下面是小编为大家整理的软考网络管理员备考知识点精讲之入侵检测系统,希望能帮助学友们。
概念
传统的网络安全系统一般采用防火墙作为安全的第一道防线。而随着攻击者网络知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。与此同时,当今的网络环境也变得越来越复杂,各式各样的复杂设备需要不断地升级、补漏,这使得网络管理员的工作不断加重,一些不经意的疏忽便有可能造成安全的重大隐患。在这种环境下,入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。
入侵检测是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。
"入侵"(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息、拒绝服务(Denial of Service)等对计算机系统造成危害的行为。入侵检测(Intrusion
Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须能够对得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。
功能
由于入侵检测系统的市场在近几年中飞速发展,许多公司相继投入到这一领域上来。有的作为独立的产品,有的作为防火墙的一部分,其结构和功能也不尽相同。通常来说,入侵检测系统均应包括以下一些主要功能:
(1)监测并分析用户和系统的活动;
(2)核查系统配置和漏洞;
(3)评估系统关键资源和数据文件的完整性;
(4)识别已知的攻击行为;
(5)统计分析异常行为;
(6)操作系统日志管理,并识别违反安全策略的用户活动。
分类
一般来说,入侵检测系统可分为主机型和网络型。在实际使用时,也可将二者结合使用。
主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息并进行分析。主机型入侵检测系统保护的一般是所在的系统。主机型IDS的优点是:系统的内在结构没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。它的缺点是:必须为不同的平台开发不同的程序,增加了系统负荷。
网络型入侵检测系统的数据源则是网络上的数据包。通常将一台主机的网卡设为混杂模式,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。网络型IDS的优点主要是简便,一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。同时,由于往往使用单独的计算机做这种应用,不会给运行关键业务的主机带来负载上的增加。它的缺点是:由于现在网络的结构日趋复杂,以及高速网络的普及,这种结构已逐渐显示出其局限性。
组成及部署
一般来说入侵检测系统由三部分组成,分别是:事件产生器、事件分析器和响应单元。通常,这三部分分别运行在三台独立的主机上。对于IDS而言,事件产生器所在的位置是十分重要的,因为它决定了"事件"的可见度。
对于主机型IDS,其事件产生器位于其所监测的主机上。
对于网络型IDS,其事件产生器的位置有多种可能。如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上。对于交换式以太网交换机,问题则会变得复杂。由于交换机不采用共享媒质的办法,传统的采用一个sniffer来监听整个子网的办法则不再可行。解决的办法有:
(1)交换机的核心芯片上一般有一个用于调试的端口(span port),任何其他端口的进出信息都可从此得到。如果交换机厂商把此端口开放出来,用户可将IDS系统接到此端口上。这种方法的优点是:无需改变IDS体系结构;缺点是:采用此端口会降低交换机性能。
(2)把入侵检测系统放在交换机内部或防火墙内部等数据流的关键出入口。这种方法的优点是:可以得到几乎所有的关键数据;缺点是:必须与其他厂商紧密合作,并且会降低网络性能。
(3)采用分接器(Tap),将其接在所有要监测的线路上。这种方法的优点是:在不降低网络性能的前提下收集了所需的信息;缺点是:必须购买额外的设备(Tap)。
网友评论