什么是入侵检测系统
+ ^" Q% ?( r& Z8 D7 e4 e# Q t: u: _, W& W7 M" T
很多人了解安装在汽车上的防盗警报系统的功能和作用,那也就不难理解我在这里所讲的入侵检测系统了,事实上入侵检测系统就是“计算机和网络为防止网小偷安装的警报系统 ” 。入侵检测系统根据工作的重点不同,可分为基于主机的入侵检测系统和基于网络的入侵检测系统。入侵检测系统构成一般分为,两个部分一个部分是检测的部分(Sensor),一部分是处理报警结果的控制台。不同的入侵检测的构成也不太一样大致都具有控制台和Sensor两个基本部分,基于主机的入侵检测多半在主机上安装一个代理程序来收集系统信息向Sensor汇报。下面我们看一下入侵检测系统的作用。
, D. c; e3 k8 s6 `7 c2 h) `2 K" D( S. v/ ~
入侵检测系统的作用: ' S% D: o5 h U; A5 ~$ n
( e4 q% a& i: I% U7 t( |, f) N6 N
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
% U! E5 ]0 }. x: ?/ m6 m$ F4 L( @! P- c- }+ J5 C
入侵检测系统的检测信息来源:
! Q4 U' ~3 f# N6 |: t
: X h, q* R W; Y3 U 入侵检测系统的检测信息来源都是通过自身的检测部分Sensor 得到的。
6 B& t" G( ?+ w/ p
7 v; P, g# w$ V" a. i 基于网络的入侵检测,主要是通过对网络数据包的截取分析,来查找具有攻击特性和不良企图的数据包的。在网络里基于网络的入侵检测系统的检测部分Sensor 一般被布置在一个交换机的镜象端口(或者一个普通的HUB任意端口),听取流经网络的所有数据包,查找匹配的包,来得到入侵的信息源。
% x$ r& x2 s; @, D/ s; `* \
; l* q8 O9 ]# j
基于主机的入侵检测系统的Sensor 不可能直接从系统内部获取信息的,它是要通过一个事先做好的代理程序,安装在需要检测的主机里的,这些代理程序主要收集系统和网络日志文件,目录和文件中的不期望的改变,程序执行中的不期望行为,物理形式的入侵信息。
1 o9 J8 [3 p) c' k3 W& o* y4 A
, h; p6 L8 t3 F# o
w/ k5 I; P9 w
典型应用说明
2 G* ~. J6 o( f# S
8 V- e! J) N$ d 入侵检测系统和防火墙一样对于每一个网络都是非常需要的,但是根据网络的规模大小不同布置也稍有不同,以下是两个规模不同的网络的典型应用。
9 y; s0 u0 u! F 5 F0 o" o. `! ?" J |
; c! R6 m3 ^- G5 U! } 简单的小的OA系统入侵检测的简单应用 + o: f4 k2 a# M% R! z, j
7 V u9 ~. l9 T- ?4 Z2 i 在这个网络里,有企业的应用服务器,文件服务器和WEB MAIL 等等,网络结构如下
1 a) n5 H0 U! i2 \6 c
9 I% k# |, ^+ r/ @, j# u4 ]# G
7 n* R6 c( ^, [( P( Y8 Q) Z' Q. Z' `<无任何安全设施前的网络结构
6 `# f9 m; ~5 C
8 Z4 h6 `" y; \( Q5 r I8 ?7 a
+ M' [5 A! Z z. H5 X' Q
! A" A5 U) D4 P1 }0 f2 u 考虑安全,安装入侵检测系统的网络
e9 o( {$ d8 X) Y; K! c+ a& y9 R1 A5 I% w
基于网络的入侵检测系统的检测端Sensor一般被布置在网络的核心交换机,或者部门交换的交换机的镜象端口(采取把Sensor 放在核心交换机器的镜像端口还是部门交换机的镜像端口,主要由网络的流量和客户机的数量,以及入侵检测的处理能力和网络发生攻击的频繁程度来定的)在网管的机器上,安装上入侵检测系统的控制台,做报警处理,在重要的服务器或者有必要的客户端安装代理程序收集系统和网络日志等系统信息,寻找具有攻击特性的数据包。技术人员对来自主机的和网络的检测信息进行分析和监控。
0 n7 a/ w: k% D+ B$ Z- n; X
配置了入侵检测和防火墙的网络拓扑
' Q! w( Z0 v) W
. L# w' Q! _% D( R) H
1 l0 K5 I9 s0 C2 ]( s 企业级大规模用户的应用 5 L! Y1 q) j& N) i
8 Z9 w3 D2 n: Q6 E& s* G. p+ g! B
这类网络结构复杂,一般都考虑了安全性,具备一定的防火和放毒的安全措施网络结构如下:
# {1 u* P5 r/ r7 R4 R
/ Y# O% T# F g6 o6 Q1 M 
这样一个大型网络入侵检测系统的布置总体说来和上边的小型网络配置差别不大。但是这个网络跨越的地域范围很大了可能在一个省或者更大的范围内,一般的小规模的入侵检测产品不能在这样的一个大型网络工作。只有大规模的入侵检测系统才能够很好的在这样的一个网络环境下工作。大规模额入侵检测系统的检测部分Sensor 布置一般在一个网段配置一个Sensor 基于主机和基于网络的,在同一个个网段内配置一个入侵检测的监控台,各个分部的网管管理自己的网络的安全监控。也可以在总部的网管中心设置一个监控中心统一管理全部网络的入侵行为。
+ G* A* L$ ?' a0 I- g
2 M! G+ e$ z5 J8 h
4 E0 B+ k9 e1 H
下图展示的是个监控中心在总部,分部分别安装了基于网络的和基于主机的Sensor的网络拓扑
! d6 W2 S" w2 T* S$ h9 D, {0 T9 ~
<IMG title="[url=<a target=_blank href=http://www.enet.com.cn/esafe/aa]http://www.enet.com.cn/esafe/aa'[/url] target='_blank' class='article'javascript:if(this.width>document.body.clientWidth*0.93-146){this.width=document.body.clientWidth*0.93-146;this.style.cursor='hand';this.alt='本图已被缩小,点击放大显示原图';}" if(this.alt="='本图已被缩小,点击放大显示原图')window.open(this.src)"">网络安全" src="http://cnsafer.com/UploadFiles/20041122152545360.jpg" border=0>
入侵检测存在的问题 9 t! [4 P' r' F. u/ b! H5 |
% R9 G& l# _" e5 m0 ?: _ b
由于入侵检测系统数据收集的准确性和攻击特征信息的匹配数据库的完整性和可升级的时间等问题,限制了入侵检测系统的警报网络和主机信息的准确性,入侵检测的漏报和误报率非常高,一般的入侵检测系统的误报都会超过50%,有的甚至达到90%等等。这样的一套检测系统,给某些安全经验不丰富的网管,简直是形同虚设,因此入侵检测的分析人员的素质决定了一个好的入侵检测系统能否发挥其有效作用的关键因素,而目前在国内很少有公司有专门的安全技术人员,就算是有一两个安全技术人员,也不能保证每次入侵检测报告的信息,能做出最正确的判断,使安全问题得以解决。因此设计好入侵检测系统是一件非常重要的事情。通过和多数用户交流,我们发现,有这样一种办法是可以解决这个问题的,就是在客户的网络安装入侵检测系统检测部分Sensor,而把监控中心建在专业的网络安全公司,由专业的安全技术人员实时观测分析数据,实时的解决问题,这才是一种比较理想的解决方案。
0 [$ z, p: m) ^' {. i1 C: G* P: M# ?* Y* ^- C G" k
结束语
4 N5 w3 C6 F4 c$ S2 p' t6 v" o7 s. l# @0 l, `7 m% r
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,我认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究,一个理想的安全模型就是前边叙述的那样 在客户的网络安装入侵检测系统检测部分Sensor,监控中心能够建设在网络安全公司,由专业的安全技术人员实时观测分析数据,实时的解决安全问题,企业和安全公司搞好互动。入侵检测的技术在不断地发展,相信不久的将来人们一定能够利用好入侵检测系统这一强大的安全工具。
