简述入侵检测常用的四种 ***
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测
特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵 *** 检查出来,但对新的入侵 *** 无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
2、异常检测
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
扩展资料
入侵分类:
1、基于主机
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。
这种类型的检测系统不需要额外的硬件.对 *** 流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测 *** 攻击。
2、基于 ***
通过被动地监听 *** 上传输的原始流量,对获取的 *** 数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常 *** 行为原型相比较来识别攻击事件。
此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。
但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于 *** 的入侵检测系统。
3、分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在 *** 关键节点上采用 *** 入侵检测,同时分析来自主机系统的审计日志和来自 *** 的数据流,判断被保护系统是否受到攻击。
参考资料来源:百度百科-入侵检测
什么是入侵检测,以及入侵检测的系统结构组成?
入侵检测是防火墙的合理补充,帮助系统对付 *** 攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机 *** 系统中的若干关键点收集信息,并分析这些信息,看看 *** 中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响 *** 性能的情况下能对 *** 进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现: · 监视、分析用户及系统活动; · 系统构造和弱点的审计; · 识别反映已知进攻的活动模式并向相关人士报警; · 异常行为模式的统计分析; · 评估重要系统和数据文件的完整性; · 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解 *** 系统(包括程序、文件和硬件设备等)的任何变更,还能给 *** 安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得 *** 安全。而且,入侵检测的规模还应根据 *** 威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断 *** 连接、记录事件和报警等。 信息收集入侵检测的之一步是信息收集,内容包括系统、 *** 、数据及用户活动的状态和行为。而且,需要在计算机 *** 系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的更好标识。 当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测 *** 系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。 入侵检测利用的信息一般来自以下四个方面: 1.系统和 *** 日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和 *** 日志文件信息是检测入侵的必要条件。日志中包含发生在系统和 *** 上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 2.目录和文件中的不期望的改变 *** 环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。 3.程序执行中的不期望行为 *** 系统上的程序执行一般包括操作系统、 *** 服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与 *** 间其它进程的通讯。 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。
新手如何构建一个入门级入侵检测系统
通常来说,一个企业或机构准备进军此领域时,往往选择从基于 *** 的IDS入手,因为网上有很多这方面的开放源代码和资料,实现起来比较容易,并且,基于 *** 的IDS适应能力强。有了简单 *** IDS的开发经验,再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此,笔者将以基于 *** 的IDS为例,介绍典型的IDS开发思路。 根据CIDF规范,我们从功能上将入侵检测系统划分为四个基本部分
通常来说,一个企业或机构准备进军此领域时,往往选择从基于 *** 的IDS入手,因为网上有很多这方面的开放源代码和资料,实现起来比较容易,并且,基于 *** 的IDS适应能力强。有了简单 *** IDS的开发经验,再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此,笔者将以基于 *** 的IDS为例,介绍典型的IDS开发思路。
根据CIDF规范,我们从功能上将入侵检测系统划分为四个基本部分:数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统。
具体实现起来,一般都将数据采集子系统(又称探测器)和数据分析子系统在Linux或Unix平台上实现,我们称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现,数据库管理子系统基于Access或其他功能更强大的数据库,多跟控制台子系统结合在一起,我们称之为控制管理中心。本文以Linux和Windows NT平台为例介绍数据采集分析中心和控制管理中心的实现。
可以按照如下步骤构建一个基本的入侵检测系统。
之一步 获取Libpcap和Tcpdump
审计踪迹是IDS的数据来源,而数据采集机制是实现IDS的基础,否则,巧妇难为无米之炊,入侵检测就无从谈起。数据采集子系统位于IDS的更底层,其主要目的是从 *** 环境中获取事件,并向其他部分提供事件。目前比较流行的做法是:使用Libpcap和Tcpdump,将网卡置于“混杂”模式,捕获某个网段上所有的数据流。
Libpcap是Unix或Linux从内核捕获 *** 数据包的必备工具,它是独立于系统的API接口,为底层 *** 监控提供了一个可移植的框架,可用于 *** 统计收集、安全监控、 *** 调试等应用。
Tcpdump是用于 *** 监控的工具,可能是Unix上最著名的Sniffer了,它的实现基于Libpcap接口,通过应用布尔表达式打印数据包首部,具体执行过滤转换、包获取和包显示等功能。Tcpdump可以帮助我们描述系统的正常行为,并最终识别出那些不正常的行为,当然,它只是有益于收集关于某网段上的数据流( *** 流类型、连接等)信息,至于分析 *** 活动是否正常,那是程序员和管理员所要做的工作。Libpcap和Tcpdump在网上广为流传,开发者可以到相关网站下载。
第二步 构建并配置探测器,实现数据采集功能
1. 应根据自己 *** 的具体情况,选用合适的软件及硬件设备,如果你的 *** 数据流量很小,用一般的PC机安装Linux即可,如果所监控的 *** 流量非常大,则需要用一台性能较高的机器。
2. 在Linux服务器上开出一个日志分区,用于采集数据的存储。
3. 创建Libpcap库。从网上下载的通常都是Libpcap.tar.z的压缩包,所以,应先将其解压缩、解包,然后执行配置脚本,创建适合于自己系统环境的Makefile,再用Make命令创建Libpcap库。Libpcap安装完毕之后,将生成一个Libpcap库、三个include文件和一个Man页面(即用户手册)。
4. 创建Tcpdump。与创建Libpcap的过程一样,先将压缩包解压缩、解包到与Libpcap相同的父目录下,然后配置、安装Tcpdump。
如果配置、创建、安装等操作一切正常的话,到这里,系统已经能够收集到 *** 数据流了。至于如何使用Libpcap和Tcpdump,还需要参考相关的用户手册。
第三步 建立数据分析模块
网上有一些开放源代码的数据分析软件包,这给我们构建数据分析模块提供了一定的便利条件,但这些“免费的午餐”一般都有很大的局限性,要开发一个真正功能强大、实用的IDS,通常都需要开发者自己动手动脑设计数据分析模块,而这往往也是整个IDS的工作重点。
数据分析模块相当于IDS的大脑,它必须具备高度的“智慧”和“判断能力”。所以,在设计此模块之前,开发者需要对各种 *** 协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究,然后制订相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,让机器模拟自己的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。 设计数据分析模块的工作量浩大,并且,考虑到“道高一尺,魔高一丈”的黑客手法日益翻新,所以,这注定是一个没有终点的过程,需要不断地更新、升级、完善。在这里需要特别注意三个问题:
① 应优化检测模型和算法的设计,确保系统的执行效率;
② 安全规则的制订要充分考虑包容性和可扩展性,以提高系统的伸缩性;
③ 报警消息要遵循特定的标准格式,增强其共享与互操作能力,切忌随意制订消息格式的不规范做法。
第四步 构建控制台子系统
控制台子系统负责向 *** 管理员汇报各种 *** 违规行为,并由管理员对一些恶意行为采取行动(如阻断、跟踪等)。由于Linux或Unix平台在支持界面操作方面远不如常用的Windows产品流行,所以,为了把IDS做成一个通用、易用的系统,笔者建议将控制台子系统在Windows系列平台上实现。
控制台子系统的主要任务有两个:
① 管理数据采集分析中心,以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息;
② 根据安全策略进行一系列的响应动作,以阻止非法行为,确保 *** 的安全。
控制台子系统的设计重点是:警报信息查询、探测器管理、规则管理及用户管理。
1.警报信息查询: *** 管理员可以使用单一条件或复合条件进行查询,当警报信息数量庞大、来源广泛的时候,系统需要对警报信息按照危险等级进行分类,从而突出显示 *** 管理员需要的最重要信息。
2.探测器管理:控制台可以一次管理多个探测器(包括启动、停止、配置、查看运行状态等),查询各个网段的安全状况,针对不同情况制订相应的安全规则。
3.规则库管理功能:为用户提供一个根据不同网段具体情况灵活配置安全策略的工具,如一次定制可应用于多个探测器、默认安全规则等。
4.用户管理:对用户权限进行严格的定义,提供口令修改、添加用户、删除用户、用户权限配置等功能,有效保护系统使用的安全性。
第五步 构建数据库管理子系统
一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些 *** 事件。
数据库管理子系统的前端程序通常与控制台子系统集成在一起,用Access或其他数据库存储警报信息和其他数据。该模块的数据来源有两个:
① 数据分析子系统发来的报警信息及其他重要信息;
② 管理员经过条件查询后对查询结果处理所得的数据,如生成的本地文件、格式报表等。
第六步 联调,一个基本的IDS搭建完毕
以上几步完成之后,一个IDS的最基本框架已被实现。但要使这个IDS顺利地运转起来,还需要保持各个部分之间安全、顺畅地通信和交互,这就是联调工作所要解决的问题。
首先,要实现数据采集分析中心和控制管理中心之间的通信,二者之间是双向的通信。控制管理中心显示、整理数据采集分析中心发送过来的分析结果及其他信息,数据采集分析中心接收控制管理中心发来的配置、管理等命令。注意确保这二者之间通信的安全性,更好对通信数据流进行加密操作,以防止被窃听或篡改。同时,控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作,如警报信息查询、 *** 事件重建等。
联调通过之后,一个基本的IDS就搭建完毕。后面要做的就是不断完善各部分功能,尤其是提高系统的检测能力。
什么是入侵者检测系统
话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全。无线 *** 不但因为基于传统有线 *** TCP/IP架构而受到攻击,还有可能受到基于电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁。为了更好的检测和防御这些潜在的威胁,无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题。以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案。这篇文章将为你讲述,为什么需要无线入侵检测系统,无线入侵检测系统的优缺点等问题。
来自无线局域网的安全
无线局域网容易受到各种各样的威胁。象802.11标准的加密 *** 和有线
对等保密(Wired Equivalent Privacy)都很脆弱。在"Weaknesses in the Key Sche *** ng Algorithm of RC-4" 文档里就说明了WEP key能在传输中通过暴力破解攻击。即使WEP加密被用于无线局域网中,黑客也能通过解密得到关键数据。
黑客通过欺骗(rogue)WAP得到关键数据。无线局域网的用户在不知情的情况下,以为自己通过很好的信号连入无线局域网,却不知已遭到黑客的监听了。随着低成本和易于配置造成了现在的无线局域网的流行,许多用户也可以在自己的传统局域网架设无线基站(WAPs),随之而来的一些用户在 *** 上安装的后门程序,也造成了对黑客开放的不利环境。这正是没有配置入侵检测系统的组织机构开始考虑配置IDS的解决方案的原因。或许架设无线基站的传统局域网用户也同样面临着遭到黑客的监听的威胁。
基于802.11标准的 *** 还有可能遭到拒绝服务攻击(DoS)的威胁,从而使得无线局域网难于工作。无线通讯由于受到一些物理上的威胁会造成信号衰减,这些威胁包括:树,建筑物,雷雨和山峰等破坏无线通讯的物体。象微波炉,无线 *** 也可能威胁基于802.11标准的无线 *** 。黑客通过无线基站发起的恶意的拒绝服务攻击(DoS)会造成系统重起。另外,黑客还能通过上文提到的欺骗WAP发送非法请求来干扰正常用户使用无线局域网。
另外一种威胁无线局域网的是ever-increasing pace。这种威胁确实存在,并可能导致大范围地破坏,这也正是让802.11标准越来越流行的原因。对于这种攻击,现在暂时还没有好的防御 *** ,但我们会在将来提出一个更好的解决方案。
入侵检测
入侵检测系统(IDS)通过分析 *** 中的传输数据来判断破坏系统和入侵事件。传统的入侵检测系统仅能检测和对破坏系统作出反应。如今,入侵检测系统已用于无线局域网,来监视分析用户的活动,判断入侵事件的类型,检测非法的 *** 行为,对异常的 *** 流量进行报警。
无线入侵检测系统同传统的入侵检测系统类似。但无线入侵检测系统加入了一些无线局域网的检测和对破坏系统反应的特性。
无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。如今,在市面上的流行的无线入侵检测系统是Airdefense RogueWatch 和Airdefense Guard。象一些无线入侵检测系统也得到了Linux 系统的支持。例如:自由软件开放源代码组织的Snort-Wireless 和WIDZ 。
架构
无线入侵检测系统用于集中式和分散式两种。集中式无线入侵检测系统通常用于连接单独的sensors ,搜集数据并转发到存储和处理数据的中央系统中。分散式无线入侵检测系统通常包括多种设备来完成IDS的处理和报告功能。分散式无线入侵检测系统比较适合较小规模的无线局域网,因为它价格便宜和易于管理。当过多的sensors需要时有着数据处理sensors花费将被禁用。所以,多线程的处理和报告的sensors管理比集中式无线入侵检测系统花费更多的时间。
无线局域网通常被配置在一个相对大的场所。象这种情况,为了更好的接收信号,需要配置多个无线基站(WAPs),在无线基站的位置上部署sensors,这样会提高信号的覆盖范围。由于这种物理架构,大多数的黑客行为将被检测到。另外的好处就是加强了同无线基站(WAPs)的距离,从而,能更好地定位黑客的详细地理位置。
物理回应
物理定位是无线入侵检测系统的一个重要的部分。针对802.11 的攻击经常在接近下很快地执行,因此对攻击的回应就是必然的了,象一些入侵检测系统的一些行为封锁非法的IP。就需要部署找出入侵者的IP,而且,一定要及时。不同于传统的局域网,黑客可以攻击的远程 *** ,无线局域网的入侵者就在本地。通过无线入侵检测系统就可以估算出入侵者的物理地址。通过802.11的sensor 数据分析找出受害者的,就可以更容易定位入侵者的地址。一旦确定攻击者的目标缩小,特别反映小组就拿出Ki *** et或Airopeek根据入侵检测系统提供的线索来迅速找出入侵者,
策略执行
无线入侵检测系统不但能找出入侵者,它还能加强策略。通过使用强有力的策略,会使无线局域网更安全。
威胁检测
无线入侵检测系统不但能检测出攻击者的行为,还能检测到rogue WAPS,识别出未加密的802.11标准的数据流量。
为了更好的发现潜在的 WAP 目标,黑客通常使用扫描软件。Netstumbler 和Ki *** et这样的软件来。使用全球卫星定位系统(Global Positioning System )来记录他们的地理位置。这些工具正因为许多网站对WAP的地理支持而变的流行起来。
比探测扫描更严重的是,无线入侵检测系统检测到的DoS攻击,DoS攻击在 *** 上非常普遍。DoS攻击都是因为建筑物阻挡造成信号衰减而发生的。黑客也喜欢对无线局域网进行DoS攻击。无线入侵检测系统能检测黑客的这种行为。象伪造合法用户进行泛洪攻击等。
除了上文的介绍,还有无线入侵检测系统还能检测到MAC地址欺骗。它是通过一种顺序分析,找出那些伪装WAP 的无线上网用户。
无线入侵检测系统的缺陷
虽然无线入侵检测系统有很多优点,但缺陷也是同时存在的。因为无线入侵检测系统毕竟是一门新技术。每个新技术在刚应用时都有一些bug,无线入侵检测系统或许也存在着这样的问题。随着无线入侵检测系统的飞速发展,关于这个问题也会慢慢解决。
结论
无线入侵检测系统未来将会成为无线局域网中的一个重要的部分。虽然无线入侵检测系统存在着一些缺陷,但总体上优大于劣。无线入侵检测系统能检测到的扫描,DoS攻击和其他的802.11的攻击,再加上强有力的安全策略,可以基本满足一个无线局域网的安全问题。随着无线局域网的快速发展,对无线局域网的攻击也越来越多,需要一个这样的系统也是非常必要的。
入侵检测系统的优缺点有哪些?
入侵检测系统的优点:
1.能够使现有的安防体系更完善。
2.能够更好地掌握系统的情况。
3.能够追踪攻击者的攻击线路。
4.界面友好,便于建立安防体系。
5.能够抓住肇事者。
入侵检测系统的缺点:
1. 不能够在没有用户参与的情况下对攻击行为展开调查。
2. 不能够在没有用户参与的情况下阻止攻击行为的发生。
3. 不能克服 *** 协议方面的缺陷。
4.不能克服设计原理方面的缺陷。
5. 响应不够及时,签名数据库更新得不够快。
6.经常是事后才检测到,适时性不好。
0条大神的评论