fbpx
维基百科

入侵检测系统

二月 01, 2023

入侵检测系统(英語:Intrusion-detection system,縮寫為 IDS)是一种網路安全設備或應用軟體,可以監控网络传输或者系統,檢查是否有可疑活動或者違反企業的政策。偵測到时发出警报或者采取主动反应措施。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。IDS最早出现在1980年4月。该年,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告,在其中他提出了IDS的概念[1]。1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。1990年,IDS分化为基于网络的N-IDS和基于主机的H-IDS。后又出现分布式D-IDS[2]

和防火墙相比

尽管两者都与网络安全相关,IDS不同于使用一系列静态规则来放行网络连接的传统防火墙(区别于下一代防火墙)。本质上,为避免网络上的入侵,防火墙会限制网络间的访问,不关注网络内部的攻击。IDS也能监控来自系统之内的攻击。传统上,这是通过对网络通信进行检验,而实现对常见攻击模式的鉴定并发出警告。

构造

網際網路工程工作小组将IDS分为四部分:[來源請求]

  • 事件产生器,从计算环境中获得事件,并向系统的其他部分提供此事件;
  • 事件分析器,分析数据;
  • 响应单元,发出警报或采取主动反应措施;
  • 事件数据库,存放各种数据。

也有一种常见的分类,即:

  • 驱动引擎,捕获和分析网络传输;
  • 控制台,管理引擎和发出报告或采取主动反应措施;

两种分类都是合理的。

一个IDS由于其工作特性,需要有一个安全的内网环境以避免拒绝服务攻击和黑客侵扰,而且进行网络传输检测也不需要合法的IP地址。因此一个典型的IDS应处在一个有DNS服务器、防火墙或路由器的内网之中,从而完全与互联网分开,阻止任何网络主机对IDS的直接访问。

基于网络的IDS的数据源是网络上的数据包。它往往将一台主机的网卡设置为混杂模式,对所有本网段内的网络传输进行检测。一般基于网络的IDS负责着保护整个网段。而基于主机的IDS功能与病毒防火墙类似,在须保护的系统后台运行,对主机活动进行检测。

工作

除了简单的记录和发出警报之外,IDS还可以进行主动反应:打断会话,和实现过滤管理规则。

入侵检测

发现违反安全策略的网络传输是IDS的核心功能。根据思科公司对入侵检测技术的研究[3],可以将入侵检测分为几类:简单模式匹配、状态模式匹配、基于协议解码的签名、启发式签名和异常检测(“签名”指一组条件,如果满足这组条件的话,就表明是某种类型的入侵活动)。很多研究将异常检测的方法与机器学习等知识相结合衍生出了新一代的自动入侵检测系统。他们各有优缺点,须根据实际情况使用。

攻击响应

打断会话

主条目:TCP重置攻击

如果使用此措施,IDS引擎会先识别并记录潜在的攻击,然后假扮会话连接的另一端,伪造一份报文给会话的两端,造成会话连接中断。这样可以有效的关闭通信会话,阻止攻击。不同的IDS有可能在随后的一段预定或随机的时间内试图阻止从攻击者主机发出的所有通信。

这种措施虽然强大,但是也有缺点。这种措施能够阻止的是较长时间的攻击,而像早期的“泪滴攻击”使系统接收到一个特制分组报头时就会崩溃的情况,这种方法无能为力。

过滤管理规则

一些IDS能够修改远程路由器或防火墙的过滤规则,以阻止持续的攻击。根据安全策略的不同,这种措施可能包括阻止攻击主机与目标主机的其他传输、阻止攻击主机的所有传输;在某些特殊的情况下,也可以阻止目标主机的与特定网域内主机的通信。

这种措施的优点是同样阻止攻击,它比打断会话节省许多网络传输。不过此种措施无法对抗来自内网的攻击,以及有可能造成拒绝服务。

缺点

  • 1998年2月,Secure Networks Inc.指出IDS有许多弱点,主要为:IDS对数据的检测;对IDS自身攻击的防护。由于当代网络发展迅速,网络传输速率大大加快,这造成了IDS工作的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。[4]
  • 由于IDS和通信两端及中间盒的TCP实现差异,其检测手段可被客户端注入的特制封包绕过,如防火长城[5]

参考资料

  1. ^ Anderson, James P. Computer Security Threat Monitoring and Surveillance (PDF). csrc.nist.gov (Washington, PA, James P. Anderson Co.). 1980-04-15 [2021-10-12]. (原始内容 (PDF)于2019-05-14). 
  2. ^ . hc360.com. [2021-10-12]. (原始内容存档于2014-11-15). 
  3. ^ . cisco.com. 2002 [2021-10-12]. (原始内容存档于2002-12-22). 
  4. ^ Thomas H. Ptacek, Tomothy N. Newsham. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection (PDF). 1998 [2021-04-14]. (原始内容 (PDF)于2018-01-07) (美国英语). 
  5. ^ Wang, Zhongjie. Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship (PDF). 2017 [2021-04-14]. doi:10.1145/3131365.3131374. (原始内容 (PDF)于2018-06-20) (美国英语). 

参见

二月 01, 2023
入侵检测系统, 此條目可参照英語維基百科相應條目来扩充, 2021年10月12日, 若您熟悉来源语言和主题, 请协助参考外语维基百科扩充条目, 请勿直接提交机械翻译, 也不要翻译不可靠, 低品质内容, 依版权协议, 译文需在编辑摘要注明来源, 或于讨论页顶部标记, href, template, translated, page, html, title, template, translated, page, translated, page, 标签, 此條目需要更新, 2021年10月12日, 請更新本文以反映. 此條目可参照英語維基百科相應條目来扩充 2021年10月12日 若您熟悉来源语言和主题 请协助参考外语维基百科扩充条目 请勿直接提交机械翻译 也不要翻译不可靠 低品质内容 依版权协议 译文需在编辑摘要注明来源 或于讨论页顶部标记 a href Template Translated page html title Template Translated page Translated page a 标签 此條目需要更新 2021年10月12日 請更新本文以反映近況和新增内容 完成修改時 請移除本模板 入侵检测系统 英語 Intrusion detection system 縮寫為 IDS 是一种網路安全設備或應用軟體 可以監控网络传输或者系統 檢查是否有可疑活動或者違反企業的政策 偵測到时发出警报或者采取主动反应措施 它与其他网络安全设备的不同之处便在于 IDS是一种积极主动的安全防护技术 IDS最早出现在1980年4月 该年 James P Anderson为美国空军做了一份题为 Computer Security Threat Monitoring and Surveillance 的技术报告 在其中他提出了IDS的概念 1 1980年代中期 IDS逐渐发展成为入侵检测专家系统 IDES 1990年 IDS分化为基于网络的N IDS和基于主机的H IDS 后又出现分布式D IDS 2 目录 1 和防火墙相比 2 构造 3 工作 3 1 入侵检测 3 2 攻击响应 3 2 1 打断会话 3 2 2 过滤管理规则 4 缺点 5 参考资料 6 参见和防火墙相比 编辑尽管两者都与网络安全相关 IDS不同于使用一系列静态规则来放行网络连接的传统防火墙 区别于下一代防火墙 本质上 为避免网络上的入侵 防火墙会限制网络间的访问 不关注网络内部的攻击 IDS也能监控来自系统之内的攻击 传统上 这是通过对网络通信进行检验 而实现对常见攻击模式的鉴定并发出警告 构造 编辑網際網路工程工作小组将IDS分为四部分 來源請求 事件产生器 从计算环境中获得事件 并向系统的其他部分提供此事件 事件分析器 分析数据 响应单元 发出警报或采取主动反应措施 事件数据库 存放各种数据 也有一种常见的分类 即 驱动引擎 捕获和分析网络传输 控制台 管理引擎和发出报告或采取主动反应措施 两种分类都是合理的 一个IDS由于其工作特性 需要有一个安全的内网环境以避免拒绝服务攻击和黑客侵扰 而且进行网络传输检测也不需要合法的IP地址 因此一个典型的IDS应处在一个有DNS服务器 防火墙或路由器的内网之中 从而完全与互联网分开 阻止任何网络主机对IDS的直接访问 基于网络的IDS的数据源是网络上的数据包 它往往将一台主机的网卡设置为混杂模式 对所有本网段内的网络传输进行检测 一般基于网络的IDS负责着保护整个网段 而基于主机的IDS功能与病毒防火墙类似 在须保护的系统后台运行 对主机活动进行检测 工作 编辑除了简单的记录和发出警报之外 IDS还可以进行主动反应 打断会话 和实现过滤管理规则 入侵检测 编辑 发现违反安全策略的网络传输是IDS的核心功能 根据思科公司对入侵检测技术的研究 3 可以将入侵检测分为几类 简单模式匹配 状态模式匹配 基于协议解码的签名 启发式签名和异常检测 签名 指一组条件 如果满足这组条件的话 就表明是某种类型的入侵活动 很多研究将异常检测的方法与机器学习等知识相结合衍生出了新一代的自动入侵检测系统 他们各有优缺点 须根据实际情况使用 攻击响应 编辑 打断会话 编辑 主条目 TCP重置攻击 如果使用此措施 IDS引擎会先识别并记录潜在的攻击 然后假扮会话连接的另一端 伪造一份报文给会话的两端 造成会话连接中断 这样可以有效的关闭通信会话 阻止攻击 不同的IDS有可能在随后的一段预定或随机的时间内试图阻止从攻击者主机发出的所有通信 这种措施虽然强大 但是也有缺点 这种措施能够阻止的是较长时间的攻击 而像早期的 泪滴攻击 使系统接收到一个特制分组报头时就会崩溃的情况 这种方法无能为力 过滤管理规则 编辑 一些IDS能够修改远程路由器或防火墙的过滤规则 以阻止持续的攻击 根据安全策略的不同 这种措施可能包括阻止攻击主机与目标主机的其他传输 阻止攻击主机的所有传输 在某些特殊的情况下 也可以阻止目标主机的与特定网域内主机的通信 这种措施的优点是同样阻止攻击 它比打断会话节省许多网络传输 不过此种措施无法对抗来自内网的攻击 以及有可能造成拒绝服务 缺点 编辑1998年2月 Secure Networks Inc 指出IDS有许多弱点 主要为 IDS对数据的检测 对IDS自身攻击的防护 由于当代网络发展迅速 网络传输速率大大加快 这造成了IDS工作的很大负担 也意味着IDS对攻击活动检测的可靠性不高 而IDS在应对对自身的攻击时 对其他传输的检测也会被抑制 同时由于模式识别技术的不完善 IDS的高虚警率也是它的一大问题 4 由于IDS和通信两端及中间盒的TCP实现差异 其检测手段可被客户端注入的特制封包绕过 如防火长城 5 参考资料 编辑 Anderson James P Computer Security Threat Monitoring and Surveillance PDF csrc nist gov Washington PA James P Anderson Co 1980 04 15 2021 10 12 原始内容存档 PDF 于2019 05 14 IDS 二十年风雨历程 hc360 com 2021 10 12 原始内容存档于2014 11 15 入侵检测系统袭击识别研究 cisco com 2002 2021 10 12 原始内容存档于2002 12 22 Thomas H Ptacek Tomothy N Newsham Insertion Evasion and Denial of Service Eluding Network Intrusion Detection PDF 1998 2021 04 14 原始内容存档 PDF 于2018 01 07 美国英语 Wang Zhongjie Your State is Not Mine A Closer Look at Evading Stateful Internet Censorship PDF 2017 2021 04 14 doi 10 1145 3131365 3131374 原始内容存档 PDF 于2018 06 20 美国英语 参见 编辑状态防火墙 取自 https zh wikipedia org w index php title 入侵检测系统 amp oldid 68588605, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。