頻率或穿越閥值
低級事件的相關性
統(tǒng)計學意義上的非常規(guī)現(xiàn)象檢測
一旦檢測到了攻擊行為�,IDS的響應模塊就提供多種選項以通知、報警并對攻擊采取相應的反應���。反應因產(chǎn)品而異�����,但通常都包括通知管理員���、中斷連接并且/或為法庭分析和證據(jù)收集而做的會話記錄。
基于主機的入侵檢測
基于主機的入侵檢測出現(xiàn)在80年代初期�����,那時網(wǎng)絡還沒有今天這樣普遍�、復雜,且網(wǎng)絡之間也沒有完全連通����。在這一較為簡單的環(huán)境里,檢查可疑行為的檢驗記錄是很常見的操作�����。由于入侵在當時是相當少見的,在對攻擊的事后分析就可以防止今后的攻擊�����。
現(xiàn)在的基于主機的入侵檢測系統(tǒng)保留了一種有力的工具���,以理解以前的攻擊形式���,并選擇合適的方法去抵御未來的攻擊�����?�;谥鳈C的IDS仍使用驗證記錄����,但自動化程度大大提高,并發(fā)展了精密的可迅速做出響應的檢測技術����。
通常,基于主機的IDS可監(jiān)探系統(tǒng)、事件和Window NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄���。當有文件發(fā)生變化時�,IDS將新的記錄條目與攻擊標記相比較�����,看它們是否匹配��。如果匹配,系統(tǒng)就會向管理員報警并向別的目標報告,以采取措施���。
基于主機的IDS在發(fā)展過程中融入了其它技術。對關鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法�,是通過定期檢查校驗和來進行的,以便發(fā)現(xiàn)意外的變化�����。反應的快慢與輪詢間隔的頻率有直接的關系�。最后,許多產(chǎn)品都是監(jiān)聽端口的活動�����,并在特定端口被訪問時向管理員報警。這類檢測方法將基于網(wǎng)絡的入侵檢測的基本方法融入到基于主機的檢測環(huán)境中��。
基于網(wǎng)絡的入侵檢測系統(tǒng)的優(yōu)點
基于網(wǎng)絡的IDS有許多僅靠基于主機的入侵檢測法無法提供的優(yōu)點���。實際上����,許多客戶在最初使用IDS時�,都配置了基于網(wǎng)絡的入侵檢測,因為它擁有成本較低并且反應速度快�����。以下的內(nèi)容主要說明了基于網(wǎng)絡的入侵檢測稱為安全策略的實施中的重要組件的主要原因�。
1. 擁有成本較低-基于網(wǎng)絡的IDS可在幾個關鍵訪問點上進行策略配置��,以觀察發(fā)往多個系統(tǒng)的網(wǎng)絡通信��。所以它不要求在許多主機上裝載并管理軟件�。由于需監(jiān)測的點較少,因此對于一個公司的環(huán)境來說����,擁有成本很低�。
2. 檢測基于主機的系統(tǒng)漏掉的攻擊-基于網(wǎng)絡的IDS檢查所有包的頭部從而發(fā)現(xiàn)惡意的和可疑的行動跡象�。基于主機的IDS無法查看包的頭部�,所以它無法檢測到這一類型的攻擊。例如��,許多來自于IP地址的拒絕服務型(DOS)和碎片包型(Teardrop)的攻擊只能在它們經(jīng)過網(wǎng)絡時���,檢查包的頭部才能發(fā)現(xiàn)��。這種類型的攻擊都可以在基于網(wǎng)絡的系統(tǒng)中通過實時監(jiān)測包流而被發(fā)現(xiàn)���。
基于網(wǎng)絡的IDS可以檢查有效負載的內(nèi)容,查找用于特定攻擊的指令或語法��。例如��,通過檢查數(shù)據(jù)包有效負載可以查到黑客軟件�,而使正在尋找系統(tǒng)漏洞的攻擊者毫無察覺。正如上面說的�,基于主機的系統(tǒng)不檢查有效負載,所以不能辯認有效負載中所包含的攻擊信息���。
3. 攻擊者不易轉(zhuǎn)移證據(jù)-基于網(wǎng)絡的IDS使用正在發(fā)生的網(wǎng)絡通訊進行實時攻擊的檢測�����。所以攻擊者無法轉(zhuǎn)移證據(jù)�����。被捕獲的數(shù)據(jù)不僅包括的攻擊的方法����,而且還包括可識別黑客身份和對其進行起訴的信息。許多黑客都熟知審記記錄���,他們知道如何操縱這些文件掩蓋他們的作案痕跡�����,如何阻止需要這些信息的基于主機的系統(tǒng)去檢測入侵�。
4. 實時檢測和響應-基于網(wǎng)絡的IDS可以在惡意及可疑的攻擊發(fā)生的同時將其檢測出來�����,并做出更快的通知和響應�����。例如�����,一個基于TCP的對網(wǎng)絡進行的拒絕服務攻擊(DOS)可以通過將基于網(wǎng)絡的IDS發(fā)出TCP復位信號�,在該攻擊對目標主機造成破壞前,將其中斷����。而基于主機的系統(tǒng)只有在可疑的登錄信息被記錄下來以后才能識別攻擊并做出反應。而這時關鍵系統(tǒng)可能早就遭到了破壞�����,或是運行基于主機的IDS的系統(tǒng)已被摧毀����。實時通知時可根據(jù)預定義的參數(shù)做出快速反應,這些反應包括將攻擊設為監(jiān)視模式以收集信息�����,立即中止攻擊等���。
5. 檢測未成功的攻擊和不良意圖-基于網(wǎng)絡的IDS增加了許多有價值的數(shù)據(jù)�����,以判別不良意圖����。即便防火墻可以正在拒絕這些嘗試,位于防火墻之外的基于網(wǎng)絡的IDS可以查出躲在防火墻后的攻擊意圖�。基于主機的系統(tǒng)無法查到從未攻擊到防火墻內(nèi)主機的未遂攻擊��,而這些丟失的信息對于評估和優(yōu)化安全策略是至關重要的����。
6. 操作系統(tǒng)無關性-基于網(wǎng)絡的IDS作為安全監(jiān)測資源,與主機的操作系統(tǒng)無關��。與之相比�,基于主機的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作�,生成有用的結(jié)果。
基于主機的入侵檢查系統(tǒng)的優(yōu)點
盡管基于主機的入侵檢查系統(tǒng)不如基于網(wǎng)絡的入侵檢查系統(tǒng)快捷���,但它確實具有基于網(wǎng)絡的系統(tǒng)無法比擬的優(yōu)點。這些優(yōu)點包括:更好的辯識分析�����、對特殊主機事件的緊密關注及低廉的成本?;谥鳈C的入侵偵查系統(tǒng)包括:
1.確定攻擊是否成功-由于基于主機的IDS使用含有已發(fā)生事件信息,它們可以比基于網(wǎng)絡的IDS更加準確地判斷攻擊是否成功�。在這方面,基于主機的IDS是基于網(wǎng)絡的IDS完美補充��,網(wǎng)絡部分可以盡早提供警告���,主機部分可以確定攻擊成功與否�。
2. 監(jiān)視特定的系統(tǒng)活動-基于主機的IDS監(jiān)視用戶和訪問文件的活動��,包括文件訪問��、改變文件權(quán)限���,試圖建立新的可執(zhí)行文件并且/或者試圖訪問特殊的設備����。例如�����,基于主機的IDS可以監(jiān)督所有用戶的登錄及下網(wǎng)情況,以及每位用戶在聯(lián)結(jié)到網(wǎng)絡以后的行為���。對于基于網(wǎng)絡的系統(tǒng)經(jīng)要做到這個程度是非常困難的�。
基于主機技術還可監(jiān)視只有管理員才能實施的非正常行為���。操作系統(tǒng)記錄了任何有關用戶帳號的增加�,刪除�����、更改的情況�,只要改動一且發(fā)生,基于主機的IDS就能檢察測到這種不適當?shù)母膭?����?;谥鳈C的IDS還可審計能影響系統(tǒng)記錄的校驗措施的改變。
最后��,基于主機的系統(tǒng)可以監(jiān)視主要系統(tǒng)文件和可執(zhí)行文件的改變��。系統(tǒng)能夠查出那些欲改寫重要系統(tǒng)文件或者安裝特洛伊木馬或后門的嘗試并將它們中斷。而基于網(wǎng)絡的系統(tǒng)有時會查不到這些行為��。
3. 能夠檢查到基于網(wǎng)絡的系統(tǒng)檢查不出的攻擊-基于主機的系統(tǒng)可以檢測到那些基于網(wǎng)絡的系統(tǒng)察覺不到的攻擊��。例如��,來自主要服務器鍵盤的攻擊不經(jīng)過網(wǎng)絡���,所以可以躲開基于網(wǎng)絡的入侵檢測系統(tǒng)。
4. 適用被加密的和交換的環(huán)境-由于基于主機的系統(tǒng)安裝在遍布企業(yè)的各種主機上��,它們比基于網(wǎng)絡的入侵檢測系統(tǒng)更加適于交換的和加密的環(huán)境����。
交換設備可將大型網(wǎng)絡分成許多的小型網(wǎng)絡部件加以管理,所以從覆蓋足夠大的網(wǎng)絡范圍的角度出發(fā)�,很難確定配置基于網(wǎng)絡的IDS的最佳位置。業(yè)務映射和交換機上的管理端口有助于此��,但這些技術有時并不適用�。基于主機的入侵檢測系統(tǒng)可安裝在所需的重要主機上���,在交換的環(huán)境中具有更高的能見度�。
某些加密方式也向基于網(wǎng)絡的入侵檢測發(fā)出了挑戰(zhàn)。由于加密方式位于協(xié)議堆棧內(nèi)����,所以基于網(wǎng)絡的系統(tǒng)可能對某些攻擊沒有反應,基于主機的IDS沒有這方面的限制,當操作系統(tǒng)及基于主機的系統(tǒng)看到即將到來的業(yè)務時���,數(shù)據(jù)流已經(jīng)被解密了�。
5. 近于實時的檢測和響應-盡管基于主機的入侵檢測系統(tǒng)不能提供真正實時的反應�,但如果應用正確,反應速度可以非常接近實時���。老式系統(tǒng)利用一個進程在預先定義的間隔內(nèi)檢查登記文件的狀態(tài)和內(nèi)容��,與老式系統(tǒng)不同���,當前基于主機的系統(tǒng)的中斷指令,這種新的記錄可被立即處理�����,顯著減少了從攻擊驗證到作出響應的時間���,在從操作系統(tǒng)作出記錄到基于主機的系統(tǒng)得到辨識結(jié)果之間的這段時間是一段延遲�,但大多數(shù)情況下,在破壞發(fā)生之前�,系統(tǒng)就能發(fā)現(xiàn)入侵者,并中止他的攻擊��。
6. 不要求額外的硬件設備-基于主機的入侵檢測系統(tǒng)存在于現(xiàn)行網(wǎng)絡結(jié)構(gòu)之中��,包括文件服務器���,Web服務器及其它共享資源。這些使得基于主機的系統(tǒng)效率很高����。因為它們不需要在網(wǎng)絡上另外安裝登記,維護及管理的硬件設備�。
7. 記錄花費更加低廉-盡管很容易就能使基于網(wǎng)絡的入侵檢測系統(tǒng)提供廣泛覆蓋,但其價格通常是昂貴的�����。配置一個簡單的入侵監(jiān)測系統(tǒng)要花費$10,000以上��,而基于主機的入侵檢測系統(tǒng)對于單獨-代理標價僅幾百美元���,并且客戶只需很少的費用用于最初的安裝�����。
