IDS与IPS

一、入侵检测系统IDS

　　入侵检测系统IDS（Intrusion Detection Systems），依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。如：假如防火墙是一幢大楼的门锁，那么IDS就是大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

　　

　　原理

　　入侵检测可分为实时入侵检测和事后入侵检测两种。

　　实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

　　CIDF模型阐述了一个入侵检测系统IDS的通用模型。它将一个入侵检测系统分为以下组件：

　　事件产生器（Event generators）

　　事件分析器（Event analyzers）

　　响应单元（Response units）

　　事件数据库（Event databases）

　　CIDF将IDS需要分析的数据统称为事件（event），它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。

　　

　　IDS分类

　　按入侵检测的手段、IDS的入侵检测模型可分为基于网络和基于主机两种。

　　1、基于主机模型 也称为基于系统的模型，它是通过分析系统的审计数据来发现可疑的活动，如内存和文件的变化等。其输入数据主要来源于系统的审计日志，一般只能检测该主机上发生的入侵。

　　基于主机模型的优点：

　　（1）性能价格比高：在主机数据较少的情况下，这种方法的性能价格比可能更高。

　　（2）更加细致：这种方法可以很容易地监测一些活动，如对敏感文件、目录、程序或端口的存取，而这些活动很难在基于协议的线索中发现。

　　（3）视野集中：一旦入侵者得到了一个主机用户名和口令，基于主机的代理是最有可能区分正常的活动和非法的活动的。

　　（4）易于用户剪裁：每一个主机有其自己的代理，当然用户剪裁更方便了。

　　（5）较少的主机：基于主机的方法有时不需要增加专门的硬件平台。

　　（6）对网络流量不敏感：用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。

　　

　　基于网络的检测模型的优点：

　　（1）侦测速度快：基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。

　　（2）隐蔽性好：一个网络上的监测器不像主机那样显眼和易被存取，因而也不那么容易遭受攻击。

　　（3）视野更宽：基于网络的方法甚至可以作用在网络的边缘上，即攻击者还没能接入网络时就被制止。

　　（4）较少的监测器：由于使用一个监测器就可以保护一个网段，所以你不需要很多的监测器。相反地，如果基于主机，则在每个主机上都需要一个代理，这样的话，花费昂贵，而且难于管理。但是，如果在一个交换环境下，每个主机就得配一个监测器，因为每个主机都在自己的网段上。

　　（5）占资源少：在被保护的设备上不用占用任何资源。

　　这两种模型具有互补性，基于网络的模型能够客观地反映网络活动，特别是能够监视到主机系统审计的盲区，而基于主机的模型能够更加精确地监视主机中的各种活动。基于网络的模型受交换网的限制，只能监控同一监控点的主机，而基于主机模型装有IDS的监控主机可以对同一监控点内的所有主机进行监控。

　　

　　2、按入侵检测的技术基础可分为两类：一种基于标志的入侵检测（Signature-based），另一种是基于异常情况的入侵检测（Anomaly-based）。

　　基于标志的入侵检测：首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特证是否在所收集到的数据中出现，这有些类拟杀毒软件的工作原理。

　　基于异常的检测软件：首先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件检验和等，然后将系统运行时的数值与所定义的“正常”情部分比较，得出是否有被攻击的迹象。这种检测方法的核心在于如何精确定义所谓的“正常”情况。

　　

　　3、按输入入侵检测系统的数据来源分：（1）基于主机　　（2）基于网络　　（3）采用上述两种数据来源

　　

　　数据处理流程

　　1、入侵检测的第一步：信息收集

　　收信的内容包括系统、网络、数据及用户活动的状态和行为。收集信息需要在计算机网络系统中不同的关键点来进行，这样一方面可以尽可能扩大检测范围，只一方面从几个信源来的信息的不一致性是可疑行为或入侵的最好标识，因为有时候从一个信源来的信息有可能看不出疑点。

　　入侵检测利用的信息一般来自以下四个方面

　　（1）系统日志

　　利用系统日志是检测入侵的必要条件，日志文件中记录了各种行为类型，每种类型又包含不同的信息，很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等。

　　（2）程序执行中的异常行为

　　网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，如数据库服务器。每个在系统上执行的程序由一至多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望的行为可能表明有人正在入侵你的系统。

　　（3）物理形式的入侵信息

　　包括两个方面的内容，一是未授权的对网络硬件连接，二是对物理资源的未授权访问。

　　

　　2、入侵检测的第二步：数据分析

　　一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。