隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高，曾經(jīng)作為最主要的安全防范手段的防火墻，已經(jīng)不能滿(mǎn)足人們對(duì)網(wǎng)絡(luò)安全的需求。作為對(duì)防火墻及其有益的補(bǔ)充，IDS(入侵檢測(cè)系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

IDS被認(rèn)為是防火墻之后的第二道安全閘門(mén)，它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)攻擊和入侵事件與日俱增，特別是近兩年，政府部門(mén)、軍事機(jī)構(gòu)、金融機(jī)構(gòu)、企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)頻遭黑客襲擊。攻擊者可以從容地對(duì)那些沒(méi)有安全保護(hù)的網(wǎng)絡(luò)進(jìn)行攻擊和入侵，如進(jìn)行拒絕服務(wù)攻擊、從事非授權(quán)的訪(fǎng)問(wèn)、肆意竊取和篡改重要的數(shù)據(jù)信息、安裝后門(mén)監(jiān)聽(tīng)程序以便隨時(shí)獲得內(nèi)部信息、傳播計(jì)算機(jī)病毒、摧毀主機(jī)等等。攻擊和入侵事件給這些機(jī)構(gòu)和企業(yè)帶來(lái)了巨大的經(jīng)濟(jì)損失和形象的損害，甚至直接威脅到國(guó)家的安全。

攻擊者為什么能夠?qū)W(wǎng)絡(luò)進(jìn)行攻擊和入侵呢?原因在于，我們的計(jì)算機(jī)網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點(diǎn)、漏洞以及不安全的配置，主要表現(xiàn)在操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、TCP/IP協(xié)議、應(yīng)用程序(如數(shù)據(jù)庫(kù)、瀏覽器等)、網(wǎng)絡(luò)設(shè)備等幾個(gè)方面。正是這些弱點(diǎn)、漏洞和不安全設(shè)置給攻擊者以可乘之機(jī)。另外，由于大部分網(wǎng)絡(luò)缺少預(yù)警防護(hù)機(jī)制，即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò)，侵入到關(guān)鍵的主機(jī)，并從事非法的操作，我們的網(wǎng)管人員也很難察覺(jué)到。這樣，攻擊者就有足夠的時(shí)間來(lái)做他們想做的任何事情。

那么，我們?nèi)绾畏乐购捅苊庠馐芄艉腿肭帜?首先要找出網(wǎng)絡(luò)中存在的安全弱點(diǎn)、漏洞和不安全的配置;然后采用相應(yīng)措施堵塞這些弱點(diǎn)、漏洞，對(duì)不安全的配置進(jìn)行修正，最大限度地避免遭受攻擊和入侵;同時(shí)，對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，一旦監(jiān)測(cè)到攻擊行為或違規(guī)操作，能夠及時(shí)做出反應(yīng)，包括記錄日志、報(bào)警甚至阻斷非法連接。

IDS的出現(xiàn)，解決了以上的問(wèn)題。設(shè)置硬件防火墻，可以提高網(wǎng)絡(luò)的通過(guò)能力并阻擋一般性的攻擊行為;而采用IDS入侵防護(hù)系統(tǒng)，則可以對(duì)越過(guò)防火墻的攻擊行為以及來(lái)自網(wǎng)絡(luò)內(nèi)部的違規(guī)操作進(jìn)行監(jiān)測(cè)和響應(yīng)。

在本質(zhì)上，入侵檢測(cè)系統(tǒng)是一個(gè)典型的“窺探設(shè)備”。它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽(tīng)端口)，無(wú)須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)地、無(wú)聲息地收集它所關(guān)心的報(bào)文即可。IDS處理過(guò)程分為數(shù)據(jù)采集階段、數(shù)據(jù)處理及過(guò)濾階段、入侵分析及檢測(cè)階段、報(bào)告以及響應(yīng)階段等四個(gè)階段。數(shù)據(jù)采集階段是數(shù)據(jù)審核階段。入侵檢測(cè)系統(tǒng)收集目標(biāo)系統(tǒng)中引擎提供的主機(jī)通訊數(shù)據(jù)包和系統(tǒng)使用等情況。數(shù)據(jù)處理及過(guò)濾階段是把采集到的數(shù)據(jù)轉(zhuǎn)換為可以識(shí)別是否發(fā)生入侵的階段。分析及檢測(cè)入侵階段通過(guò)分析上一階段提供的數(shù)據(jù)來(lái)判斷是否發(fā)生入侵。這一階段是整個(gè)入侵檢測(cè)系統(tǒng)的核心階段,根據(jù)系統(tǒng)是以檢測(cè)異常使用為目的還是以檢測(cè)利用系統(tǒng)的脆弱點(diǎn)或應(yīng)用程序的BUG來(lái)進(jìn)行入侵為目的，可以區(qū)分為異常行為和錯(cuò)誤使用檢測(cè)。報(bào)告及響應(yīng)階段針對(duì)上一個(gè)階段中進(jìn)行的判斷做出響應(yīng)。如果被判斷為發(fā)生入侵，系統(tǒng)將對(duì)其采取相應(yīng)的響應(yīng)措施，或者通知管理人員發(fā)生入侵，以便于采取措施。最近人們對(duì)入侵檢測(cè)以及響應(yīng)的要求日益增加，特別是對(duì)其跟蹤功能的要求越來(lái)越強(qiáng)烈。

目前，IDS分析及檢測(cè)入侵階段一般通過(guò)以下幾種技術(shù)手段進(jìn)行分析：特征庫(kù)匹配、基于統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

特征庫(kù)匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單(如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令)，也可以很復(fù)雜(如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化)。一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程(如執(zhí)行一條指令)或一個(gè)輸出(如獲得權(quán)限)來(lái)表示。

該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。

統(tǒng)計(jì)分析方法首先給信息對(duì)象(如用戶(hù)、連接、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性(如訪(fǎng)問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等)。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常偏差之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，統(tǒng)計(jì)分析可能標(biāo)識(shí)一個(gè)不正常行為，因?yàn)樗l(fā)現(xiàn)一個(gè)在晚八點(diǎn)至早六點(diǎn)不登錄的賬戶(hù)卻在凌晨?jī)牲c(diǎn)試圖登錄，或者針對(duì)某一特定站點(diǎn)的數(shù)據(jù)流量異常增大等。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶(hù)正常行為的突然改變。

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特絡(luò)伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱(chēng)為消息摘要函數(shù)(例如MD5)，能識(shí)別極其微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其他對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。

一、認(rèn)清需求

在許多時(shí)候，第一個(gè)障礙是說(shuō)服管理層這個(gè)投資是必要的，因?yàn)樗麄儾灰欢ㄓ蠭T背景。設(shè)備、招收員工和培訓(xùn)所造成的增加成本也應(yīng)該討論。關(guān)鍵是要論證需要保護(hù)的并不是服務(wù)器、工作站、文件服務(wù)器或其它網(wǎng)絡(luò)設(shè)備，而是這些設(shè)備上的公司數(shù)據(jù)。對(duì)以下問(wèn)題認(rèn)真考慮能夠有助于說(shuō)明增強(qiáng)網(wǎng)絡(luò)安全的重要性：

1、公司數(shù)據(jù)的安全有多重要?

如果有一天早晨你發(fā)現(xiàn)所有的數(shù)據(jù)庫(kù)都成了空白的或被修改了，那該怎么辦?如果研究了一年的新產(chǎn)品落到競(jìng)爭(zhēng)者的手中該怎么辦?

2、潛在的損失是什么?

丟失數(shù)據(jù)可能會(huì)造成因恢復(fù)或重建數(shù)據(jù)而帶來(lái)的額外成本，還會(huì)造成公司內(nèi)部失去信任，長(zhǎng)遠(yuǎn)來(lái)說(shuō)這可能代價(jià)更高。

客戶(hù)愿意相信他們的個(gè)人信息是安全的，而商業(yè)伙伴希望共享的公司秘密也是如此。

3、未來(lái)被攻擊的潛在可能性有多少?

公司以前成為過(guò)攻擊目標(biāo)嗎?相似的公司是否受到過(guò)攻擊?公司是否涉及敏感或有爭(zhēng)議的領(lǐng)域?與政府機(jī)構(gòu)之間的關(guān)系是否會(huì)增加受到攻擊的可能性?

二、全面了解入侵檢測(cè)系統(tǒng)

要保證真正地理解IDS的意圖。網(wǎng)絡(luò)安全并不是一個(gè)單個(gè)系統(tǒng)所能完成的工作，需要配合口令系統(tǒng)的使用和管理、反病毒程序的安裝、文件系統(tǒng)的許可和審核以及全面優(yōu)良的的網(wǎng)絡(luò)實(shí)踐及策略。IDS不會(huì)“包治百病”，它所能做的是對(duì)那些可能危害網(wǎng)絡(luò)結(jié)構(gòu)以及存儲(chǔ)數(shù)據(jù)完整性的行為進(jìn)行檢測(cè)、報(bào)告和有限的響應(yīng)。

1、IDS系統(tǒng)的檢測(cè)方式

IDS通常使用異常檢測(cè)和特征檢測(cè)兩種方式判斷行為是否有害：

(1)異常檢測(cè)方式

這種方式下，IDS首先要學(xué)習(xí)并了解一個(gè)系統(tǒng)的基本情況，包括CPU、文件使用、用戶(hù)登錄及其它行為，然后根據(jù)是否發(fā)生了異常舉動(dòng)進(jìn)而采取對(duì)策。例如，如果一個(gè)用戶(hù)通常是在星期一至星期五的上午8點(diǎn)到下午5點(diǎn)之間登錄進(jìn)來(lái)的，而突然試圖在星期六的凌晨2點(diǎn)登錄，這就會(huì)警告管理員這個(gè)行為對(duì)于這個(gè)用戶(hù)來(lái)說(shuō)是不正常的。

(2)特征檢測(cè)方式

這種方式下，IDS會(huì)對(duì)每個(gè)信息包進(jìn)行特征內(nèi)容核查，看是否與那些已知的攻擊模式相匹配。例如，字符串"/cgi-bin/phf?"就可觸發(fā)一個(gè)報(bào)警，表明可能有人在web 服務(wù)器上尋找一個(gè)CGI腳本漏洞。許多商業(yè) IDS系統(tǒng)都是基于特征的，它們的數(shù)據(jù)庫(kù)一般都有幾百個(gè)特征。

遺憾的是，不論基于異常行為還是特征內(nèi)容的檢測(cè)都不完美，兩種產(chǎn)品都有誤報(bào)，會(huì)出現(xiàn)對(duì)用戶(hù)、資源和目的系統(tǒng)本來(lái)合法的行為作為事件來(lái)報(bào)告。誤報(bào)的概率永遠(yuǎn)無(wú)法完全消除，但是系統(tǒng)管理員通過(guò)仔細(xì)研究報(bào)警信息及其原因，對(duì)檢測(cè)系統(tǒng)進(jìn)行微調(diào)就可以降低誤報(bào)的發(fā)生幾率。另外，一個(gè)IDS產(chǎn)品有一定數(shù)量的誤報(bào)總比無(wú)視可能的入侵要好。

2、IDS系統(tǒng)的種類(lèi)

除了檢測(cè)方法上的不同方式外，還有許多不同類(lèi)型的入侵檢測(cè)系統(tǒng)，基于網(wǎng)絡(luò)的、基于主機(jī)的，其功能各有千秋：

1)基于網(wǎng)絡(luò)的IDS系統(tǒng)

這種IDS系統(tǒng)用于檢測(cè)網(wǎng)絡(luò)上所有的信息包。根據(jù)多種因素，要想全面覆蓋網(wǎng)絡(luò)，可能需要一個(gè)以上的網(wǎng)絡(luò)IDS。基于網(wǎng)絡(luò)的IDS的優(yōu)勢(shì)是：

● 基于網(wǎng)絡(luò)的IDS購(gòu)買(mǎi)成本低，放置在一個(gè)重要網(wǎng)絡(luò)入口處的IDS可為多個(gè)系統(tǒng)提供安全。

● 基于網(wǎng)絡(luò)的IDS能夠檢測(cè)數(shù)據(jù)包報(bào)頭和有效負(fù)載，不會(huì)漏掉基于主機(jī)的IDS系統(tǒng)可能會(huì)錯(cuò)過(guò)的攻擊。

● 對(duì)識(shí)別出來(lái)的攻擊進(jìn)行實(shí)時(shí)檢測(cè)和各種響應(yīng)，包括通知、中止會(huì)話(huà)、記錄會(huì)話(huà)日志用于分析和證據(jù)。

● 檢測(cè)和記錄不成功的攻擊，用于評(píng)估安全狀態(tài)和策略。

● 基于網(wǎng)絡(luò)的IDS在檢測(cè)攻擊時(shí)并不依賴(lài)于操作系統(tǒng)，而基于主機(jī)的IDS要依賴(lài)操作系統(tǒng)、應(yīng)用程序或其它系統(tǒng)的日志來(lái)識(shí)別攻擊。

2)基于主機(jī)的IDS系統(tǒng)

這種IDS系統(tǒng)用于檢測(cè)發(fā)往一個(gè)計(jì)算機(jī)的信息包，通常在高度敏感的系統(tǒng)上使用。基于主機(jī)的IDS的優(yōu)勢(shì)是：

● 能夠校驗(yàn)出攻擊是成功還是失敗，因?yàn)樘幚斫Y(jié)果是在對(duì)系統(tǒng)日志中所記錄下來(lái)事件的分析基礎(chǔ)上做出的。

● 可使特定的系統(tǒng)行為受到嚴(yán)密監(jiān)控，例如文件訪(fǎng)問(wèn)、對(duì)文件許可的變更、用戶(hù)上網(wǎng)和下網(wǎng)的情況，其監(jiān)控程度比基于網(wǎng)絡(luò)的IDS要詳細(xì)得多。

● 基于網(wǎng)絡(luò)的IDS可以檢測(cè)出沒(méi)有通過(guò)受保護(hù)網(wǎng)絡(luò)入口的攻擊，基于主機(jī)的IDS能夠檢測(cè)和報(bào)告監(jiān)控服務(wù)器上的鍵盤(pán)動(dòng)作。

● 基于網(wǎng)絡(luò)的IDS對(duì)經(jīng)過(guò)加密的攻擊往往“有眼無(wú)珠”，而基于主機(jī)的IDS會(huì)在主機(jī)操作系統(tǒng)對(duì)信息包解密之后再進(jìn)行檢驗(yàn)。

● 基于主機(jī)的IDS安裝在現(xiàn)有服務(wù)器上，不需要額外的系統(tǒng)支持，降低了初始配置成本。

基于網(wǎng)絡(luò)和基于主機(jī)的IDS都各有優(yōu)勢(shì)和用途，前者“主外”，為整個(gè)網(wǎng)絡(luò)提供全面保護(hù)，后者“主內(nèi)”，為選中的系統(tǒng)提供特殊保護(hù)，二者聯(lián)合起來(lái)就能夠提供全面的保護(hù)。

三、詳細(xì)了解網(wǎng)絡(luò)現(xiàn)狀

詳細(xì)理解現(xiàn)有網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、各種系統(tǒng)的用途和功能是很必要的。一般情況下，需要對(duì)網(wǎng)絡(luò)進(jìn)行以下檢查：

1、存在網(wǎng)絡(luò)管理部門(mén)嗎?

有沒(méi)有一個(gè)單獨(dú)的網(wǎng)絡(luò)管理部門(mén)，或者網(wǎng)絡(luò)管理功能是否被分給了多個(gè)功能不同的部門(mén)?識(shí)別域控制器和郵件服務(wù)器很重要，但只是個(gè)開(kāi)始，還需要知道其他部門(mén)比如人力資源部有沒(méi)有一個(gè)數(shù)據(jù)庫(kù)服務(wù)器?其中是否包含了敏感的員工保險(xiǎn)記錄?

2、網(wǎng)絡(luò)有多少個(gè)入口?

如果一次成功的入侵沒(méi)有被基于網(wǎng)絡(luò)的IDS檢測(cè)到，其原因是“入侵者從另一個(gè)未知的、未受保護(hù)的門(mén)進(jìn)入”，那么就需要徹底打掃一下“衛(wèi)生”了，看看哪個(gè)地方還有“黑洞”?

3、網(wǎng)絡(luò)中安裝了防火墻嗎?

如果安裝，那么需要進(jìn)一步確定基于網(wǎng)絡(luò)的IDS是安裝于防火墻前還是后。IDS位于防火墻前面，就能記錄下可能會(huì)被防火墻阻擋在外的攻擊，從而利用這些數(shù)據(jù)調(diào)整IDS的配置。IDS位于防火墻后面，就只能報(bào)告穿越防火墻的攻擊。

4、網(wǎng)絡(luò)上有沒(méi)有交換機(jī)?

這個(gè)信息用于決定IDS系統(tǒng)的放置場(chǎng)所及其部署類(lèi)型。

5、可用資金有多少?

錢(qián)的數(shù)量會(huì)對(duì)選擇造成直接的影響。為了保護(hù)特殊系統(tǒng)，即使買(mǎi)不起基于網(wǎng)絡(luò)的IDS系統(tǒng)，也要“省吃?xún)€用”購(gòu)置一套基于主機(jī)的IDS系統(tǒng)以保護(hù)重點(diǎn)對(duì)象。

四、評(píng)估IDS系統(tǒng)

評(píng)估IDS系統(tǒng)是很費(fèi)時(shí)間的，但是絕對(duì)重要和必要，值得“千呼萬(wàn)喚始出來(lái)”。除了基于網(wǎng)絡(luò)和主機(jī)的系統(tǒng)外，還需考慮以下因素：

● 基于網(wǎng)絡(luò)和主機(jī)的系統(tǒng)能組合到一個(gè)管理系統(tǒng)中，從而允許在同一個(gè)控制臺(tái)上發(fā)出報(bào)警嗎?

● 有沒(méi)有事件相關(guān)功能，從而減少觸發(fā)和響應(yīng)時(shí)間?

● 支持何種操作系統(tǒng)?

● 特征數(shù)據(jù)庫(kù)多久升級(jí)一次?

● 哪種IDS能夠顯示網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?

● 哪種系統(tǒng)與現(xiàn)有操作系統(tǒng)最適應(yīng)?

【編輯推薦】

1. 撥開(kāi)迷霧，詳解入侵檢測(cè)、入侵防御和UTM
2. 無(wú)線(xiàn)局域網(wǎng)中的入侵檢測(cè)系統(tǒng)介紹
3. 分析入侵檢測(cè)系統(tǒng)漏洞 認(rèn)識(shí)黑客入侵手