入侵监测系统简明教程

IDS简介

　　IDS是Intrusion Detection System的缩写，即入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为。IDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测任何网络设备的通信信息，比如Hub、路由器。

　　当有某个事件和一个已知攻击的信号相匹配时，多数IDS都会告警。一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警，例如有人做了以前他没有做过的事情的时候，例如，一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能，但一个启发式的IDS应该在其推理判断方面具备更多的智能。

　　攻击(Attack)能够理解为试图渗透系统或绕过系统的安全策略，以获取信息、修改信息连同破坏目标网络或系统功能的行为。以下列出IDS能够检测出的最常见的Internet攻击类型：

　　●攻击类型1－DOS（Denial Of Service attack，拒绝服务攻击）：DOS攻击不是通过黑客手段破坏一个系统的安全，他只是使系统瘫痪，使系统拒绝向其用户提供服务。其种类包括缓冲区溢出、通过洪流（flooding）耗尽系统资源等等。

　　●攻击类型2－DDOS（Distributed Denial of Service，分布式拒绝服务攻击）：一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击，却无法发出足够的信息包来达到理想的结果，因此就产生了DDOS，即从多个分散的主机一个目标发动攻击，耗尽远程系统的资源，或使其连接失效。

　　●攻击类型3－Smurf：这是一种老式的攻击，但现在还时有发生，攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping操作，然后任何活动主机都会向该目标应答，从而中断网络连接。以下是10大smurf放大器的参考资料URL：http://www.powertech.no/smurf/。

　　●攻击类型4－Trojans（特洛伊木马）：Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马，木马中藏有希腊士兵，当木马运到城里，士兵就涌出木马向这个城市及其居民发起攻击。在电脑术语中，他原本是指那些以合法程式的形式出现，其实包藏了流氓软件的那些软件。这样，当用户运行合法程式时，在不知情的情况下，流氓软件就被安装了。但是由于多数以这种形式安装的恶意程式都是远程控制工具，Trojan这个术语很快就演变为专指这类工具，例如BackOrifice、SubSeven、NetBus等等。

　　除了对攻击发出警报，有些IDS还能自动抵御这些攻击。抵御方式有很多：首先，能够通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流；其次，通过在网络上发送reset包切断连接。但是这两种方式都有问题，攻击者能够反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了。发送reset包的方法需要有一个活动的网络接口，这样他将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或使用专门的发包程式，从而避开标准IP栈需求。

　　IDS分类

　　IDS有许多不同类型的，以下分别列出：

　　●IDS分类1－Application IDS（应用程式IDS）：应用程式IDS为一些特别的应用程式发现入侵信号，这些应用程式通常是指那些比较易受攻击的应用程式，如Web服务器、数据库等。有许多原本着眼于操作系统的基于主机的IDS，虽然在默认状态下并不针对应用程式，但也能够经过训练，应用于应用程式。例如，KSE（一个基于主机的IDS）能够告诉我们在事件日志中正在进行的一切，包括事件日志报告中有关应用程式的输出内容。应用程式IDS的一个例子是Entercept的Web Server Edition。

　　●IDS分类2－Consoles IDS（控制台IDS）：为了使IDS适用于协同环境，分布式IDS代理需要向中央控制台报告信息。现在的许多中央控制台还能够接收其他来源的数据，如其他产商的IDS、防火墙、路由器等。将这些信息综合在一起就能够呈现出一幅更完整的攻击图景。有些控制台还将他们自己的攻击特征添加到代理级别的控制台，并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。

●IDS分类3－File Integrity Checkers（文档完整性检查器）：当一个系统受到攻击者的威胁时，他经常会改变某些关键文档来提供持续的访问和预防检测。通过为关键文档附加信息摘要（加密的杂乱信号），就能够定时地检查文档，查看他们是否被改变，这样就在某种程度上提供了确保。一旦检测到了这样一个变化，完整性检查器就会发出一个警报。而且，当一个系统已受到攻击后，系统管理员也能够使用同样的方法来确定系统受到危害的程度。以前的文档检查器在事件发生好久之后才能将入侵检测出来，是“事后诸葛亮”，最近出现的许多产品能在文档被访问的同时就进行检查，能够看做是实时IDS产品了。该类产品有Tripwire和Intact。

　　●IDS分类4－Honeypots（蜜罐）：关于蜜罐，前面已介绍过。蜜罐的例子包括Mantrap和Sting。

　　●IDS分类5－Host-based IDS（基于主机的IDS）：这类IDS对多种来源的系统和事件日志进行监控，发现可疑活动。基于主机的IDS也叫做主机IDS，最适合于检测那些能够信赖的内部人员的误用连同已避开了传统的检测方法而渗透到网络中的活动。除了完成类似事件日志阅读器的功能，主机IDS还对“事件/日志/时间”进行签名分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的，系统的错误就能够很快地检测出来，技术人员和安全人士都很喜欢他。现在，基于主机的IDS就是指基于服务器/工作站主机的任何类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。

　　●IDS分类6－Hybrid IDS（混合IDS）：现代交换网络的结构给入侵检测操作带来了一些问题。首先，默认状态下的交换网络不允许网卡以混杂模式工作，这使传统网络IDS的安装很困难。其次，很高的网络速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS（混合IDS）正是解决这些问题的一个方案，他将IDS提升了一个层次，组合了网络节点IDS和Host IDS（主机IDS）。虽然这种解决方案覆盖面极大，但同时要考虑到由此引起的巨大数据量和费用。许多网络只为很关键的服务器保留混合IDS。有些产商把完成一种以上任务的IDS都叫做Hybrid IDS，实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!