2.9.1 入侵检测系统
与操作系统提供的识别和认证、访问控制、防火墙等不同的是,入侵检测是实现网络主动防卫的安全技术,主要有以下三方面的作用:
(1)识别入侵者和入侵行为;
(2)检测并监视已成功的安全突破;
(3)为对抗入侵提供及时、重要的信息,阻止入侵事件的进一步扩大。
入侵检测系统(IDS)通过收集、分析有关网络安全的信息,寻找网络系统的违规模式和未授权的访问尝试。当发现违规模式和未授权访问时,IDS根据系统安全策略做出快速的反应。IDS是计算机安全系统的重要组成部分。IDS在检测入侵的过程中,可能会导致两类错误,即误否定型错误和误肯定型错误。
入侵检测系统作为一种主动的安全防护措施,有效地扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。不同的入侵检测系统往往采用不同技术来实现,根据通用设备互联框架(CDIF)定义的术语来描述入侵检测系统。
(1)数据源。数据源(data source)是IDS用以监控未授权或异常行为的原始数据,包括原始网络数据包、操作系统审计记录、应用程序审计记录以及系统校验数据等。
(2)传感器与分析器。传感器(sensor)的任务是完成从数据源中收集必要数据的工作,不同的IDS传感器收集数据的频率和工作方式不同。分析器(analyzer)的任务是分析处理传感器收集到的数据(如未授权的或异常的行为和其他有用事件等相关的数据)并发出安全警报。
(3)行为与事件。行为(activity)是数据源的表征实例,如某个网络连接、某个用户执行的操作或者某个应用程序触发的事件(event)等,它既可以是危险的恶意攻击,也可以是无害用户偶然异常操作,或者是用户的正常行为。事件是对数据源某些数据的分析结果,分析器根据系统中出现的事件来发出安全警报。
(4)安全警报。警报(alert)信息由分析器产生并发送到对应的响应器,内容通常包括事件的类型、事件发生的时间、事件处理的优先级别等信息。
(5)管理器和响应器。管理器(manager)功能包括传感器配置、分析器配置、事件告知管理、数据综合和报表等。响应器(responsor)是对报警做出反应的功能单元,它可以是切断连接、改变文件属性、结束进程等强烈的反应,也可只是简单的报警。在某些IDS系统中,把响应器和管理器的功能集成在一起。
(6)响应。响应(response)是对发生事件所采取的措施,它可能是由系统自动触发并完成,也可以由安全管理人员发起。其中,通知管理人员是一般的响应方式,同时可能还包括行为的记录、原始数据特征的记录,或者是切断网络连接、终止用户进程、改变网络或系统配置与系统存取属性等。
(7)管理员和操作员。安全管理员(administrator)负责整个IDS的安全策略配置和组件配置工作。操作员(operator)监视入侵检测系统的输出,必要时采取一定的反应措施。管理员和操作员在系统中担任不同的职责,扮演两个不同的系统角色,但在现实中可以是同一个人或小组。操作员是IDS的主要用户。
图2-9给出了入侵检测的步骤。
入侵检测系统收集到的原始数据往往非常庞大,为了能够有效地对其进行处理,并减少处理和传输的代价,必须经过数据减少这一步骤。合理地提取有用数据、删除冗余的和对检测入侵没有重要影响的数据是入侵检测系统能够发挥作用的保障。数据减少的方法主要有两种:一是采用数据过滤方法,过滤掉不合要求或不关心的数据;二是采用数据聚类和特征提取的方法,即通过存储聚类的特征而不是所有的数据来显著地减少数据量。
行为分类是入侵检测系统的关键,它根据经过数据减少提炼过的数据来判断当前的行为是不是入侵。按照所采用的行为分类的技术的不同,入侵检测系统可以分为两类:误用入侵检测和异常入侵检测。
图2-9 入侵检测步骤