文档介绍:摘 要
入侵检测系统是一种主动保护网络资源的网络平安系统,近年来得到了广泛的研究与应用。介绍了入侵检测系统的起源、系统分类、相关产品分类,对它的目前存在的问题进行了分析,并对其开展趋势作了简单的概述。入侵检测系统作为一种主动的平安防护资源,还包括系统内的用户滥用权力对系统造成的破坏,如非法盗用他人帐户,非法获得系统管理员权限,修改或删除系统文件等。
入侵检测 (Intrusion Detection)可以被定义为识别出正在发生的入侵企图或已经发生的入侵活动的过程。它通过对计算机网络或计算机系统中的假设干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反平安策略的行为和被攻击的迹象。入侵检测包含两层意思:一是对外部入侵(非授权使用)行为的检测:二是对内部用户(合法用户)滥用自身权限的检测。
入侵检测系统 (Intrusion Detection System,简称IDS)是试图实现检测入侵行为的计算机系统,包括计算机软件和硬件的组合。入侵检测系统对系统进行实时监控,对网络或操作系统上的可疑行为做出策略反响,及时切断资料入侵源、记录、并通过各种途径通知网络管理员,最大幅度地保障系统平安,是防火墙的合理补充。
作为一种平安防护系统,入侵检测系统旨在增强网络系统的可靠性,因此,入侵检测系统就成为了网络系统的重要组成局部,因而它自身也应该具有足够的可靠性,而不管它是基于何种机制。下面是入侵检测系统应该具备的特性:
1、检测用户和系统的运行状况,必须在没有(或很少)的人工干预下不间断地运行。
2、监测系统配置的正确性和平安漏洞,必须具有容错能力,即使系统崩溃也能继续运转,且重新启动后无须重建知识库。
3、有很强的抗攻击能力,能抵御破坏,能够监测自身以确保不被攻击者修改。
4、有尽可能小的系统开销,防止影响系统(IDS所处环境)内其它组件正常操作。
5、易于部署,这主要表达在对不同操作系统和体系结构的可移植性、简单的安装机制, 以及操作员易于使用和理解。
6、能检测出攻击,并作出反响。包括不能将合法的活动误认为是攻击、不应遗漏任何真正的攻击、应尽可能迅速及时报告入侵活动等功能。
虽然目前存在诸多的入侵检测模型和入侵检测系统,但一个典型的入侵检测系统一般由数据采集、数据分析和事件响应三个局部组成。。
数据
事件
其他系统
事件影响
数据分析
数据源
数据收集
事件
数据收集是入侵检测的第一步,包括收集系统、网络数据、用户活动状态和行为数据。而且需要在计算机网络系统中的假设干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大了检测范围的因素外,还有一个重要的因素就是从一个数据源来的信息有可能看不出疑点,但从几个数据源来的信息的不一致性却是可疑行为或入侵的的最好标志。获得数据之后,需要对数据进行简单处理,如流数据的解码、字符编码的转换等等。然后将处理后的数据提交给数据分析模块。
因为入侵检测很大程度上依赖于采集信息的可靠性和正确性,因此我们必须保证数据采集的正确性。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样。例如,Linux 系统的PS 指令可以被替换为一个不显示侵入过程的指令,或者编辑器被替换成一个读取不同于指定文件的文件〔黑客隐藏了初试文件并用另一版本代替〕这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的巩固性,防止被篡改而采集到错误的信息。入侵检测利用的信息一般来自以下三个方面〔这里不包括物理形式的入侵信息〕:
黑客经常在系统日志文件中留下他们的踪迹,因此可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动〞类型的日志,就包含登录、用户ID 改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
网络环境中的文件系统包含很多软件和数据文件,他们经常是黑客修改或破坏的目标。目录和文件中非正常改变〔包括修改、创立和删除〕特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经