一、什么是IDS?
IDS是英文“intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。入侵检测系统,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
专业上来讲,IDS(入侵检测系统)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性
二、为什么需要IDS?
打一个形象的比喻:假如防火墙是一幢大楼的防盗门和安全锁,那么IDS(入侵检测系统)就是这幢大楼里的监视系统。一旦有小偷通过爬窗进入大楼,或者内部人员有越界行为,实时监视系统就会发现情况并发出警告
实用检测
实时地监视,分析网络中所有的数据报文
发现并实时处理所捕获的数据报文
安全审计
对系统记录的网络事件进行统计分析
发现异常现象
得出系统的安全状态,找出所需证据
主动响应
主动切断连接或与防火墙联动,调用其他程序处理
三、IDS工作原理过程
1.第一步:信息收集
收集的内容包括系统、网络、数据及用户活动的状态和行为
入侵检测利用的信息一般来自以下四个方面:
a系统日志:黑客经常在系统日志中留下他们的踪迹,因此,充分利用系统日志是非常重要的
目录以及文件的异常改变:网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文 件和私有数据文件经常是黑客修改或破坏的目标
程序执行中的异常行为 网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程 序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一 到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控 制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望 的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行 分解,从而导致运行失败,或者是以非用户或非管理员意图的方式操作
物理形式的入侵信息 这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理 资源的未授权访问
2.第二步:数据分析
一般通过三种技术手段进行分析: 模式匹配, 统计分析和完整性分析。 其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据 库进行比较,从而发现违背安全策略的行为
统计分析 :统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建 一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败 次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比 较,任何观察值如果超过了正常值范围,就认为有入侵发生。其优点是可 检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应 用户正常行为的突然改变
完整性分析 完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和 目录的内容及属性,它在发现被修改成类似特洛伊木马的应用程序方面特 别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要 是有入侵行为导致了文件或其他对象的任何改变,它都能够发现。缺点是 一般以批处理方式实现,不用于实时响应
四、IDS的分类
根据模型和部署方式的不同,IDS(入侵检测系统)可分为基于主机的IDS、基于网络的IDS,以及由两者取长补短发展而来的新一代分布式IDS。
1、 基于主机的IDS
即在每个要保护的主机上运行一个代理程序,一般只能检测该主机上发生的入侵。它在重要的系统服务器、工作站或用户计算机上运行,监视操作系统或系统事件级别的可疑活动(如尝试登录失败等)。此类系统需要定义清楚哪些是不合法的活动,然后把这种安全策略转换成入侵检测规则。
2、基于网络的IDS
该类系统一般被动地在网络上监听整个网段上的信息流,通过捕获网络数据包,进行分析,能够检测该网络段上发生的网络入侵。
3、分布式IDS
一般由多个部件组成,分布在网络的各个部分,每个部件完成相应功能,分别进行数据采集、数据分析等。通过中心的控制部件,进行数据汇总、分析、产生入侵警报等。在这种“分布式IDS(入侵检测系统)”的结构下,不仅可以检测到针对单独主机的入侵,同时也可以检测到针对该网段上的主机的入侵。
防火墙与IDS(入侵检测系统)之间的区别在于,防火墙看起来可以防止外部威胁进入我们的内部网络,但它并不能监控网络内部所发生的攻击行为,所以很多厂商会在防火墙中整合IDS(入侵检测系统)和IPS(入侵防御系统),URL过滤、防病毒等然后就做UTM( 统一威胁管理)