dustpan-空椅子
第八章
入侵检测系统
第一节
引言
通过电子手段对一个组织信息库的恶意攻击称为信息战
(inf
ormation
warfare)
。
攻
击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信
息
战的各种抵抗措施都可归结为三类:保护、检测、响应。
保护
(
入侵的防范
< br>)
指保护硬件、
软件、
数据抵御
各种攻击的技术。
目前各种网络安
全设施如防火墙及
VPN
,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的
p>
范围之内,它们是计算机系统的第一道防线。
检测
(
入侵的检测
< br>)
研究如何高效正确地检测网络攻击。
只有入侵防范不足
以保护计
算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是
协议的
实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些
保护
措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所
不
能代替的作用。
响应
(
入侵的响应
< br>)
是入侵检测之后的处理工作,
主要包括损失评估,
p>
根除入侵者留
下的后门,数据恢复,收集入侵者留下的证据等。这三
种安全措施构成完整的信息战防
御系统。
入侵检测(
Intrusion
De
tection
,
ID
)是本章讨论的
主题之一,它通过监测计算机
系统的某些信息,加以分析,检测入侵行为,并做出反应。
入侵检测系统所检测的系统
信息包括系统记录,网络流量,应用程序日志等。入侵(
p>
Intrusion
)定义为未经授权
的计
算机使用者以及不正当使用
(misuse)
计算机的合法用户
(
内部威胁
)
,
危害或试图危
害资源的完整性、
保密
性、
可用性的行为。
入侵检测系统
(<
/p>
Intrusion
Detection
System
,
IDS
)是实现入
侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为
与正常行为有显著
的不同,因而是可以检测的。入侵检测的研究开始于
20
世纪<
/p>
80
年代,
进入
90
年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。
入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系
统的替代。相
反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入
侵检测系统
是计算机系统安全、网络安全的第二道防线。
一个理想的入侵检测系统具有如下特性:
?
能以最小的人为干预持续运行。
?
能够从系统崩溃中恢复和重置。
?
能抵抗攻击。
IDS
必须能监测自身和检测自己是否已经被攻击者所改变。
?
运行时占用系统的开销最小。
?
能够根据被监视系统的安全策略进行配置。
?
能在使用过程中适应系统和用户行为的改变。
当被监控系统的规模和受攻击的机会增加时,我们认为下列的特征也同样重要:
?
能够检测具有一定规模的网络。
?
保证当
I
DS
某一部分被攻破时,对其余部分造成的影响尽可能的小。
?
允许动态的再配置,即它必须有不
用重新启动而能再次配置的功能。
?
提供很低的误报率。
?
提供互操作性,在不同环境中运行
的
IDS
组件能够相互作用。
?
提供方便的用户界面,使管理者方便地配置和监视系统。
?
能够以实时或接近于实时的方式检测入侵。
< br>目前的入侵检测系统
(包括研究的原型和商业化的
IDS
)
的数目已经超过一百个,
它
们只具有上述特征的一部分。
第二节
入侵检测系统结构
CIDF
(Common Intrusion
Detection
Framework)
定义了通用的
I
DS
系统结构,它将
入侵检测系统分为四个功能模块,如图
p>
8.1
所示:
Target system
Event
database
Event
generater
Analysis
engine
Response
unit
图
8.1
CIDF
模型
事件产生器(
Event
generater
,
E-box
)
收集入侵检测事件
,
并提供给
IDS<
/p>
其他部
件处理,是
IDS
的信息源。事件包含的范围很广泛,既可以是网络活动也可是系统调用
序列等系
统信息。事件的质量、数量与种类对
IDS
性能的影响极大。<
/p>
事件分析器(
Analysis engine, A-box
)对输入的事件进行分析并检测入侵。许多
IDS
的研究都集中于如何提高事件分析器的能力
,
包括提
高对已知入侵识别的准确性以
及提高发现未知入侵的几率等。
事件数据库(
Event
database, D-box
)
E-boxes
和
A-boxes
产生大量的数据
,这
些数据必须被妥善地存储,以备将来使用。
D-box
p>
的功能就是存储和管理这些数据
,
用于
p>
IDS
的训练和证据保存。
事件响应器(
Response unit, C-box
p>
)对入侵做出响应,包括向管理员发出警告,
切断入侵连接,根除入
侵者留下的后门以及数据恢复等。
CIDF
概括了
IDS
的功能,并进行了合理的划分。利
用这个模型可描述当今现有的各
种
IDS
的系统结构。对
IDS
的设计及实现提供了有价值的指导。<
/p>