隨著網絡安全風險系數不斷提高，曾經作為最主要的安全防范手段的防火墻，已經不能滿足人們對網絡安全的需求。作為對防火墻及其有益的補充，IDS(入侵檢測系統(tǒng))能夠幫助網絡系統(tǒng)快速發(fā)現(xiàn)網絡攻擊的發(fā)生，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應)，提高了信息安全基礎結構的完整性。

IDS被認為是防火墻之后的第二道安全閘門，它能在不影響網絡性能的情況下對網絡進行監(jiān)聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

伴隨著計算機網絡技術和互聯(lián)網的飛速發(fā)展，網絡攻擊和入侵事件與日俱增，特別是近兩年，政府部門、軍事機構、金融機構、企業(yè)的計算機網絡頻遭黑客襲擊。攻擊者可以從容地對那些沒有安全保護的網絡進行攻擊和入侵，如進行拒絕服務攻擊、從事非授權的訪問、肆意竊取和篡改重要的數據信息、安裝后門監(jiān)聽程序以便隨時獲得內部信息、傳播計算機病毒、摧毀主機等等。攻擊和入侵事件給這些機構和企業(yè)帶來了巨大的經濟損失和形象的損害，甚至直接威脅到國家的安全。

攻擊者為什么能夠對網絡進行攻擊和入侵呢?原因在于，我們的計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置，主要表現(xiàn)在操作系統(tǒng)、網絡服務、TCP/IP協(xié)議、應用程序(如數據庫、瀏覽器等)、網絡設備等幾個方面。正是這些弱點、漏洞和不安全設置給攻擊者以可乘之機。另外，由于大部分網絡缺少預警防護機制，即使攻擊者已經侵入到內部網絡，侵入到關鍵的主機，并從事非法的操作，我們的網管人員也很難察覺到。這樣，攻擊者就有足夠的時間來做他們想做的任何事情。

那么，我們如何防止和避免遭受攻擊和入侵呢?首先要找出網絡中存在的安全弱點、漏洞和不安全的配置;然后采用相應措施堵塞這些弱點、漏洞，對不安全的配置進行修正，最大限度地避免遭受攻擊和入侵;同時，對網絡活動進行實時監(jiān)測，一旦監(jiān)測到攻擊行為或違規(guī)操作，能夠及時做出反應，包括記錄日志、報警甚至阻斷非法連接。

IDS的出現(xiàn)，解決了以上的問題。設置硬件防火墻，可以提高網絡的通過能力并阻擋一般性的攻擊行為;而采用IDS入侵防護系統(tǒng)，則可以對越過防火墻的攻擊行為以及來自網絡內部的違規(guī)操作進行監(jiān)測和響應。

在本質上，入侵檢測系統(tǒng)是一個典型的“窺探設備”。它不跨接多個物理網段(通常只有一個監(jiān)聽端口)，無須轉發(fā)任何流量，而只需要在網絡上被動地、無聲息地收集它所關心的報文即可。IDS處理過程分為數據采集階段、數據處理及過濾階段、入侵分析及檢測階段、報告以及響應階段等四個階段。數據采集階段是數據審核階段。入侵檢測系統(tǒng)收集目標系統(tǒng)中引擎提供的主機通訊數據包和系統(tǒng)使用等情況。數據處理及過濾階段是把采集到的數據轉換為可以識別是否發(fā)生入侵的階段。分析及檢測入侵階段通過分析上一階段提供的數據來判斷是否發(fā)生入侵。這一階段是整個入侵檢測系統(tǒng)的核心階段,根據系統(tǒng)是以檢測異常使用為目的還是以檢測利用系統(tǒng)的脆弱點或應用程序的BUG來進行入侵為目的，可以區(qū)分為異常行為和錯誤使用檢測。報告及響應階段針對上一個階段中進行的判斷做出響應。如果被判斷為發(fā)生入侵，系統(tǒng)將對其采取相應的響應措施，或者通知管理人員發(fā)生入侵，以便于采取措施。最近人們對入侵檢測以及響應的要求日益增加，特別是對其跟蹤功能的要求越來越強烈。

目前，IDS分析及檢測入侵階段一般通過以下幾種技術手段進行分析：特征庫匹配、基于統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

特征庫匹配就是將收集到的信息與已知的網絡入侵和系統(tǒng)誤用模式數據庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令)，也可以很復雜(如利用正規(guī)的數學表達式來表示安全狀態(tài)的變化)。一般來講，一種進攻模式可以用一個過程(如執(zhí)行一條指令)或一個輸出(如獲得權限)來表示。

該方法的一大優(yōu)點是只需收集相關的數據集合，顯著減少系統(tǒng)負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。

統(tǒng)計分析方法首先給信息對象(如用戶、連接、文件、目錄和設備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、系統(tǒng)的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發(fā)生。例如，統(tǒng)計分析可能標識一個不正常行為，因為它發(fā)現(xiàn)一個在晚八點至早六點不登錄的賬戶卻在凌晨兩點試圖登錄，或者針對某一特定站點的數據流量異常增大等。其優(yōu)點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發(fā)現(xiàn)被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(例如MD5)，能識別極其微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導致了文件或其他對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，不用于實時響應。

一、認清需求

在許多時候，第一個障礙是說服管理層這個投資是必要的，因為他們不一定有IT背景。設備、招收員工和培訓所造成的增加成本也應該討論。關鍵是要論證需要保護的并不是服務器、工作站、文件服務器或其它網絡設備，而是這些設備上的公司數據。對以下問題認真考慮能夠有助于說明增強網絡安全的重要性：

1、公司數據的安全有多重要?

如果有一天早晨你發(fā)現(xiàn)所有的數據庫都成了空白的或被修改了，那該怎么辦?如果研究了一年的新產品落到競爭者的手中該怎么辦?

2、潛在的損失是什么?

丟失數據可能會造成因恢復或重建數據而帶來的額外成本，還會造成公司內部失去信任，長遠來說這可能代價更高。

客戶愿意相信他們的個人信息是安全的，而商業(yè)伙伴希望共享的公司秘密也是如此。

3、未來被攻擊的潛在可能性有多少?

公司以前成為過攻擊目標嗎?相似的公司是否受到過攻擊?公司是否涉及敏感或有爭議的領域?與政府機構之間的關系是否會增加受到攻擊的可能性?

二、全面了解入侵檢測系統(tǒng)

要保證真正地理解IDS的意圖。網絡安全并不是一個單個系統(tǒng)所能完成的工作，需要配合口令系統(tǒng)的使用和管理、反病毒程序的安裝、文件系統(tǒng)的許可和審核以及全面優(yōu)良的的網絡實踐及策略。IDS不會“包治百病”，它所能做的是對那些可能危害網絡結構以及存儲數據完整性的行為進行檢測、報告和有限的響應。

1、IDS系統(tǒng)的檢測方式

IDS通常使用異常檢測和特征檢測兩種方式判斷行為是否有害：

(1)異常檢測方式

這種方式下，IDS首先要學習并了解一個系統(tǒng)的基本情況，包括CPU、文件使用、用戶登錄及其它行為，然后根據是否發(fā)生了異常舉動進而采取對策。例如，如果一個用戶通常是在星期一至星期五的上午8點到下午5點之間登錄進來的，而突然試圖在星期六的凌晨2點登錄，這就會警告管理員這個行為對于這個用戶來說是不正常的。

(2)特征檢測方式

這種方式下，IDS會對每個信息包進行特征內容核查，看是否與那些已知的攻擊模式相匹配。例如，字符串"/cgi-bin/phf?"就可觸發(fā)一個報警，表明可能有人在web 服務器上尋找一個CGI腳本漏洞。許多商業(yè) IDS系統(tǒng)都是基于特征的，它們的數據庫一般都有幾百個特征。

遺憾的是，不論基于異常行為還是特征內容的檢測都不完美，兩種產品都有誤報，會出現(xiàn)對用戶、資源和目的系統(tǒng)本來合法的行為作為事件來報告。誤報的概率永遠無法完全消除，但是系統(tǒng)管理員通過仔細研究報警信息及其原因，對檢測系統(tǒng)進行微調就可以降低誤報的發(fā)生幾率。另外，一個IDS產品有一定數量的誤報總比無視可能的入侵要好。

2、IDS系統(tǒng)的種類

除了檢測方法上的不同方式外，還有許多不同類型的入侵檢測系統(tǒng)，基于網絡的、基于主機的，其功能各有千秋：

1)基于網絡的IDS系統(tǒng)

這種IDS系統(tǒng)用于檢測網絡上所有的信息包。根據多種因素，要想全面覆蓋網絡，可能需要一個以上的網絡IDS?；诰W絡的IDS的優(yōu)勢是：

● 基于網絡的IDS購買成本低，放置在一個重要網絡入口處的IDS可為多個系統(tǒng)提供安全。

● 基于網絡的IDS能夠檢測數據包報頭和有效負載，不會漏掉基于主機的IDS系統(tǒng)可能會錯過的攻擊。

● 對識別出來的攻擊進行實時檢測和各種響應，包括通知、中止會話、記錄會話日志用于分析和證據。

● 檢測和記錄不成功的攻擊，用于評估安全狀態(tài)和策略。

● 基于網絡的IDS在檢測攻擊時并不依賴于操作系統(tǒng)，而基于主機的IDS要依賴操作系統(tǒng)、應用程序或其它系統(tǒng)的日志來識別攻擊。

2)基于主機的IDS系統(tǒng)

這種IDS系統(tǒng)用于檢測發(fā)往一個計算機的信息包，通常在高度敏感的系統(tǒng)上使用?；谥鳈C的IDS的優(yōu)勢是：

● 能夠校驗出攻擊是成功還是失敗，因為處理結果是在對系統(tǒng)日志中所記錄下來事件的分析基礎上做出的。

● 可使特定的系統(tǒng)行為受到嚴密監(jiān)控，例如文件訪問、對文件許可的變更、用戶上網和下網的情況，其監(jiān)控程度比基于網絡的IDS要詳細得多。

● 基于網絡的IDS可以檢測出沒有通過受保護網絡入口的攻擊，基于主機的IDS能夠檢測和報告監(jiān)控服務器上的鍵盤動作。

● 基于網絡的IDS對經過加密的攻擊往往“有眼無珠”，而基于主機的IDS會在主機操作系統(tǒng)對信息包解密之后再進行檢驗。

● 基于主機的IDS安裝在現(xiàn)有服務器上，不需要額外的系統(tǒng)支持，降低了初始配置成本。

基于網絡和基于主機的IDS都各有優(yōu)勢和用途，前者“主外”，為整個網絡提供全面保護，后者“主內”，為選中的系統(tǒng)提供特殊保護，二者聯(lián)合起來就能夠提供全面的保護。

三、詳細了解網絡現(xiàn)狀

詳細理解現(xiàn)有網絡的拓撲結構、各種系統(tǒng)的用途和功能是很必要的。一般情況下，需要對網絡進行以下檢查：

1、存在網絡管理部門嗎?

有沒有一個單獨的網絡管理部門，或者網絡管理功能是否被分給了多個功能不同的部門?識別域控制器和郵件服務器很重要，但只是個開始，還需要知道其他部門比如人力資源部有沒有一個數據庫服務器?其中是否包含了敏感的員工保險記錄?

2、網絡有多少個入口?

如果一次成功的入侵沒有被基于網絡的IDS檢測到，其原因是“入侵者從另一個未知的、未受保護的門進入”，那么就需要徹底打掃一下“衛(wèi)生”了，看看哪個地方還有“黑洞”?

3、網絡中安裝了防火墻嗎?

如果安裝，那么需要進一步確定基于網絡的IDS是安裝于防火墻前還是后。IDS位于防火墻前面，就能記錄下可能會被防火墻阻擋在外的攻擊，從而利用這些數據調整IDS的配置。IDS位于防火墻后面，就只能報告穿越防火墻的攻擊。

4、網絡上有沒有交換機?

這個信息用于決定IDS系統(tǒng)的放置場所及其部署類型。

5、可用資金有多少?

錢的數量會對選擇造成直接的影響。為了保護特殊系統(tǒng)，即使買不起基于網絡的IDS系統(tǒng)，也要“省吃儉用”購置一套基于主機的IDS系統(tǒng)以保護重點對象。

四、評估IDS系統(tǒng)

評估IDS系統(tǒng)是很費時間的，但是絕對重要和必要，值得“千呼萬喚始出來”。除了基于網絡和主機的系統(tǒng)外，還需考慮以下因素：

● 基于網絡和主機的系統(tǒng)能組合到一個管理系統(tǒng)中，從而允許在同一個控制臺上發(fā)出報警嗎?

● 有沒有事件相關功能，從而減少觸發(fā)和響應時間?

● 支持何種操作系統(tǒng)?

● 特征數據庫多久升級一次?

● 哪種IDS能夠顯示網絡拓撲結構?

● 哪種系統(tǒng)與現(xiàn)有操作系統(tǒng)最適應?

【編輯推薦】

1. 撥開迷霧，詳解入侵檢測、入侵防御和UTM
2. 無線局域網中的入侵檢測系統(tǒng)介紹
3. 分析入侵檢測系統(tǒng)漏洞 認識黑客入侵手