一文看懂入侵檢測系統/入侵防御系統

　　一、入侵檢測系統

　　入侵檢測是指“通過對行為、安全日志或審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”。

　　入侵檢測技術：是用來發現內部攻擊、外部攻擊和誤操作的一種方法。它是一種動態的網絡安全技術，利用不同的引|擎實時或定期地對網絡數據源進行分析，并將其中的威脅部分提取出來，觸發響應機制。

　　入侵檢測的軟件與硬件的組合稱為入侵檢測系統（Intrusion Detection System，簡稱IDS）。它是一套監控計算機系統或網絡系統中發生的事件，根據規則進行安全審計的軟件或硬件系統，是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。

　　作為重要的網絡安全工具，IDS可以對系統或網絡資源進行實時檢測，及時發現闖入系統或網絡的入侵者，也可預防合法用戶對資源的誤操作。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行檢測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

　　1、入侵檢測系統的構成與功能

　　目前對入侵檢測系統進行標準化的組織有lETF的入侵檢測工作組（Intrusion Detection Working Group：IDWG）和通用入侵檢測框架（Common Intrusion Detection Framework：ClDF）。CIDF定義了IDS表達檢測信息的標準語言及IDS組件之間的通信協議。符合CIDF規范的IDS可以共享檢測信息、相互通信、協同工作，還可以與其他系統配合實施統一的配置響應和恢復策略。CIDF的主要作用在于集成各種IDS，使之協同工作，實現各種IDS之間的組件作用，所以CIDF也是構建分布式IDS的基礎。

　　入侵檢測系統的4個部件組成：

　　1、事件發生器：提供事件記錄流的信息源，從網絡中獲取所有的數據包，然后將所有的數據包傳送給分析引擎進行數據分析和處理。

　　2、事件分析器：接收信息源的數據，進行數據分析和協議分析，通過這些分析發現入侵現象，從而進行下一步的操作。

　　3、響應單元：對基于分析引擎的數據結果產生反應，包括切斷連接、發出報警信息或發動對攻擊者的反擊等。

　　4、事件數據庫：存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是簡單的文本文件。

　　入侵檢測系統的應用，能使在入侵攻擊對系統造成危害前，檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊，這樣在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加入知識庫內，以增強系統的防范能力。

　　入侵檢測系統不但可以使網絡管理人員及時了解網絡的變化，而且能夠給網絡安全策略的制定提供指南，它在發現入侵后會及時作出響應，包括切斷網絡連接、記錄事件、報警等。

　　入侵檢測系統的基本功能有以下幾點：

　　1、檢測和分析用戶與系統的活動。

　　2、審計系統配置和漏洞。

　　3、評估系統關鍵資源和數據文件的完整性。

　　4、識別已知攻擊。

　　5、統計分析異常行為。

　　6、操作系統的審計、跟蹤、管理，并識別違反安全策略的用戶活動。

　　2、入侵檢測系統的分類

　　2.1、按照檢測類型劃分

　　1、異常檢測模型

　　異常檢測模型（Anomaly Detection）的前提條件是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統計規律時，認為該活動可能是“入侵”行為。

　　異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。例如，通過提交上千次相同的命令，來實施對POP3服務器的拒絕服務攻擊，對付這種攻擊的辦法就是設定命令提交的次數，一旦超過這個設定的數系統將會發出警報。

　　2、特征檢測模型

　　特征檢測模型（Signature- -based Detection）又稱誤用檢測模型（Misuse Detection），這一檢測假設入侵者活動可以用一種模式表示，系統的目標是檢測主體活動是否符合這些模式。

　　它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。其檢測方法與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。

　　2.2、按照檢測對象劃分

　　1、HIDS

　　基于主機的入侵檢測產品（HIDS）通常安裝在被重點檢測的主機之上，主要是對該主機的網絡進行實時連接以及對系統審計日志進行智能分析和判斷。如果其中主體活動十分可疑（特征或違反統計規律），入侵檢測系統就會采取相應的措施。

　　現在，基于主機的入侵檢測系統保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵御未來的攻擊。基于主機的IDS可檢測系統、事件和Windows下的安全記錄，以及UNIX環境下的系統記錄。當有文件發生變化時，IDS將新的記錄條目與攻擊標記相比較，看它們是否匹配。如果匹配，系統就會向管理員報警，并向別的目標報告，以采取措施。基于主機的IDS在發展過程中融入了其他技術。對關鍵系統文件和可執行文件的入侵檢測的一個常用方法，是通過定期檢查校驗來進行的，以便發現意外的變化。反應的快慢與輪詢間隔的頻率有直接的關系。許多IDS產品都是監聽端口的活動，并在特定端口被訪問時向管理員報警。這類檢測方法將基于網絡的入侵檢測的基本方法融入基于主機的檢測環境中。

　　HIDS系統的優點：

　　1、性能價格比高：在主機數量較少的情況下，這種方法的性能價格比可能更高。盡基于網絡的入侵檢測系統能很容易地廣泛覆蓋，但其價格通常是昂貴的。

　　2、更加精確：可以很容易地檢測一-些活動，如對敏感文件、目錄、程序或端口的存取，而這些活動很難在基于網絡的系統中被發現。

　　3、視野集中：一旦入侵者得到了一個主機的用戶名和口令，基于主機的代理是最有可能區分正常活動和非法活動的。

　　4、易于用戶選擇：每一個主機有其自己的代理，當然用戶選擇更方便了。

　　5、較少的主機：基于主機的方法有時不需要增加專門門的硬件平臺。基于主機的入侵檢測系統存在于現有的網絡結構之中，包括文件服務器、Web服務器及其他共享資源。

　　6、對網絡流量不敏感：用代理的方式- -般不會因為網絡流量的增加而丟掉對網絡行為的監視。

　　7、適用于被加密的環境：由于基于主機的系統安裝在遍布企業的各種主機上，它們比基于網絡的入侵檢測系統更適于交換，并且更適用于被加密的環境。

　　8、對分析“可能的攻擊行為”非常有用；除了指出入侵者執行的危險命令，還能分辨出攻擊行為：運行了什么程序、打開了哪些文件、執行了哪些系統調用。

　　HIDS系統的缺點，：

　　1、它必須安裝在需要保護的設備上，如當一個數據庫服務器需要保護時，就要在服務器本身安裝入侵檢測系統。

　　2、依賴于服務器固有的日志與監視能力。如果服務器沒有配置日志功能，則必須重新配置，這將會給運行中的業務系統帶來不可預見的性能影響。

　　2、NIDS

　　基于網絡的入侵檢測產品（NIDS）放置在比較重要的網段內，不停地監視網段中的各種數據包，對每一個數據包或可疑的數據包進行特征分析。如果數據包與產品內置的某些規則吻合，入侵檢測系統就會發出警報甚至直接切斷網絡連接。網絡入侵檢測系統不需要改變服務器等主機的配置。由于它不會在業務系統的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業務系統的性能。

　　NIDS系統的優點：

　　1、隱蔽性好：一個網絡上的檢測器不像一個主機那樣顯眼和易被存取，因而也不那么容易遭受攻擊。基于網絡的監視器不運行其他的應用程序，不提供網絡服務，可以不響應其他計算機，因此可以做得比較安全。

　　2、視野更寬：基于網絡的入侵檢測甚至可以在網絡的邊緣上，即攻擊者還沒能接入網絡時就被發現并制止。

　　3、較少的檢測器：由于使用一個檢測器就可以保護一個共享的網段，所以不需要很多的檢測器。相反地，如果基于主機，則在每個主機。上都需要一個代理，這樣的話，花費昂貴，而且難于管理。但是，如果在一個交換環境下，就需要特殊的配置。

　　4、攻擊者不易轉移證據：基于網絡的IDS使用正在發生的網絡通信進行實時攻擊的檢測，所以，攻擊者無法轉移證據。被捕獲的數據不僅包括攻擊的方法，而且還包括可識別黑客身份和對其進行起訴的信息。

　　5、操作系統無關性：基于網絡的IDS作為安全監測資源，與主機的操作系統無關。與之相比，基于主機的系統必須在特定的、沒有遭到破壞的操作系統中才能正常工作，生成有用的結果。

　　6、占用資源少：在被保護的設備上不需要占用任何資源。

　　NIDS系統的缺點：

　　1、只能檢查它直接連接網段的通信，不能檢測在不同網段中的網絡包。

　　2、為了性能目標通常采用特征檢測的方法，很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。

　　3、處理加密的會話過程較困難。

　　3、入侵檢測系統的部署

　　入侵檢測產品通常由兩部分組成：傳感器（Sensor）與控制臺（Console）。

　　傳感器負責采集數據（網絡包、系統日志等）、分析數據并生成安全事件。

　　控制臺主要起到中央管理的作用，商品化的產品通常提供圖形界面的控制臺。

　　入侵檢測系統的部署主要是傳感器的位置部署，而傳感器放置的一個問題就是它與誰連接。伴隨著網絡升級到交換VLAN環境，傳感器可以在這種環境中正常工作，但如果交換機的端口沒有正確設置，入侵檢測系統將無法進行工作。

　　基于網絡的入侵檢測系統需要有傳感器才能工作。如果傳感器放置的位置不正確，入侵檢測系統的工作也無法達到最佳狀態。

　　一般可以采取以下選擇：

　　1、放在邊界防火墻之內：傳感器可以發現所有來自Internet 的攻擊，然而如果攻擊類型是TCP攻擊，而防火墻或過濾路由器能封鎖這種攻擊，那么入侵檢測系統可能就檢測不到這種攻擊。

　　2、放在邊界防火墻之外：可以檢測所有對保護網絡的攻擊事件，包括數目和類型。但是這樣部署會使傳感器徹底地暴露在黑客之下。

　　3、放在主要的網絡中樞中：傳感器可以監控大量的網絡數據，可提高檢測黑客攻擊的可能性，可通過授權用戶的權利周界來發現未授權用戶的行為。

　　4、放在一些安全級別需求高的子網中：對非常重要的系統和資源的入侵檢測，如一個公司的財務部門，這個網段安全級別需求非常高，因此可以對財務部門單獨放置一個檢測器系統。

　　二、入侵防御系統

　　入侵防護系統（Intrusion Prevention System，簡稱IPS）是一種主動的、積極的入侵防范及阻止系統。它部署在網絡的進出口處，當它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。IPS的檢測功能類似于IDS，但IPS檢測到攻擊后會采取行動阻止攻擊，可以說IPS是建立在IDS發展的基礎上的新生網絡安全產品。實時檢測與主動防御是IPS最為核心的設計理念，也是它區別于防火墻和IDS的立足之本。

　　1、IPS主要的技術優勢

　　1、在線安裝：

　　IPS保留IDS實時檢測的技術與功能，但是卻采用了防火墻式的在線安裝，即直接嵌入網絡流量中，通過一個網絡端口接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容后，再通過另外一個端口將它傳送到內部系統中。

　　2、實時阻斷：

　　IPS具有強有力的實時阻斷功能，能夠預先對入侵活動和攻擊性網絡流量進行攔截，以避免其造成任何損失。

　　3、先進的檢測技術：

　　IPS采用并行處理檢測和協議重組分析技術。并行處理檢測是指所有流經IPS的數據包，都采用并行處理方式進行過濾器匹配，實現在一個時鐘周期內，遍歷所有數據包過濾器。協議重組分析是指所有流經IPS的數據包，必須首先經過硬件級預處理，完成數據包的重組，確定其具體應用協議;然后，根據不同應用協議的特征與攻擊方式，IPS對于重組后的包進行篩選，將可疑者送入專| ］的特征庫進行比對，從而提高檢測的質量和效率。

　　4、特殊規則植入功能：

　　IPS允許植入特殊規則以阻止惡意代碼。IPS能夠輔助實施可接收應用策略，如禁止使用對等的文件共享應用和占有大量帶寬的免費互聯網電話服務工具等。

　　5、自學習與自適應能力：

　　為了應對不斷更新和提高的攻擊手段，IPS 有了人工智能的自學習與自適應能力，能夠根據所在網絡的通信環境和被入侵狀況，分析和抽取新的攻擊特征以更新特征庫，自動總結經驗，定制新的安全防御策略。當新的攻擊手段被發現之后，IPS就會創建一個新的過濾器并加以阻止。

　　IPS串聯于通信線路之內，是既具有IDS的檢測功能，又能夠實時中止網絡入侵行為的新型安全技術設備。IPS由檢測和防御兩大系統組成，具備從網絡到主機的防御措施與預先設定的響應設置。

　　2、入侵防御系統的分類

　　目前，從保護對象上可將IPS分為如下3類：

　　1、基于主機的入侵防護（HIPS）：

　　用于保護服務器和主機系統不受不法分子的攻擊和誤操作的破壞。

　　2、基于網絡的入侵防護（NIPS）：

　　通過檢測流經的網絡流量，提供對網絡體系的安全保護，一旦辨識出有入侵行為，NIPS就阻斷該網絡會話。

　　3、應用入侵防護（AIP）：

　　將基于主機的入侵防護擴展成為位于應用服務器之前的網絡信息安全設備。

　　在ISO/OSI網絡層次模型中，防火墻主要在第二到第四層起作用，它的作用在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七層起作用。

　　為了彌補防火墻和除病毒軟件二者在第四到第五層之間留下的空檔，IDS投入使用，IDS在發現異常情況后及時向網絡安全管理人員或防火墻系統發出警報，可惜這時災害往往已經形成。防衛機制最好應該是在危害形成之前先期起作用。隨后應運而生的入侵響應系統（IRS： Intrusion Response Systems）作為對入侵偵查系統的補充能夠在發現入侵時，迅速作出反應，并自動采取阻止措施。而入侵防御系統則作為二者的進一步發展，汲取了二者的長處。