第 9章 . 入侵检测

贵重物品需要严加保护来防止被盗窃或蓄意破坏。某些家庭中还装有警报系统,这些系统能够阻止窃贼、在行窃发生时通知有关机构、甚至在房屋起火时提醒主人。这些都是确保家庭和家人安全的必要措施。

计算机系统和数据也需要同样的安全保证。互联网推进了各类信息的流动,其中包括个人信息和经济信息。与此同时,它也孕育了多种危险。企图不良的用户和怪客会试图寻找较脆弱的目标,例如:未应用补丁的系统、被特洛伊木马病毒感染的系统、以及运行不安全服务的网络。管理员和安全组的成员在系统被攻击时应该收到警报,这样,他们才能够立刻对此类威胁做出相应的反应。入侵检测系统(Intrusion detection systems)就被设计成这样的警报系统。

9.1. 入侵检测系统详述

入侵检测系统(IDS)是一种分析系统和网络上未经授权的进入和(或)有不良企图的活动的积极进程或设备。IDS 检测异常情况的方法可能会大相径庭;但是它们的最终目的都是在攻击者还未对你的系统造成损害前当场捕捉他们。

IDS 帮助系统免受攻击、滥用和弱化。它还能够监视网络活动、审查网络和系统配置中的弱点、分析数据完好性等等。根据你选择要使用的检测方法而定,使用 IDS 有好几种直接和间接的优越性。

9.1.1. IDS 类型

理解 IDS 的概念和它所提供的功能是判定哪种类型最适用于你的计算机安全政策的关键。本节讨论 IDS 背后的原理、各类 IDS 的功能、以及在一个软件包中使用多种检测技术和工具的合成 IDS 的出现。

某些 IDS 是知识性的(knowledge-based),它使用一个常见攻击的数据库在入侵发生前抢先警告安全管理员。此外,还有一些行为性(behavioral)的 IDS,它们跟踪所有异常资源使用,这些异常资源使用通常是蓄意破坏行为的标志。某些 IDS 是在后台运行的独立服务,只消极地监听活动,并记录来自外界的可疑分组。其它 IDS 综合使用标准的系统工具、改进的配置、详细的记录、以及管理员的直觉和经验,来创造一个强大的入侵检测工具包。试用并鉴定各类入侵检测技术能够帮助你找到最适用于你所在机构的检测技术。

安全领域里最常见的 IDS 是基于主机(host-based)和基于网络(network-based)的 IDS。基于主机的 IDS 是两者中最完整的一种。它在每个独立主机上布置一个监测系统。不管该主机位于哪个网络环境,它都被保护。基于网络的 IDS 在分组被发送给每个主机之前使其先被另一个设备过滤。它通常被认为是不太完整的监测方法,因为在可移环境中的许多主机都得不到可靠的网络分组过滤和保护。