簡述主機入侵檢測系統如何保護主機系統
入侵檢測系統通過基于不同介質可以分為兩大類,即網絡入侵檢測系統和主機入侵檢測系統,本篇文章主要介紹主機入侵檢測系統的工作原理、應用和關于主機入侵檢測系統的優缺點,幫助用戶在入侵檢測系統的選用上做出抉擇。
HIDS的原理及體系結構
主機入侵檢測系統通常在被重點檢測的主機上運行一個代理程序。該代理程序扮演著檢測引擎的角色,它根據主機行為特征庫對受檢測主機上的可疑行為進行采集、分析和判斷,并把警報信息發送給控制端程序,由管理員集中管理。此外,代理程序需要定期給控制端發出信號,以使管理員能確信代理程序工作正常。如果是個人主機入侵檢測,代理程序和控制端管理程序可以合并在一起,管理程序也簡單得多。
不同的應用范圍,對主機入侵檢測的要求也有不同。我們將其分為:個人、企業、政府、電信等多個級別。
1.個人級:由于個人電腦的配置較低,專供個人使用的入侵檢測產品在功能和性能上做了極大的簡化。同時在易用性方面針對個人用戶又有了加強,如圖形界面的使用,配置向導等功能。
2.企業級:企業級的入侵檢測產品要求在性能、功能、易用性、成本等幾方面找到一個平衡點。
3.政府級:政府網絡雖然流量并不比企業網絡流量大,但是政府網絡的安全性顯然比其他特性更加受到重視。因此攻擊識別能力和實時響應能力更為重要。
4.電信級:在電信企業的網絡中,進出的數據流量是普通企業網絡的幾倍甚至幾百倍。實時檢測如此大的數據流量,對產品的攻擊識別能力、丟包率等性能指標提出了極高的要求。
主機入侵檢測系統主要依靠主機行為特征進行檢測。檢測系統可通過監測系統日志和SNMP陷阱來尋找某些模式,這些模式可能意味著一大堆安全上很重要的事件。檢測系統的特征庫包括很多類操作系統上的事件。這些事件檢查可疑的文件傳輸,受拒的登錄企圖,物理信息(如一塊以太網卡被設為混雜模式),以及系統重啟。特征庫也可包括來自許多應用程序和服務的安全訊息,如Secure Shell、Sendmail、Qmail、Bind和Apache Web服務器。
基于主機的入侵檢測系統的一個優勢就是它可以根據結果來進行判斷。判據之一就是關鍵系統文件有沒有在未經允許的情況下被修改,包括訪問時間、文件大小和MD5密碼校驗值。
主機入侵檢測系統需要和現有的系統緊密集成,當然支持的平臺越多越好。目前的主流商業入侵檢測系統通常支持或將支持大部分主流的企業級Windows和Unix系統。
在Window NT/2000中,系統有自帶的安全工具,類似于早期 Windows 版本的策略編輯器。利用這個工具可以使安全策略的規劃和實施變得更為容易。安全策略問題包括賬號策略、本地策略、共鑰策略和IP安全策略。系統中違反安全策略的行為都作為事件發送給系統安全日志。主機入侵檢測可以根據安全日志分析判斷入侵行為。
在主機入侵檢測系統中,不管在什么操作系統,普遍用到各種勾子技術對系統的各種事件,活動進行截獲分析。在Win NT/2000中,由于系統中的各種API 子系統,如Win32 子系統、Posix 子系統及其他系統最終都要調用相應的系統服務例程(System Services Routines),所以可以對系統服務例程勾子化。入侵檢測系統通過捕獲操作文件系統和注冊表的函數來檢測對文件系統和注冊表的非法操作。在有些系統中,可以通過拷貝勾子處理函數不僅可以對敏感文件或目錄檢測非法操作,還可以阻止對文件或目錄的操作。
撥號檢測在主機入侵檢測系統中也有其特殊的用途。在很多重要部門中都裝有內部網,出于對信息的高度安全要求,公司(或部門)不希望有員工私自安裝Modem撥號入網。安裝于內部網中的帶有撥號檢測的主機入侵檢測系統可以檢測到員工的這種違規行為,及時阻止。在內部網中,阻止員工侵入其他員工的系統竊取機密信息也是需要的,這通常需要主機入侵檢測系統對不同主機中的敏感文件或目錄進行檢測。
HIDS的優缺點
相對于網絡入侵檢測,主機入侵檢測有以下優點:
◆ 性價比高 在主機數量較少的情況下,這種方法的性價比可能更高。
◆ 更加細致 這種方法可以很容易地監測一些活動,如對敏感文件、目錄、程序或端口的存取,而這些活動很難在基于協議的線索中被發現。
◆ 視野集中 一旦入侵者得到了一個主機的用戶名和口令,基于主機的代理是最有可能區分正常的活動和非法活動的。
◆ 易于用戶剪裁 每一個主機有其自己的代理,用戶剪裁更方便。
◆ 較少的主機 基于主機的方法不需要增加專門的硬件平臺。
◆ 對網絡流量不敏感 用代理的方式一般不會因為網絡流量的增加而丟失對網絡行為的監視。
當然,主機入侵檢測系統也有它的局限性:
◆ 操作系統局限 不象NIDS,廠家可以自己定制一個足夠安全的操作系統來保證NIDS自身的安全,HIDS的安全性受其所在主機操作系統的安全性限制。
◆ 系統日志限制 HIDS會通過監測系統日志來發現可疑的行為,但有些程序的系統日志并不詳細,或者沒有日志。有些入侵行為本身不會被具有系統日志的程序紀錄下來。
◆ 被修改過的系統核心能夠騙過文件檢查 如果入侵者修改系統核心,則可以騙過基于文件一致性檢查的工具。
【編輯推薦】
