入侵檢測系統(tǒng)中最普遍的兩種產(chǎn)品是基于網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)和基于主機(jī)的主機(jī)入侵檢測系統(tǒng)(HIDS)。那么，NIDS與HIDS到底區(qū)別在哪里?用戶在使用時(shí)該如何選擇呢?

先來回顧一下IDS的定義：所謂入侵檢測，就是通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象，并對此做出適當(dāng)反應(yīng)的過程。而入侵檢測系統(tǒng)則是實(shí)現(xiàn)這些功能的系統(tǒng)。

這個(gè)定義是ICSA入侵檢測系統(tǒng)論壇給出的。不難看出，IDS應(yīng)該是包含了收集信息、分析信息、給出結(jié)論、做出反應(yīng)四個(gè)過程。在IDS發(fā)展初期，想要全部實(shí)現(xiàn)這些功能在技術(shù)上是很難辦到的，所以大家都從不同的出發(fā)點(diǎn)，開發(fā)了不同的IDS。

一般情況下，我們都按照“審計(jì)來源”將IDS分成基于網(wǎng)絡(luò)的NIDS和基于主機(jī)的HIDS，這也是目前應(yīng)用最普遍的兩種IDS，尤以NIDS應(yīng)用最為廣泛。大部分IDS都采用“信息收集系統(tǒng)-分析控制系統(tǒng)”結(jié)構(gòu)，即由安裝在被監(jiān)控信息源的探頭(或代理)來收集相關(guān)的信息，然后按照一定方式傳輸給分析機(jī)，經(jīng)過對相關(guān)信息的分析，按照事先設(shè)定的規(guī)則、策略等給出反應(yīng)。

核心技術(shù)有差別

HIDS將探頭(代理)安裝在受保護(hù)系統(tǒng)中，它要求與操作系統(tǒng)內(nèi)核和服務(wù)緊密捆綁在一起，監(jiān)控各種系統(tǒng)事件，如對內(nèi)核或API的調(diào)用，以此來防御攻擊并對這些事件進(jìn)行日志;還可以監(jiān)測特定的系統(tǒng)文件和可執(zhí)行文件調(diào)用，以及Windows NT下的安全記錄和Unix環(huán)境下的系統(tǒng)記錄。對于特別設(shè)定的關(guān)鍵文件和文件夾也可以進(jìn)行適時(shí)輪詢的監(jiān)控。HIDS能對檢測的入侵行為、事件給予積極的反應(yīng)，比如斷開連接、封掉用戶賬號、殺死進(jìn)程、提交警報(bào)等等。如果某用戶在系統(tǒng)中植入了一個(gè)未知的木馬病毒，可能所有的殺病毒軟件、IDS等等的病毒庫、攻擊庫中都沒有記載，但只要這個(gè)木馬程序開始工作，如提升用戶權(quán)限、非法修改系統(tǒng)文件、調(diào)用被監(jiān)控文件和文件夾等，就會(huì)立即被HIDS的發(fā)現(xiàn)，并采取殺死進(jìn)程、封掉賬號，甚至斷開網(wǎng)絡(luò)連接。現(xiàn)在的某些HIDS甚至吸取了部分網(wǎng)管、訪問控制等方面的技術(shù)，能夠很好地與系統(tǒng)，甚至系統(tǒng)上的應(yīng)用緊密結(jié)合。

HIDS技術(shù)要求非常高，要求開發(fā)HIDS的企業(yè)對相關(guān)的操作系統(tǒng)非常了解，而且安裝在主機(jī)上的探頭(代理)必須非?？煽?，系統(tǒng)占用小，自身安全性要好，否則將會(huì)對系統(tǒng)產(chǎn)生負(fù)面影響。HIDS關(guān)注的是到達(dá)主機(jī)的各種安全威脅，并不關(guān)注網(wǎng)絡(luò)的安全。

因?yàn)镠IDS與操作系統(tǒng)緊密相聯(lián)，美國等發(fā)達(dá)國家對于HIDS技術(shù)都是嚴(yán)格控制的，而獨(dú)自進(jìn)行有關(guān)HIDS系統(tǒng)的研發(fā)，成本非常高，所以國內(nèi)專業(yè)從事HIDS的企業(yè)非常少。國內(nèi)市場上能見到的HIDS產(chǎn)品只有：理工先河的“金海豚”、CA的eTrust(包含類似于HIDS的功能模塊)、東方龍馬HIDS(純軟件的)、曙光GodEye等屈指可數(shù)的幾個(gè)產(chǎn)品,而且能支持的操作系統(tǒng)也基本上都是Solaris、Linux、Wondows 2000非常少的幾個(gè)。

NIDS則是以網(wǎng)絡(luò)包作為分析數(shù)據(jù)源。它通常利用一個(gè)工作在混雜模式下的網(wǎng)卡來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流，其分析模塊通常使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來識別攻擊行為。一旦檢測到了攻擊行為，IDS的響應(yīng)模塊就作出適當(dāng)?shù)捻憫?yīng)，比如報(bào)警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。與SCANER收集網(wǎng)絡(luò)中的漏洞不同，NIDS收集的是網(wǎng)絡(luò)中的動(dòng)態(tài)流量信息。因此，攻擊特征庫數(shù)目多少以及數(shù)據(jù)處理能力，就決定了NIDS識別入侵行為的能力。大部分NIDS的處理能力還是100兆級的，部分NIDS已經(jīng)達(dá)到1000兆級。NIDS設(shè)在防火墻后一個(gè)流動(dòng)崗哨，能夠適時(shí)發(fā)覺在網(wǎng)絡(luò)中的攻擊行為，并采取相應(yīng)的響應(yīng)措施。

目前市場上最常見的入侵檢測系統(tǒng)，絕大多數(shù)大都是NIDS，比如東軟NetEye、聯(lián)想網(wǎng)御、上海金諾KIDS、啟明星辰天闐、NAI McAfee IntruShied、安氏LinkTrust等等。

HIDS與NIDS雖然基本原理一樣，但實(shí)現(xiàn)入侵檢測的方法、過程和起到的作用都是不相同的，他們區(qū)別主要如上表所示。

性能和效能標(biāo)準(zhǔn)不同

在衡量IDS性能和效能的有關(guān)標(biāo)準(zhǔn)方面，HIDS和NIDS也有很大的不同。

HIDS由于采取的是對事件和系統(tǒng)調(diào)用的監(jiān)控，衡量它的技術(shù)指標(biāo)非常少，一般用戶需要考慮的是，該HIDS能夠同時(shí)支持的操作系統(tǒng)數(shù)、能夠同時(shí)監(jiān)控的主機(jī)數(shù)、探頭(代理)對主機(jī)系統(tǒng)的資源占用率、可以分析的協(xié)議數(shù)，另外更需要關(guān)注的是分析能力、數(shù)據(jù)傳輸方式、主機(jī)事件類的數(shù)目、響應(yīng)的方式和速度、自身的抗攻擊性、日志能力等等，一般我們采購HIDS需要看的是研發(fā)企業(yè)的背景、該產(chǎn)品的應(yīng)用情況和實(shí)際的攻擊測試。

而NIDS就相對比較簡單。NIDS采取的基本上都是模式匹配的形式，所以衡量NIDS的技術(shù)指標(biāo)可以數(shù)量化。對于NIDS，我們要考察的是：支持的網(wǎng)絡(luò)類型、IP碎片重組能力、可以分析的協(xié)議數(shù)、攻擊特征庫的數(shù)目、特征庫的更新頻率、日志能力、數(shù)據(jù)處理能力、自身抗攻擊性等等。尤其要關(guān)注的是數(shù)據(jù)處理能力，一般的企業(yè)100兆級的足以應(yīng)付;還有攻擊特征庫和更新頻率，國內(nèi)市場常見的NIDS的攻擊特征數(shù)大概都在1200個(gè)以上，更新也基本上都是每月，甚至每周更新。采購NIDS需要注意的是漏報(bào)和誤報(bào)，這是NIDS應(yīng)用的大敵，也會(huì)因各開發(fā)企業(yè)的技術(shù)不同有所不同，所以，在采購時(shí)最好要做實(shí)際的洪水攻擊測試。

HIDS和NIDS這兩個(gè)系統(tǒng)在很大程度上是互補(bǔ)的，許多機(jī)構(gòu)的網(wǎng)絡(luò)安全解決方案都同時(shí)采用了基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測系統(tǒng)。實(shí)際上，許多用戶在使用IDS時(shí)都配置了基于網(wǎng)絡(luò)的入侵檢測，但不能保證檢測并能防止所有的攻擊，特別是一些加密包的攻擊，而網(wǎng)絡(luò)中的DNS、Email和Web服務(wù)器經(jīng)常是攻擊的目標(biāo)，但是，它們又必須與外部網(wǎng)絡(luò)交互，不可能對其進(jìn)行全部屏蔽，所以，應(yīng)當(dāng)在各個(gè)服務(wù)器上安裝基于主機(jī)的入侵檢測系統(tǒng)。因此，即便是小規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu)，也常常需要基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測能力。

應(yīng)用領(lǐng)域分化明顯

在應(yīng)用領(lǐng)域上，HIDS和NIDS有明顯的分化。NIDS的應(yīng)用行業(yè)比較廣，現(xiàn)在的電信、銀行、金融、電子政務(wù)等領(lǐng)域應(yīng)用得最好。由于我國的主要電信骨干網(wǎng)都部署了NIDS，所以2002年的大規(guī)模DoS攻擊時(shí)，我們的骨干網(wǎng)并沒有遭到破壞，而且以此為契機(jī)，NIDS迅速地推廣到各個(gè)應(yīng)用領(lǐng)域，甚至可以說，“2004年NIDS的應(yīng)用是沿著防火墻走的”。

但在NIDS的應(yīng)用過程中，最大的敵人就是誤警和漏警。漏警不影響應(yīng)用環(huán)境的可用性，只是用戶的投資失誤;而誤警則有可能導(dǎo)致警報(bào)異常、網(wǎng)絡(luò)紊亂，甚至應(yīng)用的癱瘓。誤警很多時(shí)候是設(shè)置不當(dāng)造成的，許多用戶簡單把這些都?xì)w結(jié)為檢測錯(cuò)誤率(False Positives)，這是不正確的。由于技術(shù)的發(fā)展，NIDS的檢測錯(cuò)誤率實(shí)際上已經(jīng)很低了，我們要努力做的是與用戶一起，深入理解應(yīng)用，科學(xué)的配置，這才能有效減少誤警率。所有說，應(yīng)用不僅是NIDS廠商的事情，真正的主角應(yīng)該是用戶。

HIDS的應(yīng)用，遠(yuǎn)比NIDS要復(fù)雜的多。由于HIDS不像NIDS有許多可以數(shù)據(jù)化的技術(shù)指標(biāo)，而且又要在被監(jiān)控的主機(jī)上安裝探頭(代理)，使得應(yīng)用對它都有一定的擔(dān)憂。所以對于系統(tǒng)穩(wěn)定性比較高的一些行業(yè)像銀行、電信等對其應(yīng)用，都非常謹(jǐn)慎。而對于國防、軍工、機(jī)要保密等領(lǐng)域，對系統(tǒng)的安全、特別是信息安全要求比較高，而對系統(tǒng)的穩(wěn)定性不是太敏感，而且更關(guān)注來自內(nèi)部的攻擊(一般這些領(lǐng)域的信息系統(tǒng)是不與公網(wǎng)相連的)，所以對HIDS的應(yīng)用比較容易接受，反而NIDS不是很看重。實(shí)際上，目前中國的HIDS市場也主要在這些領(lǐng)域。

由于技術(shù)進(jìn)步和信息安全威脅的增加，從2003年下半年開始，HIDS在其他領(lǐng)域的應(yīng)用也慢慢多起來了。大型商業(yè)企業(yè)、數(shù)據(jù)中心企業(yè)以及電子政務(wù)系統(tǒng)也都將HIDS納入了基本的安全架構(gòu)當(dāng)中。

【編輯推薦】

1. Snort入侵檢測系統(tǒng)之我見
2. snort入侵檢測安裝及操作方法
3. 如何在Linux下實(shí)現(xiàn)入侵檢測IDS
4. 正確區(qū)分入侵檢測IDS與入侵防御IPS
5. 升級OR替代？IPS系統(tǒng)與IDS系統(tǒng)