简介
大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意图攻击的模式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本文讨论了基于主机和基于网络入侵检测技术的不同之处,以说明如何将这二种方式融合在一起,以提供更加有效的入侵检测和保护措施。
技术概述
基于网络的入侵检测
基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:
模式、表达式或字节匹配
频率或穿越阀值
低级事件的相关性
统计学意义上的非常规现象检测
一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。
基于主机的入侵检测
基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。
现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录,但自动化程度大大提高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。
基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法,是通过定期检查校验和来进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。
基于网络的入侵检测系统的优点
基于网络的IDS有许多仅靠基于主机的入侵检测法无法提供的优点。实际上,许多客户在最初使用IDS时,都配置了基于网络的入侵检测,因为它拥有成本较低并且反应速度快。以下的内容主要说明了基于网络的入侵检测称为安全策略的实施中的重要组件的主要原因。
1. 拥有成本较低-基于网络的IDS可在几个关键访问点上进行策略配置,以观察发往多个系统的网络通信。所以它不要求在许多主机上装载并管理软件。由于需监测的点较少,因此对于一个公司的环境来说,拥有成本很低。
2. 检测基于主机的系统漏掉的攻击-基于网络的IDS检查所有包的头部从而发现恶意的和可疑的行动迹象。基于主机的IDS无法查看包的头部,所以它无法检测到这一类型的攻击。例如,许多来自于IP地址的拒绝服务型(DOS)和碎片包型(Teardrop)的攻击只能在它们经过网络时,检查包的头部才能发现。这种类型的攻击都可以在基于网络的系统中通过实时监测包流而被发现。
基于网络的IDS可以检查有效负载的内容,查找用于特定攻击的指令或语法。例如,通过检查数据包有效负载可以查到黑客软件,而使正在寻找系统漏洞的攻击者毫无察觉。正如上面说的,基于主机的系统不检查有效负载,所以不能辩认有效负载中所包含的攻击信息。
3. 攻击者不易转移证据-基于网络的IDS使用正在发生的网络通讯进行实时攻击的检测。所以攻击者无法转移证据。被捕获的数据不仅包括的攻击的方法,而且还包括可识别黑客身份和对其进行起诉的信息。许多黑客都熟知审记记录,他们知道如何操纵这些文件掩盖他们的作案痕迹,如何阻止需要这些信息的基于主机的系统去检测入侵。
4. 实时检测和响应-基于网络的IDS可以在恶意及可疑的攻击发生的同时将其检测出来,并做出更快的通知和响应。例如,一个基于TCP的对网络进行的拒绝服务攻击(DOS)可以通过将基于网络的IDS发出TCP复位信号,在该攻击对目标主机造成破坏前,将其中断。而基于主机的系统只有在可疑的登录信息被记录下来以后才能识别攻击并做出反应。而这时关键系统可能早就遭到了破坏,或是运行基于主机的IDS的系统已被摧毁。实时通知时可根据预定义的参数做出快速反应,这些反应包括将攻击设为监视模式以收集信息,立即中止攻击等。
5. 检测未成功的攻击和不良意图-基于网络的IDS增加了许多有价值的数据,以判别不良意图。即便防火墙可以正在拒绝这些尝试,位于防火墙之外的基于网络的IDS可以查出躲在防火墙后的攻击意图。基于主机的系统无法查到从未攻击到防火墙内主机的未遂攻击,而这些丢失的信息对于评估和优化安全策略是至关重要的。
6. 操作系统无关性-基于网络的IDS作为安全监测资源,与主机的操作系统无关。与之相比,基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作,生成有用的结果。
基于主机的入侵检查系统的优点
尽管基于主机的入侵检查系统不如基于网络的入侵检查系统快捷,但它确实具有基于网络的系统无法比拟的优点。这些优点包括:更好的辩识分析、对特殊主机事件的紧密关注及低廉的成本。基于主机的入侵侦查系统包括:
1.确定攻击是否成功-由于基于主机的IDS使用含有已发生事件信息,它们可以比基于网络的IDS更加准确地判断攻击是否成功。在这方面,基于主机的IDS是基于网络的IDS完美补充,网络部分可以尽早提供警告,主机部分可以确定攻击成功与否。
2. 监视特定的系统活动-基于主机的IDS监视用户和访问文件的活动,包括文件访问、改变文件权限,试图建立新的可执行文件并且/或者试图访问特殊的设备。例如,基于主机的IDS可以监督所有用户的登录及下网情况,以及每位用户在联结到网络以后的行为。对于基于网络的系统经要做到这个程度是非常困难的。
基于主机技术还可监视只有管理员才能实施的非正常行为。操作系统记录了任何有关用户帐号的增加,删除、更改的情况,只要改动一且发生,基于主机的IDS就能检察测到这种不适当的改动。基于主机的IDS还可审计能影响系统记录的校验措施的改变。
最后,基于主机的系统可以监视主要系统文件和可执行文件的改变。系统能够查出那些欲改写重要系统文件或者安装特洛伊木马或后门的尝试并将它们中断。而基于网络的系统有时会查不到这些行为。
3. 能够检查到基于网络的系统检查不出的攻击-基于主机的系统可以检测到那些基于网络的系统察觉不到的攻击。例如,来自主要服务器键盘的攻击不经过网络,所以可以躲开基于网络的入侵检测系统。
4. 适用被加密的和交换的环境-由于基于主机的系统安装在遍布企业的各种主机上,它们比基于网络的入侵检测系统更加适于交换的和加密的环境。
交换设备可将大型网络分成许多的小型网络部件加以管理,所以从覆盖足够大的网络范围的角度出发,很难确定配置基于网络的IDS的最佳位置。业务映射和交换机上的管理端口有助于此,但这些技术有时并不适用。基于主机的入侵检测系统可安装在所需的重要主机上,在交换的环境中具有更高的能见度。
某些加密方式也向基于网络的入侵检测发出了挑战。由于加密方式位于协议堆栈内,所以基于网络的系统可能对某些攻击没有反应,基于主机的IDS没有这方面的限制,当操作系统及基于主机的系统看到即将到来的业务时,数据流已经被解密了。
5. 近于实时的检测和响应-尽管基于主机的入侵检测系统不能提供真正实时的反应,但如果应用正确,反应速度可以非常接近实时。老式系统利用一个进程在预先定义的间隔内检查登记文件的状态和内容,与老式系统不同,当前基于主机的系统的中断指令,这种新的记录可被立即处理,显著减少了从攻击验证到作出响应的时间,在从操作系统作出记录到基于主机的系统得到辨识结果之间的这段时间是一段延迟,但大多数情况下,在破坏发生之前,系统就能发现入侵者,并中止他的攻击。
6. 不要求额外的硬件设备-基于主机的入侵检测系统存在于现行网络结构之中,包括文件服务器,Web服务器及其它共享资源。这些使得基于主机的系统效率很高。因为它们不需要在网络上另外安装登记,维护及管理的硬件设备。
7. 记录花费更加低廉-尽管很容易就能使基于网络的入侵检测系统提供广泛覆盖,但其价格通常是昂贵的。配置一个简单的入侵监测系统要花费$10,000以上,而基于主机的入侵检测系统对于单独-代理标价仅几百美元,并且客户只需很少的费用用于最初的安装。
基于网络和基于主机的IDS反应选项
对于任何入侵检测系统,对危险和攻击的反应能力是至关重要的。大多数基于网络的和基于主机的IDS对威胁和攻击具有相同的反应选项。这些反应归为以下三类,告警、存贮和主动响应。此外,基于网络和主机的IDS分别具有关于主机和网络的额外功能。
基于网络的IDS 基于主机的IDS
通知 向控制台发出警报 向控制台发出警报
电子邮件通知 电子邮件通知
SNMP陷井 SNMP陷井
观察现行对话
存储 日志总结 (报告) 日志总结 (报告)
记录原始网络数据
激活 断开连接(TCP重启) 终止用户登录
Rc连接(TCP重启) 禁止用户帐户
用户定义行为 用户定义行为
需要将基于网络和基于主机的入侵检测系统结合起来
基于网络和基于主机的IDS方案都有各自的优点,并且互为补充。所以下一代IDS必须包含紧密融合的主机和网络部分。将现有技术结合,必须大幅度提高网络对攻击和错误使用的抵抗力,使安全措施的实施更加有效,并使设置选项更加灵活。
|