基礎知識小貼士:何謂IDS?
21世紀是一個互聯網信息爆發的時代,當越來越多的公司將其核心業務向互聯網轉移的時候,網絡安全作為一個無法回避的問題擺在人們面前。公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者技能的日趨成熟,攻擊工具與手法的日趨復雜多樣,單純的防火墻策略已經無法滿足對安全高度敏感的部門的需要,網絡的防衛必須采用一種縱深的、多樣的手段。
與此同時,目前的網絡環境也變得越來越復雜,各式各樣的復雜的設備,需要不斷升級、補漏的系統使得網絡管理員的工作不斷加重,不經意的疏忽便有可能造成重大的安全隱患。在這種情況下,入侵檢測系統IDS(Intrusion Detection System)就成了構建網絡安全體系中不可或缺的組成部分。
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。專業上講就是依照一定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。
做一個形象的比喻:假如防火墻是一幢大樓的門鎖,那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況并發出警告。
入侵檢測的原理
入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。
實時入侵檢測在網絡連接過程中進行,系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷,一旦發現入侵跡象立即斷開入侵者與主機的連接,并收集證據和實施數據恢復。這個檢測過程是不斷循環進行的。而事后入侵檢測則是由具有網絡安全專業知識的網絡管理人員來進行的,是管理員定期或不定期進行的,不具有實時性,因此防御入侵的能力不如實時入侵檢測系統。
入侵檢測的通信協議
IDS系統組件之間需要通信,不同的廠商的IDS系統之間也需要通信。因此,定義統一的協議,使各部分能夠根據協議所制訂的標準進行溝通是很有必要的。IETF 目前有一個專門的小組 IDWG(IntrusionDetection WorkingGroup)負責定義這種通信格式,稱作Intrusion Detection ExchangeFormat。目前只有相關的草案,并未形成正式的RFC文檔。盡管如此,草案為IDS各部分之間甚至不同IDS系統之間的通信提供層協議,其設計多其他功能(如可從任意端發起連接,結合了加密、身份驗證等)。
IDS的作用
做一個形象的比喻:假如防火墻是一幢大樓的門鎖,那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓,或內部人員有越界行為,只有實時監視系統才能發現情況并發出警告。
不同于防火墻,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里,"所關注流量"指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。在如今的網絡拓撲中,已經很難找到以前的HUB式的共享介質沖突域的網絡,絕大部分的網絡區域都已經全面升級到交換式的網絡結構。因此,IDS在交換式網絡中的位置一般選擇在:
(1)盡可能靠近攻擊源
(2)盡可能靠近受保護資源
這些位置通常是:
•服務器區域的交換機上
•Internet接入路由器之后的第一臺交換機上
•重點保護網段的局域網交換機上防火墻和IDS可以分開操作,IDS是個監控系統,可以自行選擇合適的,或是符合需求的,比如發現規則或監控不完善,可以更改設置及規則,或是重新設置;在實際的使用中,大多數的入侵檢測的接入方式都是采用pass-by方式來偵聽網絡上的數據流,所以這就限制了IDS本身的阻斷功能,IDS只有靠發阻斷數據包來阻斷當前行為,并且IDS的阻斷范圍也很小,只能阻斷建立在TCP基礎之上的一些行為,如Telnet、FTP、HTTP等,而對于一些建立在UDP基礎之上就無能為力了。因為防火墻的策略都是事先設置好的,無法動態設置策略,缺少針對攻擊的必要的靈活性,不能更好的保護網絡的安全,所以IDS與防火墻聯動的目的就是更有效地阻斷所發生的攻擊事件,從而使網絡隱患降至較低限度。
【編輯推薦】
