基礎(chǔ)知識(shí)小貼士:何謂IDS?
21世紀(jì)是一個(gè)互聯(lián)網(wǎng)信息爆發(fā)的時(shí)代,當(dāng)越來越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移的時(shí)候,網(wǎng)絡(luò)安全作為一個(gè)無法回避的問題擺在人們面前。公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者技能的日趨成熟,攻擊工具與手法的日趨復(fù)雜多樣,單純的防火墻策略已經(jīng)無法滿足對(duì)安全高度敏感的部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。
與此同時(shí),目前的網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜,各式各樣的復(fù)雜的設(shè)備,需要不斷升級(jí)、補(bǔ)漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重,不經(jīng)意的疏忽便有可能造成重大的安全隱患。在這種情況下,入侵檢測(cè)系統(tǒng)IDS(Intrusion Detection System)就成了構(gòu)建網(wǎng)絡(luò)安全體系中不可或缺的組成部分。
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測(cè)系統(tǒng)”。專業(yè)上講就是依照一定的安全策略,對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。
做一個(gè)形象的比喻:假如防火墻是一幢大樓的門鎖,那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓,或內(nèi)部人員有越界行為,只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。
入侵檢測(cè)的原理
入侵檢測(cè)可分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)兩種。
實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過程中進(jìn)行,系統(tǒng)根據(jù)用戶的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶當(dāng)前的操作進(jìn)行判斷,一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接,并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測(cè)過程是不斷循環(huán)進(jìn)行的。而事后入侵檢測(cè)則是由具有網(wǎng)絡(luò)安全專業(yè)知識(shí)的網(wǎng)絡(luò)管理人員來進(jìn)行的,是管理員定期或不定期進(jìn)行的,不具有實(shí)時(shí)性,因此防御入侵的能力不如實(shí)時(shí)入侵檢測(cè)系統(tǒng)。
入侵檢測(cè)的通信協(xié)議
IDS系統(tǒng)組件之間需要通信,不同的廠商的IDS系統(tǒng)之間也需要通信。因此,定義統(tǒng)一的協(xié)議,使各部分能夠根據(jù)協(xié)議所制訂的標(biāo)準(zhǔn)進(jìn)行溝通是很有必要的。IETF 目前有一個(gè)專門的小組 IDWG(IntrusionDetection WorkingGroup)負(fù)責(zé)定義這種通信格式,稱作Intrusion Detection ExchangeFormat。目前只有相關(guān)的草案,并未形成正式的RFC文檔。盡管如此,草案為IDS各部分之間甚至不同IDS系統(tǒng)之間的通信提供層協(xié)議,其設(shè)計(jì)多其他功能(如可從任意端發(fā)起連接,結(jié)合了加密、身份驗(yàn)證等)。
IDS的作用
做一個(gè)形象的比喻:假如防火墻是一幢大樓的門鎖,那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓,或內(nèi)部人員有越界行為,只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。
不同于防火墻,IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備,沒有跨接在任何鏈路上,無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此,對(duì)IDS的部署,唯一的要求是:IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里,"所關(guān)注流量"指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)絡(luò)拓?fù)渲校呀?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò),絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級(jí)到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此,IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在:
(1)盡可能靠近攻擊源
(2)盡可能靠近受保護(hù)資源
這些位置通常是:
•服務(wù)器區(qū)域的交換機(jī)上
•Internet接入路由器之后的第一臺(tái)交換機(jī)上
•重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上防火墻和IDS可以分開操作,IDS是個(gè)監(jiān)控系統(tǒng),可以自行選擇合適的,或是符合需求的,比如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善,可以更改設(shè)置及規(guī)則,或是重新設(shè)置;在實(shí)際的使用中,大多數(shù)的入侵檢測(cè)的接入方式都是采用pass-by方式來偵聽網(wǎng)絡(luò)上的數(shù)據(jù)流,所以這就限制了IDS本身的阻斷功能,IDS只有靠發(fā)阻斷數(shù)據(jù)包來阻斷當(dāng)前行為,并且IDS的阻斷范圍也很小,只能阻斷建立在TCP基礎(chǔ)之上的一些行為,如Telnet、FTP、HTTP等,而對(duì)于一些建立在UDP基礎(chǔ)之上就無能為力了。因?yàn)榉阑饓Φ牟呗远际鞘孪仍O(shè)置好的,無法動(dòng)態(tài)設(shè)置策略,缺少針對(duì)攻擊的必要的靈活性,不能更好的保護(hù)網(wǎng)絡(luò)的安全,所以IDS與防火墻聯(lián)動(dòng)的目的就是更有效地阻斷所發(fā)生的攻擊事件,從而使網(wǎng)絡(luò)隱患降至較低限度。
【編輯推薦】
