入侵检测系统
1.什么是入侵检测系统
入侵检测系统是为保障计算机系统的安全而设计的, 它通过收集和分析网络行为、安全日志、等其它网络上可以获得的信息以及计算机系统中若干关键点的信息, 检查网络或系统中是否存在违反安全策略的和被攻击的迹象,它对系统中未授权用户的攻击、外部攻击和异常现象的操作有实时的保护作用, 能在网络系统受到危害之前进行检测和拦截。在不影响网络性能的情况下能对网络时行监测, 入侵检测是防火墙的合理补充, 帮助系统对付网络攻击。扩展了系统管理员的安全管理能力。[1]
2.入侵检测系统的分类[1]
1.按照分析方法分
(1)异常检测:该检测方法是总结正常操作所具有的特征并用定量的方法加以描述, 当用户的活动与正常行为有很大的偏差时就认为是入侵。该方法的优点是不需要保存各种攻击特征的数据库, 随着统计数据的增加, 其检测的准确性也增高,由于用户的行为不容易在范围内, 当出错的概率比较大时, 它只能说明系统有可能发生了异常的情况, 不一定是受到了攻击,这给管理带来了很大的困难。
(2)误用检测: 该检测方法是收集整理非正常操作的行为特征,并建立特征库,当检测的系统行为与库中的记录相匹配时,就认为是入侵。
2.按照数据来源分
(1)基于主机的入侵检测系统
系统的数据主要来自操作系统跟踪日志、审计记录和主动与主机系统进行交互而获得不存在于系统日志中的信息。它通过监视系统运行情况来检测入侵。这种类型的检测系统不需要额外的硬件。对网络流量不敏感, 效率高, 能准确定位入侵并及时进行反应, 但能检测到的攻击类型有限, 且占用主机资源, 依赖于主机的可靠住,不能检测网络攻击。
(2)基于网络的入侵检系统
网络入侵检测系统的数据来源为原始的网络分组数据包。它通过在计算机网络中的某些点被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。它的优势在于它的实时性, 当检测到攻击时,就能很快做出反应。另外它可以通过在一个点上监测整个网络中的数据包,并且它在检测网络包时并不依靠操作系统来提供数据。但它的缺点是只能检测经过本网段的数据流,无法了解主机内部的安全情况,而且网络传输的速度快,流量大,从而导致检测的精确度较差, 以致于漏检。
3.按照体系结构分
(1)集中式:它只有一个中央入侵检测服务器, 多个分布于不同主机上的审计程序把当地收集到的数据发给这个入侵检测服务器,服务器对发来的数据进行分析并处理。它伸缩性强,但是配置性较差。
(2)分布式:它将中央检测服务器的任务分配给多个主机入侵检测系统, 负责监视当地主机的一切活动。但是它的维护成本较高,主机的工作负担较重。
4.按照工作方式分
(1)离线检测: 是在行为发生后,对产生的数据进行分析,这种检测方式不能及时的保护系统,但是成本低,能对大量的事件做长期的分析。
(2)在线检测:在监测数据产生的同时数据进行分析,这种检测方式能及时保护系统,反应灵敏。