主機入侵檢測系統利與弊
作為為網絡防火墻之后的又一大安全產品,入侵檢測系統(IDS)已然成為了網絡安全這個餐桌上的一道名菜。入侵檢測系統又可以細分為網絡入侵檢測系統以及主機入侵檢測系統。那么在應用中應該如何選擇使用他們呢?在后邊的文章中,將選擇主機入侵檢測系統為您分析其利于弊。
主機入侵檢測系統(HIDS)通常是安裝在被重點檢測的主機之上,主要是對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統計規律),入侵檢測系統就會采取相應措施。
主機入侵檢測使用驗證記錄,并發展了精密的可迅速做出響應的檢測技術。通常,主機入侵檢測可監探系統、事件和Window NT下的安全記錄以及UNIX環境下的系統記錄。當有文件發生變化時,IDS將新的記錄條目與攻擊標記相比較,看它們是否匹配。如果匹配,系統就會向管理員報警并向別的目標報告,以采取措施。
主機入侵檢測在發展過程中融入了其它技術。對關鍵系統文件和可執行文件的入侵檢測的一個常用方法,是通過定期檢查校驗和來進行的,以便發現意外的變化。反應的快慢與輪詢間隔的頻率有直接的關系。最后,許多系統都是監聽端口的活動,并在特定端口被訪問時向管理員報警。這類檢測方法將基于網絡的入侵檢測的基本方法融入到主機入侵檢測環境中。
盡管基于主機的入侵檢查系統不如基于網絡的入侵檢查系統快捷,但它確實具有基于網絡的系統無法比擬的優點。這些優點包括:更好的辨識分析、對特殊主機事件的緊密關注及低廉的成本。
主機入侵檢測系統包括:
(1)確定攻擊是否成功。由于基于主機入侵檢測使用含有已發生事件信息,它們可以比基于網絡的IDS更加準確地判斷攻擊是否成功。在這方面,主機入侵檢測是基于網絡的IDS完美補充,網絡部分可以盡早提供警告,主機部分可以確定攻擊成功與否。
(2)監視特定的系統活動。主機入侵檢測監視用戶和訪問文件的活動,包括文件訪問、改變文件權限,試圖建立新的可執行文件并且/或者試圖訪問特殊的設備。例如,基于主機入侵檢測可以監督所有用戶的登錄及下網情況,以及每位用戶在聯結到網絡以后的行為。對于基于網絡的系統經要做到這個程度是非常困難的。主機入侵檢測技術還可監視只有管理員才能實施的非正常行為。操作系統記錄了任何有關用戶帳號的增加,刪除、更改的情況,只要改動一且發生,主機入侵檢測就能檢察測到這種不適當的改動。主機入侵檢測還可審計能影響系統記錄的校驗措施的改變。主機入侵檢測系統可以監視主要系統文件和可執行文件的改變。系統能夠查出那些欲改寫重要系統文件或者安裝特洛伊木馬或后門的嘗試并將它們中斷。而基于網絡的系統有時會查不到這些行為。
(3)能夠檢查到基于網絡的系統檢查不出的攻擊。主機入侵檢測系統可以檢測到那些基于網絡的系統察覺不到的攻擊。例如,來自主要服務器鍵盤的攻擊不經過網絡,所以可以躲開基于網絡的入侵檢測系統。
(4)適用被加密的和交換的環境。交換設備可將大型網絡分成許多的小型網絡部件加以管理,所以從覆蓋足夠大的網絡范圍的角度出發,很難確定配置基于網絡的IDS的最佳位置。業務映射和交換機上的管理端口有助于此,但這些技術有時并不適用。主機入侵檢測入侵檢測系統可安裝在所需的重要主機上,在交換的環境中具有更高的能見度。某些加密方式也向基于網絡的入侵檢測發出了挑戰。由于加密方式位于協議堆棧內,所以基于網絡的系統可能對某些攻擊沒有反應,主機入侵檢測沒有這方面的限制,當操作系統及主機入侵檢測系統看到即將到來的業務時,數據流已經被解密了。
(5)近于實時的檢測和響應。盡管主機入侵檢測系統不能提供真正實時的反應,但如果應用正確,反應速度可以非常接近實時。老式系統利用一個進程在預先定義的間隔內檢查登記文件的狀態和內容,與老式系統不同,當前主機入侵檢測系統的中斷指令,這種新的記錄可被立即處理,顯著減少了從攻擊驗證到作出響應的時間,在從操作系統作出記錄到主機入侵檢測系統得到辨識結果之間的這段時間是一段延遲,但大多數情況下,在破壞發生之前,系統就能發現入侵者,并中止他的攻擊。
(6)不要求額外的硬件設備。主機入侵檢測系統存在于現行網絡結構之中,包括文件服務器,Web服務器及其它共享資源。這些使得主機入侵檢測系統效率很高。因為它們不需要在網絡上另外安裝登記,維護及管理的硬件設備。
(7)記錄花費更加低廉。基于網絡的入侵檢測系統比主機入侵檢測系統要昂貴的多。
主機入侵檢測系統有如下的弱點:
(1)主機入侵檢測系統安裝在我們需要保護的設備上,如當一個數據庫服務器要保護時,就要在服務器本身上安裝入侵檢測系統。這會降低應用系統的效率。此外,它也會帶來一些額外的安全問題,安裝了主機入侵檢測系統后,將本不允許安全管理員有權力訪問的服務器變成他可以訪問的了。
(2)主機入侵檢測系統依賴于服務器固有的日志與監視能力。如果服務器沒有配置日志功能,則必需重新配置,這將會給運行中的業務系統帶來不可預見的性能影響。
(3)全面布署主機入侵檢測系統代價較大,企業中很難將所有主機用主機入侵檢測系統保護,只能選擇部分主機保護。那些未安裝主機入侵檢測系統的機器將成為保護的盲點,入侵者可利用這些機器達到攻擊目標。
(4)主機入侵檢測系統除了監測自身的主機以外,根本不監測網絡上的情況。對入侵行為的分析的工作量將隨著主機數目增加而增加。
基于主機和基于網絡的入侵檢測都有其優勢和劣勢,兩種方法互為補充。一種真正有效的入侵檢測系統應將二者結合。
【編輯推薦】
