前面我已經談到過入侵檢測有如下功能:還沒看關於入侵檢測的來來來,傳送門在此——>入侵檢測系統詳解
① 監控分析使用者和系統活動
② 返現入侵企圖或異常現象
③ 記錄報警和響應
目前的入侵檢測系統是網路安全整體解決方案的乙個重要部分,需要與其他安全裝置
之間協同工作,共同解決網路安全問題,這就對引入協同提出了要求。
入侵檢測需要採集動態資料(網路資料報)和靜態資料(日誌檔案等)。基於網路的入侵檢
測系統,僅在網路層通過原始的ip包進行檢測,已不能滿足日益增長的安全需求;基於主機的入侵檢測系統,通過直接檢視使用者行為和作業系統日誌資料來尋找入侵,卻很難發現來自底層的網路攻擊。
在採集網路資料報時,入侵檢測系統一直是通過嗅探等被動方式來獲取資料,一旦某個資料報丟失就無法挽回。 而且,未來的網路是全交換的網路,網路速度越來越快,許多重要的網路還是加密的。在這種情況下,對動態網路資料報的採集就更加困難。因此,在資料採集上進行協同並充分利用各層次的資料,是提高入侵檢測能力的首要條件。
資料採集協同包含以下幾個方面的內容。
1 入侵檢測系統與漏洞掃瞄系統的協同。
漏洞掃瞄系統的特點是利用完整的漏洞庫,對網路中的各個主機進行掃瞄,對主機所存在的網路、作業系統和執行等方面存在的漏洞給出綜合報告,然後提出漏洞的修補辦法和風險評估報告。
2 入侵檢測系統與掃瞄系統的協同。
一方面, 可以利用掃瞄系統的掃瞄結果,對目前網路或系統所存在的漏洞做到心中有數,並對預警策略進行修改,從而盡可能地減少誤報,對隱含在正常行為中的攻擊行為做出報警;另一方面,入侵檢測系統能夠對目前正在遭受攻擊的漏洞進行及時的防範。
3 入侵檢測系統與防病毒系統的協同。
面對來自網路的病毒攻擊,入侵檢測系統可能根據某些特徵做出警告,但由於入侵檢測系統本身並不是防病毒系統,對網路中的主機是否真的正在遭受計算機病毒的襲擊不能準確地預報,這時防病毒系統就有了用武之地,可以有針對性地對入侵檢測系統的病毒報警資訊進行驗證,對遭受病毒攻擊的主機系統進行適當的處理。
入侵檢測不僅需要利用模式匹配和異常檢測技術來分析某個檢測引擎所採集的資料,還要在此基礎上利用資料探勘技術,分析多個檢測引擎提交的審計資料以發現更為複雜的入侵行為。
從理論上講,任何網路入侵行為都能夠被發現,因為網路流量和主機日誌記錄了入侵的活動資料分析協同需要在兩個層面上進行,一是對乙個檢測引擎採集的資料進行協同分析,綜合使用檢測技術,以發現較為常見的、典型的攻擊行為;二是對來自多個檢測引擎的審計資料,利用資料探勘技術進行分析,以發現較為複雜的攻擊行為。考核入侵檢測系統資料分析能力可以從準確性、效率和可用性 3個方面進行。基於這點,可以認為監測引擎是完成第一種資料分析協同的最佳地點,中心管理控制平台則是完成第二種資料分析協同的最佳地點。
當檢測引擎面對並非單一的資料時, 綜合使用各種監測技術就顯得十分重要。從攻擊的特徵來看,有的攻擊方法使用異常監測來檢測會很容易,而有的攻擊方法使用模式匹配來檢測則很簡單。
例如,黑客在正式攻擊網路之前,往往利用各種探測器分析網路中最脆弱的主機
及主機上最容易被攻擊的漏洞,在正式攻擊時,因為黑客的「攻擊準備」活動早已被系統
記錄,所以入侵檢測系統就能及時地對此攻擊活動做出判斷。
響應協同就是入侵檢測系統與有充分響應能力的網路裝置或網路安全裝置整合在一
起,構成響應和預警互補的綜合安全系統。
響應協同主要包含以下幾個方面。
1.入侵檢測系統與防火牆的協同
防火牆與入侵檢測系統可以互補體現在靜態和動態兩個層面上。靜態協同是指入侵檢測系統可以通過了解防火牆的策略,對網路安全事件進行有效分析,從而準確地報警,減少誤報;動態協同是指當入侵檢測系統發現攻擊行為時,可以通知防火牆阻斷已經建立的連線,同時通知防火牆修改策略,防止潛在的進一步攻擊的可能性。
2.入侵檢測系統與路由器、交換機的協同
交換機和路由器一般串接在網路上,都有預定的策略,可以決定網路上的資料流,所以入侵檢測系統與交換機、路由器的協同也有動態和靜態兩個方面,過程也大致相同。
3.入侵檢測系統與防病毒系統的協同
對防病毒系統來講,查毒和防毒缺一不可,在查毒層面有資料採集協同,在防毒層面有響應協同。入侵檢測系統可以通過傳送大量rst報文阻斷已經建立的連線,但在防止計算機遭受病毒襲擊的方面無能為力。目前由於網路病毒攻擊佔所有攻擊的比例不斷增加,入侵檢測系統與防病毒系統的協同也變得越來越重要。
4.入侵檢測系統與蜜罐協同
蜜罐是試圖將攻擊者從關鍵系統引誘開的誘騙系統。這些系統充滿了看起來很有用的資訊,但是這些資訊實際上是捏造的,合法使用者是訪問不到的。因此,在檢測到對「蜜罐」的訪問時,很可能就有攻擊者闖入。(後面有空更新個蜜罐)
IDS 入侵檢測系統
ids 詳細內容請點 開放分類 資訊科技 硬體 電腦 網路安全 ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機...
入侵檢測系統(IDS)簡介
第一章 入侵檢測系統概念 當越來越多的公司將其核心業務向網際網路轉移的時候,網路安全作為乙個無法迴避的問題呈現在人們面前。傳統上,公司一般採用防火牆作為安全的第一道防線。而隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨複雜多樣,單純的防火牆策略已經無法滿足對安全高度敏感的部門的需要,網路的防衛必須採...
IDS入侵檢測
ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。我們做乙個形象的比喻 假如 防火牆是一幢大...