论坛: 黑客进阶 标题: 入侵检测的分类 复制本贴地址    
作者: TomyChen [quest]    版主   登录
入侵检测系统的分类

    按检测所使用数据源的不同可以将IDS分为基于主机的IDS和基于网络的IDS。

    基于主机的IDS使用各种审计日志信息(如主机日志、路由器日志、防火墙日志等)作为检测的数据源。通常,基于主机的IDS可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警,以采取措施。

    基于网络的入侵检测系统使用原始网络分组数据包作为数据源。基于网络的IDS通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。一旦检测到了攻击行为,IDS的响应模块就会对攻击采取相应的反应,如通知管理员、中断连接、终止用户等。 

地主 发表时间: 05/06 08:26

回复: chinared [chinared]   论坛用户   登录
人们普遍认为:只要设置防火墙守住网络的门户不让黑客进入就万事大吉了。的确,设置防火墙使保证网络门户的安全很重要,但它并非无坚不摧。防火墙无法防止来自网络内部的攻击,这几年的统计表明大约75%-80%的蓄意攻击由企业内部工作人员发起。因为他们知道企业的安全策略,近几年的统计表明大约75-80%的蓄意攻击行为由企业内部工作人员发起(即可以从 内部访问网络的人员)。因为他们知道企业的安全策略,企业拥有什么信息,这些信息放在哪里,如何应用这些信息等。其中离职的员工占此类人员的大部分。有多种方法可以检测到这种入侵行为,但是几乎所有这些方法都要使用日志文件或跟踪文件。非常不幸的是,这些文件记录的绝大多数数据是在系统正常运行时产生的。如果没有第三方工具把正常情形与异常情形时的记录内容区分开来,则入侵行为很难检测。表示有入侵行为发生的现象如: 
失败的登录:如果用户在登录过程中输入了错误的口令,就会引起登录失败。根据用户尝试登录的时间与次数,可以初步判定是常规失误还是蓄意入侵。
磁盘可用空间的增加或减少:系统管理员可以注意到平均磁盘利用率突然增加或减少,这表示侵者增加或删除了一些文件。
FTP 日志:如果FTP日志中发现了未知的IP地址,表示入侵者试图 进行连接。 
只要管理员经常登录到每台服务器上并阅读审计跟踪信息,绝大多数非法闯入能够被轻易察觉,没有被察觉的多半由于管理员没有相关的知识或充足的时间。许多公司甚至没有可以看懂获得的审计跟踪信息的专业人员。除非可以猜测入侵者的心理动机,否则多数情况下对入侵者的跟踪是无效的。 

管理员不可能把大量时间花在系统正常运行时生成的审计跟踪资料上,这往往会遗漏关键的提示信息。解决上述两个问题的方法是采用好的过滤器和警报系统。如能与专业团体保持合作,获得最新的入侵动向和防御方法更是上上之策。寻求专业团体的协助,时刻关注着最新的攻击技术并及时提供有效的防御办法。 

入侵侦测技术是防火墙技术合理而有效的补充,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。 

国外从八十年代初就开始了对入侵侦测的研究,如美国国家能源部的LLNL实验室和斯坦福的计算机科学实验室(SRI/CSL)。早期的入侵活动比较简单,通常依靠系统或协议中的明显漏洞来获得非法权限,入侵过程也比较单一,以手工操作为多。这类入侵行为很容易通过简单特征串搜索而捕获,因此这个时期的入侵侦测系统的结构也比较简单,通常可分为引擎部分和控制部分。引擎部分负责侦测信息包并发出警报,控制部分接收警报并产生安全报告,网络入侵特征存放于攻击特征数据库。

入侵侦测系统是一种主动的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵侦测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。

入侵侦测的第一步是信息收集,采集内容和对象为系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的不同网段和不同主机采集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。 

入侵检测利用的信息一般来自以下四个方面: 
1.系统和网络日志文件 
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 

2.目录和文件中的不期望的改变 
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。 

3.程序执行中的不期望行为 
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。

4. 物理形式的入侵信息 
这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。 
对上述四类采集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。 

模式匹配 
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。 

统计分析 
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。 

完整性分析 
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。

国内入侵检测系统的典型代表是中科网威信息技术有限公司的中科网威? “天眼” 网络入侵侦测系统,它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而最大程度地为企业网络提供安全。 


B1层 发表时间: 08/22 12:51

回复: chinared [chinared]   论坛用户   登录
人们普遍认为:只要设置防火墙守住网络的门户不让黑客进入就万事大吉了。的确,设置防火墙使保证网络门户的安全很重要,但它并非无坚不摧。防火墙无法防止来自网络内部的攻击,这几年的统计表明大约75%-80%的蓄意攻击由企业内部工作人员发起。因为他们知道企业的安全策略,近几年的统计表明大约75-80%的蓄意攻击行为由企业内部工作人员发起(即可以从 内部访问网络的人员)。因为他们知道企业的安全策略,企业拥有什么信息,这些信息放在哪里,如何应用这些信息等。其中离职的员工占此类人员的大部分。有多种方法可以检测到这种入侵行为,但是几乎所有这些方法都要使用日志文件或跟踪文件。非常不幸的是,这些文件记录的绝大多数数据是在系统正常运行时产生的。如果没有第三方工具把正常情形与异常情形时的记录内容区分开来,则入侵行为很难检测。表示有入侵行为发生的现象如: 
失败的登录:如果用户在登录过程中输入了错误的口令,就会引起登录失败。根据用户尝试登录的时间与次数,可以初步判定是常规失误还是蓄意入侵。
磁盘可用空间的增加或减少:系统管理员可以注意到平均磁盘利用率突然增加或减少,这表示侵者增加或删除了一些文件。
FTP 日志:如果FTP日志中发现了未知的IP地址,表示入侵者试图 进行连接。 
只要管理员经常登录到每台服务器上并阅读审计跟踪信息,绝大多数非法闯入能够被轻易察觉,没有被察觉的多半由于管理员没有相关的知识或充足的时间。许多公司甚至没有可以看懂获得的审计跟踪信息的专业人员。除非可以猜测入侵者的心理动机,否则多数情况下对入侵者的跟踪是无效的。 

管理员不可能把大量时间花在系统正常运行时生成的审计跟踪资料上,这往往会遗漏关键的提示信息。解决上述两个问题的方法是采用好的过滤器和警报系统。如能与专业团体保持合作,获得最新的入侵动向和防御方法更是上上之策。寻求专业团体的协助,时刻关注着最新的攻击技术并及时提供有效的防御办法。 

入侵侦测技术是防火墙技术合理而有效的补充,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。 

国外从八十年代初就开始了对入侵侦测的研究,如美国国家能源部的LLNL实验室和斯坦福的计算机科学实验室(SRI/CSL)。早期的入侵活动比较简单,通常依靠系统或协议中的明显漏洞来获得非法权限,入侵过程也比较单一,以手工操作为多。这类入侵行为很容易通过简单特征串搜索而捕获,因此这个时期的入侵侦测系统的结构也比较简单,通常可分为引擎部分和控制部分。引擎部分负责侦测信息包并发出警报,控制部分接收警报并产生安全报告,网络入侵特征存放于攻击特征数据库。

入侵侦测系统是一种主动的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵侦测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。

入侵侦测的第一步是信息收集,采集内容和对象为系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的不同网段和不同主机采集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。 

入侵检测利用的信息一般来自以下四个方面: 
1.系统和网络日志文件 
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 

2.目录和文件中的不期望的改变 
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。 

3.程序执行中的不期望行为 
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。

4. 物理形式的入侵信息 
这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上去的不安全(未授权)设备,然后利用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。 
对上述四类采集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。 

模式匹配 
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。 

统计分析 
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。 

完整性分析 
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。

国内入侵检测系统的典型代表是中科网威信息技术有限公司的中科网威? “天眼” 网络入侵侦测系统,它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为,在系统受到危害之前截取和响应安全漏洞和内部误用,从而最大程度地为企业网络提供安全。 


B2层 发表时间: 08/22 12:51

回复: TomyChen [quest]   版主   登录
耶~~我要的就是这种回应...go on

B3层 发表时间: 08/23 08:31

回复: asolos [asolos]   论坛用户   登录
经典

B4层 发表时间: 08/30 09:50

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号