搜搜吧

搜搜吧 门户 教程 服务器 查看内容

入侵检测系统IDS,什么事IDS攻击?

2018-1-15 23:37| 发布者: 优化大师| 查看: 505| 评论: 0

摘要:   入侵检测系统IDS,什么事IDS攻击?  入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。 ...

  入侵检测系统IDS,什么事IDS攻击?


  入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。例如,你的IDS可以重新配置来禁止从防火墙外部进入的恶意流量。你应当理解入侵监测系统是独立于防火墙工作的。


  入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的,它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上,即使正在运行着扫描程序,也无法识别这种攻击。


  IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。


  入侵监测的功能


  大多数的IDS程序可以提供关于网络流量非常详尽的分析。它们可以监视任何定义好的流量。大多数的程序对FTP,HTTP和Telnet流量都有缺省的设置,还有其它的流量像NetBus,本地和远程登录失败等等。你也可以自己定制策略。下面讨论一些更常见的检测技巧。


  入侵监测系统的必要性


  防火墙看起来好像可以满足系统管理员的一切需求。然而,随着基于雇员的攻击行为和产品自身问题的增多,IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁。


  例如,VPN可穿透防火墙,所以需要IDS在防火墙后提供安全保障。虽然VPN本身很安全,但有可能通过VPN进行通信的其中一方被root kit或NetBus所控制,而这种破坏行为是防火墙无法抵御的。基于以上两点原因,IDS已经成为安全策略的重要组成部分。


  我们还需要注意的是,攻击者可以实施攻击使IDS过载,其结果可能是IDS系统成为拒绝服务攻击的参与者。而且,攻击者会尽量调整攻击手法,从而使IDS无法追踪网络上的活动。


  入侵监测系统的构架


  有两种构架的IDS可供选择,每种都有它的适用环境。虽然主机级的IDS具有更强的功能而且可以提供更详尽的信息,但它并不总是最佳选择。


  优点和缺点


  这种入侵监测系统很容易安装和实施;通常只需要将程序在主机上安装一次。网络级的IDS尤其适合阻止扫描和拒绝服务攻击。但是,这种IDS构架在交换和ATM环境下工作得不好。而且,它对处理升级非法账号,破坏策略和篡改日志也并不特别有效。在扫描大型网络时会使主机的性能急剧下降。所以,对于大型、复杂的网络,你需要主机级的IDS。


  特殊的考虑


  每种IDS厂商对他们的产品都有特殊的考虑。通常这些考虑是针对操作系统的特殊设置的。例如,许多厂商要求你将代理安装在使用静态IP地址的主机上。因此,你也许需要配置DHCP和WINS服务器来配合管理者。这种特殊的考虑在一定程度上解释了为什么大多数IDS程序用一个管理者来管理数台主机。另外,安装管理者会降低系统的性能。而且,在同一网段中安装过多的管理者会占用过多的带宽。


  另外,许多IDS产品在快于10MB的网络中工作起来会有问题。通常IDS的厂商要求你不要将管理者安装在使用NFS或NFS+的UNIX操作系统上,因为这种文件系统允许远程访问,管理者会使它们缺乏稳定和不安全。


  除非特殊情况,你不应将IDS的管理者安装在装了双网卡或多网卡的用做路由器的主机上,或者安装在防火墙上。例如,Windows NT PDC或BDC也不是安装大多数IDS管理者的理想系统,不仅因为管理者会影响登录,而且PDC或BDC所必须的服务会产生trap door和系统错误。常用检测方法


  入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。


  特征检测


  特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。


  统计检测


  统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:


  1、操作模型,该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击;


  2、方差,计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;


  3、多元模型,操作模型的扩展,通过同时分析多个参数实现检测;


  4、马尔柯夫过程模型,将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件;


  5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。


  统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。入侵检测产品选择要点


  当您选择入侵检测系统时,要考虑的要点有:


  1.系统的价格


  当然,价格是必需考虑的要点,不过,性能价格比、以及要保护系统的价值可是更重要的因素。


  2.特征库升级与维护的费用


  象反病毒软件一样,入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。


  3.对于网络入侵检测系统,最大可处理流量(包/秒PPS)是多少


  首先,要分析网络入侵检测系统所布署的网络环境,如果在512K或2M专线上布署网络入侵检测系统,则不需要高速的入侵检测引擎,而在负荷较高的环境中,性能是一个非常重要的指标。


  4.该产品容易被躲避吗


  有些常用的躲开入侵检测的方法,如:分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。


  5.产品的可伸缩性


  系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。


  6.运行与维护系统的开销


  产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。


  7.产品支持的入侵特征数


  不同厂商对检测特征库大小的计算方法都不一样,所以不能偏听一面之辞。


  8.产品有哪些响应方法


  要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能,但是,自动配置防火墙可是一个极为危险的举动。


  9.是否通过了国家权威机构的评测


  主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。


  入侵检测技术发展方向


  无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面:


  入侵或攻击的综合化与复杂化。入侵的手段有多种,入侵者往往采取一种攻击手段。由于网络防范技术的多重化,攻击的难度增加,使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。


  入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。通过一定的技术,可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后,对于被攻击对象攻击的主体是无法直接确定的。


  入侵或攻击的规模扩大。对于网络的入侵与攻击,在其初期往往是针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息战。对于信息战,无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。


  入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。


  攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加以攻击。


  今后的入侵检测技术大致可朝下述三个方向发展。


  原文来源:EEPW电子产品世界

搜搜吧社区温馨提示:
1、在门户或论坛里发表的文章仅代表作者本人的观点,版权都归原作者版权所有与本网站搜搜吧立场无关。
2、门户或论坛的所有内容都不保证准确性,有效性,真实性,时间性。阅读本站内容请自行核对发布者的真实性,本站不承担连带责任。
3、注册会员通过任何手段和方法针对本站门户或论坛进行破坏,我们有权对其行为作出处理,并保留进一步追究其责任的权利。
4、注册会员以及游客请遵守地方法律,请您在发表言论时注意您的言行举止,请勿发表低俗以及违反国家地方法律的文章,违者必将追究法律责任!
5、请勿发表侮辱或者诽谤他人,侵害他人合法权益的、含有军事、色情、药品、赌博、走私、法律、行政法规禁止的其他内容的、违者直接上报公安!
6、本站搜搜吧与全国各地公安机关网监部门以及工商管理部门共同监管,严厉打击禁止从事违法犯罪,损害国家利益的一切非法活动,全网站24小时监控!
7、本站所有帖内以及门户发布的图片均来自互联网,图片设计版权都归原作者版权所有,图片都由发布者自行发布,本站不承担任何盗版的连带责任。
8、本站所有的内容均来自互联网以及第三方作者自由发布、本站不承担任何的法律责任、若有侵权请来信告知,我们在收到举报后的一个工作日内立即删除、
9、搜搜吧删帖,投诉,举报,侵权,账号解封唯一指定快速受理频道,请直接发送邮件到 kefu-soso021@qq.com 一个工作日内核实并邮件通知立即删除
版权政策说明:
搜搜吧(www.soso021.com)十分重视网络版权及其他知识产权的保护,针对网络侵权采取如下版权政策:
1、本站有理由相信网友侵犯任何人的版权或作品,(图文,文字,下载,视频,非法传播),本站有权不事先通知即删除涉嫌侵权的作品和内容!
2、本站将采取必要的网络技术手段,确认为侵权作品或内容的用户有权进行警告、屏蔽、删除的行为,尽可能的防止侵权行为的发生!
3、如若您的作品或内容在搜搜吧被侵权,请及时联系我们并提供能证明版权所有的物品,我们将及时进行处理,给您造成不便,敬请谅解!

鲜花

握手

雷人

路过

鸡蛋

资讯分类

推荐图文

文章排行

Powered by soso021 X3.2© 2013-2018 搜搜吧社区 手机版|小黑屋|地图|关于我们|soso吧社区官网
本站所有的内容均来自互联网以及第三方作者自由发布、本站不承担任何的法律责任、若有侵权请来信告知,我们在收到举报后的一个工作日内立即删除

GMT+8, 2018-5-21 21:04 , Processed in 1.140625 second(s), 20 queries , Gzip On.

返回顶部