名,其中最聲名狼藉的一個就是elite。如果將eleet轉換成數字,它就是31337,而當它是指他們的能力時,elite=eleet,表示精英。31337通常被用做一個埠號或序列號。目前流行的詞是「skillz」。
Enumeration
(列舉) 經過被動研究和社會工程學的工作後,攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於現在的行動不再是被動的,它就有可能被檢測出來。當然為了避免被檢測到,他們會盡可能地悄悄進行。
Evasion
(躲避) Evasion是指發動一次攻擊,而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面,而實際攻擊的卻是另一個目標,所謂明修棧道,暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL(有效時間)值,這樣,經過IDS的信息看起來好像是無害的,而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標,無害的部分就會被丟掉,只剩下有害的。
Exploit
(漏洞利用) 對於每一個漏洞,都有利用此漏洞進行攻擊的機制。為了攻擊系統,攻擊者編寫出漏洞利用代碼或教本。 對每個漏洞都會存在利用這個漏洞執行攻擊的方式,這個方式就是Exploit。為了攻擊系統,黑客會編寫出漏洞利用程序。 漏洞利用:Zero Day Exploit(零時間漏洞利用) 零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用,也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現,很快就會出現針對它的補丁程序,並在IDS中寫入其特徵標識信息,使這個漏洞利用無效,有效地捕獲它。
False Negative
(漏報) 漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。 False Positives(誤報) 誤報是指實際無害的事件卻被IDS檢測為攻擊事件。 Firewalls(防火牆) 防火牆是網路安全的第一道關卡,雖然它不是IDS,但是防火牆日誌可以為IDS提供寶貴信息。防火牆工作的原理是根據規則或標准,如源地址、埠等,將危險連接阻擋在外。
FIRST
(Forum of Incident Response and Security Teams,事件響應和安全團隊論壇) FIRST是由國際性政府和私人組織聯合起來交換信息並協調響應行動的聯盟,一年一度的FIRST受到高度的重視。
Fragmentation