[TOC]
入侵检测(Intrusion Detection),指对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)
警报(Alert),当一个入侵正在发生或者试图发生时,IDS将发布一个警报信息通知系统管理员。如果控制台与IDS同在一台机器,警报信息将显示在监视器上,也可能伴随着声音提示,如果是远程控制台,那么警报将通过IDS内置方法(通常是加密的)、简单网络管理协议(Simple Network Management Protocol, SNMP)(通常不加密)、电子邮件(Electronic Mail, E-mail)、短信息服务(Short Message Service, SMS)、IM(即时通信)或者以上几种方法的混合方式传递给管理员。
异常(Anomoly),当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警;一个基于异常的 IDS 会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS 就会告警。
特征(Signature),IDS的核心是攻击特征(签名),它使IDS在(入侵)事件发生时触发警报。如果特征信息过短会经常触发 IDS,导致误报或错报,过长则会减慢IDS的工作速度。将 IDS 所支持的特征数视为 IDS 好坏的标准是评价 IDS 产品优劣的常见误区,例如有的厂商用一个特征涵盖许多攻击,而有些厂商则会将这些特征单独列出,特征数量的多少并不能决定威胁检测能力的高低。
前面我们介绍了 Dorothy Denning 的通用入侵检测模型,其中审计记录/网络数据包/应用程序记录、事件产生器、活动记录、更新活动记录、动态产生活动记录均是信息收集操作;而增加/修改规则、规则集则是进行信息分析;产生异常活动记录、时钟便是结果处理。
在信息收集中,其信息来源主要有系统或网络的日志文件、网络流量、或观察系统目录和文件的变化、程序执行行为(资源加载/API调用序列/IO规律等),其详细内容均以在本书前几章节中进行了介绍。
信息收集的方法可以是基于主机、基于网络或是基于传感器,例如使用基于主机运行的软件,基于网络的数据捕获传感器,以及物联网中的各种传感器。
信息分析,在异常检测中有统计分析、完整性分析,误用检测中的模式匹配。融合使用异常检测和误用检测模型是实用 IDS 系统的普遍产品策略。下面进行详细介绍。
关于异常检测,方法如下:
(1) 统计分析
统计分析对象主要是用户、文件、目录和设备等,方法是为统计分析对象创建一个统计描述,来统计正常使用时的一些测量属性,如访问次数、操作失败次数和延时等。后进行统计匹配,测量属性的平均值将被用来与网络、系统的行为进行比较,任何观测/测量值在正常值范围之外时,就认为有入侵发生。
(2) 完整性分析
完整性分析的对象是文件、目录、任意数字资源,例如:文件和目录的内容及属性。完整性分析方法是建立完整性分析对象在正常状态时的完整性签名来进行完整性分析匹配,查看匹配签名值是否发生改变,若发生改变,则认定目标对象被入侵篡改。