IDS和IPS

文章目录

一、入侵检测系统

入侵检测是指"通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图"。
入侵检测技术：是用来发现内部攻击、外部攻击和误操作的一种方法。它是一种动态的网络安全技术，利用不同的引|擎实时或定期地对网络数据源进行分析，并将其中的威胁部分提取出来，触发响应机制。

入侵检测的软件与硬件的组合称为入侵检测系统(Intrusion Detection System，简称IDS)

。它是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。

作为重要的网络安全工具，IDS可以对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者，也可预防合法用户对资源的误操作。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。

1、入侵检测系统的构成与功能

目前对入侵检测系统进行标准化的组织有lETF的入侵检测工作组(Intrusion Detection Working Group：

IDWG

)和通用入侵检测框架(Common Intrusion Detection Framework：

ClDF

)。CIDF定义了IDS表达检测信息的标准语言及IDS组件之间的通信协议。符合CIDF规范的IDS可以共享检测信息、相互通信、协同工作，还可以与其他系统配合实施统一的配置响应和恢复策略。CIDF的主要作用在于集成各种IDS，使之协同工作，实现各种IDS之间的组件作用，所以CIDF也是构建分布式IDS的基础。

入侵检测系统的4个部件组成：
1、事件发生器：提供事件记录流的信息源，从网络中获取所有的数据包，然后将所有的数据包传送给分析引擎进行数据分析和处理。
2、事件分析器：接收信息源的数据，进行数据分析和协议分析，通过这些分析发现入侵现象，从而进行下一步的操作。
3、响应单元：对基于分析引擎的数据结果产生反应，包括切断连接、发出报警信息或发动对攻击者的反击等。
4、事件数据库：存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

入侵检测系统的应用，能使在入侵攻击对系统造成危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击，这样在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。
入侵检测系统不但可以使网络管理人员及时了解网络的变化，而且能够给网络安全策略的制定提供指南，它在发现入侵后会及时作出响应，包括切断网络连接、记录事件、报警等。

入侵检测系统的基本功能有以下几点:
1、检测和分析用户与系统的活动。
2、审计系统配置和漏洞。
3、评估系统关键资源和数据文件的完整性。
4、识别已知攻击。
5、统计分析异常行为。
6、操作系统的审计、跟踪、管理，并识别违反安全策略的用户活动。

2、入侵检测系统的分类

2.1、按照检测类型划分

1、异常检测模型
异常检测模型(Anomaly Detection) 的前提条件是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的"活动简档"，将当前主体的活动状况与"活动简档"相比较，当违反其统计规律时，认为该活动可能是"入侵"行为。
异常检测的难题在于如何建立"活动简档"以及如何设计统计算法，从而不把正常的操作作为"入侵"或忽略真正的"入侵"行为。例如，通过提交上千次相同的命令，来实施对POP3服务器的拒绝服务攻击，对付这种攻击的办法就是设定命令提交的次数，一旦超过这个设定的数系统将会发出警报。

2、特征检测模型
特征检测模型(Signature- -based Detection) 又称误用检测模型(Misuse Detection) ， 这一检测假设入侵者活动可以用一种模式表示，系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达"入侵"现象又不会将正常的活动包含进来。特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。其检测方法与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。

2.2、按照检测对象划分

1、HIDS
基于主机的入侵检测产品(HIDS) 通常安装在被重点检测的主机之上，主要是对该主机的网络进行实时连接以及对系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应的措施。
现在，基于主机的入侵检测系统保留了一种有力的工具，以理解以前的攻击形式，并选择合适的方法去抵御未来的攻击。基于主机的IDS可检测系统、事件和Windows下的安全记录，以及UNIX环境下的系统记录。当有文件发生变化时，IDS将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警，并向别的目标报告，以采取措施。基于主机的IDS在发展过程中融入了其他技术。对关键系统文件和可执行文件的入侵检测的一个常用方法，是通过定期检查校验来进行的，以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。许多IDS产品都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入基于主机的检测环境中。

HIDS系统的优点:
1、性能价格比高：在主机数量较少的情况下，这种方法的性能价格比可能更高。尽基于网络的入侵检测系统能很容易地广泛覆盖，但其价格通常是昂贵的。
2、更加精确：可以很容易地检测一-些活动，如对敏感文件、目录、程序或端口的存取，而这些活动很难在基于网络的系统中被发现。
3、视野集中：一旦入侵者得到了一个主机的用户名和口令，基于主机的代理是最有可能区分正常活动和非法活动的。
4、易于用户选择：每一个主机有其自己的代理，当然用户选择更方便了。
5、较少的主机：基于主机的方法有时不需要增加专门门的硬件平台。基于主机的入侵检测系统存在于现有的网络结构之中，包括文件服务器、Web服务器及其他共享资源。
6、对网络流量不敏感：用代理的方式- -般不 会因为网络流量的增加而丢掉对网络行为的监视。
7、适用于被加密的环境：由于基于主机的系统安装在遍布企业的各种主机上，它们比基于网络的入侵检测系统更适于交换，并且更适用于被加密的环境。
8、对分析“可能的攻击行为”非常有用；除了指出入侵者执行的危险命令，还能分辨出攻击行为:运行了什么程序、打开了哪些文件、执行了哪些系统调用。

HIDS系统的缺点，：
1、它必须安装在需要保护的设备上，如当一个数据库服务器需要保护时，就要在服务器本身安装入侵检测系统。
2、依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必须重新配置，这将会给运行中的业务系统带来不可预见的性能影响。

2、NIDS
基于网络的入侵检测产品(NIDS) 放置在比较重要的网段内，不停地监视网段中的各种数据包，对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。

NIDS系统的优点：
1、隐蔽性好：一个网络上的检测器不像一个主机那样显眼和易被存取，因而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序，不提供网络服务，可以不响应其他计算机，因此可以做得比较安全。
2、视野更宽：基于网络的入侵检测甚至可以在网络的边缘上，即攻击者还没能接入网络时就被发现并制止。
3、较少的检测器：由于使用一个检测器就可以保护一个共享的网段，所以不需要很多的检测器。相反地，如果基于主机，则在每个主机.上都需要一个代理，这样的话，花费昂贵，而且难于管理。但是，如果在一个交换环境下，就需要特殊的配置。
4、攻击者不易转移证据：基于网络的IDS使用正在发生的网络通信进行实时攻击的检测，所以，攻击者无法转移证据。被捕获的数据不仅包括攻击的方法，而且还包括可识别黑客身份和对其进行起诉的信息。
5、操作系统无关性：基于网络的IDS作为安全监测资源，与主机的操作系统无关。与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。
6、占用资源少：在被保护的设备上不需要占用任何资源。

NIDS系统的缺点：
1、只能检查它直接连接网段的通信，不能检测在不同网段中的网络包。
2、为了性能目标通常采用特征检测的方法，很难实现一些复杂的需要大量计算与分析时间的攻击检测。
3、处理加密的会话过程较困难。

3、入侵检测系统的部署

入侵检测产品通常由两部分组成：

传感器(Sensor)与控制台(Console)

。
传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。
控制台主要起到中央管理的作用，商品化的产品通常提供图形界面的控制台。
入侵检测系统的部署主要是传感器的位置部署，而传感器放置的一个问题就是它与谁连接。伴随着网络升级到交换VLAN环境，传感器可以在这种环境中正常工作，但如果交换机的端口没有正确设置，入侵检测系统将无法进行工作。
基于网络的入侵检测系统需要有传感器才能工作。如果传感器放置的位置不正确，入侵检测系统的工作也无法达到最佳状态。
一般可以采取以下选择：
1、放在边界防火墙之内：传感器可以发现所有来自Internet 的攻击，然而如果攻击类型是TCP攻击，而防火墙或过滤路由器能封锁这种攻击，那么入侵检测系统可能就检测不到这种攻击。
2、放在边界防火墙之外：可以检测所有对保护网络的攻击事件，包括数目和类型。但是这样部署会使传感器彻底地暴露在黑客之下。
3、放在主要的网络中枢中：传感器可以监控大量的网络数据，可提高检测黑客攻击的可能性，可通过授权用户的权利周界来发现未授权用户的行为。
4、放在一些安全级别需求高的子网中：对非常重要的系统和资源的入侵检测，如一个公司的财务部门，这个网段安全级别需求非常高，因此可以对财务部门单独放置一个检测器系统。

二、入侵防御系统

入侵防护系统(Intrusion Prevention System，简称IPS) 是一种主动的、积极的入侵防范及阻止系统。它部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是建立在IDS发展的基础上的新生网络安全产品。实时检测与主动防御是IPS最为核心的设计理念，也是它区别于防火墙和IDS的立足之本。

1、IPS主要的技术优势

1、在线安装：
IPS保留IDS实时检测的技术与功能，但是却采用了防火墙式的在线安装，即直接嵌入网络流量中，通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。

2、实时阻断：
IPS具有强有力的实时阻断功能，能够预先对入侵活动和攻击性网络流量进行拦截，以避免其造成任何损失。

3、先进的检测技术：
IPS采用并行处理检测和协议重组分析技术。并行处理检测是指所有流经IPS的数据包，都采用并行处理方式进行过滤器匹配，实现在一个时钟周期内，遍历所有数据包过滤器。协议重组分析是指所有流经IPS的数据包，必须首先经过硬件级预处理，完成数据包的重组，确定其具体应用协议;然后，根据不同应用协议的特征与攻击方式，IPS对于重组后的包进行筛选，将可疑者送入专| ]的特征库进行比对，从而提高检测的质量和效率。

4、特殊规则植入功能：
IPS允许植入特殊规则以阻止恶意代码。IPS能够辅助实施可接收应用策略，如禁止使用对等的文件共享应用和占有大量带宽的免费互联网电话服务工具等。

5、自学习与自适应能力：
为了应对不断更新和提高的攻击手段，IPS 有了人工智能的自学习与自适应能力，能够根据所在网络的通信环境和被入侵状况，分析和抽取新的攻击特征以更新特征库，自动总结经验，定制新的安全防御策略。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器并加以阻止。

IPS串联于通信线路之内，是既具有IDS的检测功能，又能够实时中止网络入侵行为的新型安全技术设备。IPS由检测和防御两大系统组成，具备从网络到主机的防御措施与预先设定的响应设置。

2、入侵防御系统的分类

目前，从保护对象上可将IPS分为如下3类:
1、基于主机的入侵防护(HIPS) ：
用于保护服务器和主机系统不受不法分子的攻击和误操作的破坏。
2、基于网络的入侵防护(NIPS) ：
通过检测流经的网络流量，提供对网络体系的安全保护，一旦辨识出有入侵行为，NIPS就阻断该网络会话。
3、应用入侵防护(AIP) ：
将基于主机的入侵防护扩展成为位于应用服务器之前的网络信息安全设备。

在ISO/OSI网络层次模型中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。
为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档，IDS投入使用，IDS在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报，可惜这时灾害往往已经形成。防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时，迅速作出反应，并自动采取阻止措施。而入侵防御系统则作为二者的进一步发展，汲取了二者的长处。

三、IDS、IRS、IPS的关联

入侵检测系统（IDS）：
对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法；是一种侧重于风险管理的安全产品。

入侵响应系统（IRS）：
深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析；考虑应用程序或网路传输中的异常情况，来辅助识别入侵和攻击；应用入侵防御系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵。

入侵防御系统（IPS）：
对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。IPS可以看作是IDS+IRS功能结合的衍生品。