入侵检测系统(Intrusion-detection system,下称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。IDS最早出现在1980年4月。该年,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告,在其中他提出了IDS的概念。1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。1990年,IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以完全取代防火墙。
构造
互联网工程工作小组将IDS分为四部分:
事件产生器,从计算环境中获得事件,并向系统的其他部分提供此事件;
事件分析器,分析数据;
响应单元,发出警报或采取主动反应措施;
事件数据库,存放各种数据。
也有一种常见的分类,即:
驱动引擎,捕获和分析网络传输;
控制台,管理引擎和发出报告或采取主动反应措施;
两种分类都是合理的。
一个IDS由于其工作特性,需要有一个安全的内网环境以避免拒绝服务攻击和黑客侵扰,而且进行网络传输检测也不需要合法的IP地址。因此一个典型的IDS应处在一个有DNS服务器、防火墙或路由器的内网之中,从而完全与互联网分开,阻止任何网络主机对IDS的直接访问。
基于网络的IDS的数据源是网络上的数据包。它往往将一台主机的网卡设置为混杂模式,对所有本网段内的网络传输进行检测。一般基于网络的IDS负责着保护整个网段。而基于主机的IDS功能与病毒防火墙类似,在须保护的系统后台运行,对主机活动进行检测。
工作
除了简单的记录和发出警报之外,IDS还可以进行主动反应:打断会话,和实现过滤管理规则。
入侵检测
发现违反安全策略的网络传输是IDS的核心功能。根据思科公司对入侵检测技术的研究(参见[1]),可以将入侵检测分为几类:简单模式匹配、状态模式匹配、基于协议解码的签名、启发式签名和异常检测(“签名”指一组条件,如果满足这组条件的话,就表明是某种类型的入侵活动)。他们各有优缺点,须根据实际情况使用。
攻击响应
打断会话
如果使用此措施,IDS引擎会先识别并记录潜在的攻击,然后假扮会话连接的另一端,制造一份ACK-FIN分组给会话的两端,以打断会话连接。这样可以有效的关闭通信会话,阻止攻击。不同的IDS有可能在随后的一段预定或随机的时间内试图阻止从攻击者主机发出的所有通信。
这种措施虽然强大,但是也有缺点。这种措施能够阻止的是较长时间的攻击,而像早期的“泪滴攻击”使系统接收到一个特制分组报头时就会崩溃的情况,这种方法无能为力。
过滤管理规则
一些IDS能够修改远程路由器或防火墙的过滤规则,以阻止持续的攻击。根据安全策略的不同,这种措施可能包括阻止攻击主机与目标主机的其他传输、阻止攻击主机的所有传输;在某些特殊的情况下,也可以阻止目标主机的与特定网域内主机的通信。
这种措施的优点是同样阻止攻击,它比打断会话节省许多网络传输。不过此种措施无法对抗来自内网的攻击,以及有可能造成拒绝服务。
其他
由于IDS的主动特性,IDS对攻击的响应还可以是其他一些行为。比如对攻击者进行拒绝服务攻击等等。
缺点
1998年2月,Secure Networks Inc.指出IDS有许多弱点,主要为:IDS对数据的检测;对IDS自身攻击的防护。由于当代网络发展迅速,网络传输速率大大加快,这造成了IDS工作的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。