入侵检测系统(英语:Intrusion-detection system,缩写为 IDS)是一种网络安全装置或应用软件,可以监控网络传输或者系统,检查是否有可疑活动或者违反企业的政策。侦测到时发出警报或者采取主动反应措施。它与其他网络安全装置的不同之处便在于,IDS是一种积极主动的安全防护技术。IDS最早出现在1980年4月。该年,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告,在其中他提出了IDS的概念[1]。1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。1990年,IDS分化为基于网络的N-IDS和基于主机的H-IDS。后又出现分布式D-IDS[2]。
此条目可参照英语维基百科相应条目来扩充。 (2021年10月12日) |
此条目需要更新。 (2021年10月12日) |
和防火墙相比
尽管两者都与网络安全相关,IDS不同于使用一系列静态规则来放行网络连接的传统防火墙(区别于下一代防火墙)。本质上,为避免网络上的入侵,防火墙会限制网络间的访问,不关注网络内部的攻击。IDS也能监控来自系统之内的攻击。传统上,这是通过对网络通信进行检验,而实现对常见攻击模式的鉴定并发出警告。
构造
- 事件产生器,从计算环境中获得事件,并向系统的其他部分提供此事件;
- 事件分析器,分析数据;
- 响应单元,发出警报或采取主动反应措施;
- 事件数据库,存放各种数据。
也有一种常见的分类,即:
- 驱动引擎,捕获和分析网络传输;
- 控制台,管理引擎和发出报告或采取主动反应措施;
两种分类都是合理的。
一个IDS由于其工作特性,需要有一个安全的内网环境以避免拒绝服务攻击和骇客侵扰,而且进行网络传输检测也不需要合法的IP地址。因此一个典型的IDS应处在一个有DNS伺服器、防火墙或路由器的内网之中,从而完全与互联网分开,阻止任何网络主机对IDS的直接访问。
基于网络的IDS的数据源是网络上的数据包。它往往将一台主机的网卡设置为混杂模式,对所有本网段内的网络传输进行检测。一般基于网络的IDS负责着保护整个网段。而基于主机的IDS功能与病毒防火墙类似,在须保护的系统后台运行,对主机活动进行检测。
工作
除了简单的记录和发出警报之外,IDS还可以进行主动反应:打断会话,和实现过滤管理规则。
发现违反安全策略的网络传输是IDS的核心功能。根据思科公司对入侵检测技术的研究[3],可以将入侵检测分为几类:简单模式匹配、状态模式匹配、基于协议解码的签名、启发式签名和异常检测(“签名”指一组条件,如果满足这组条件的话,就表明是某种类型的入侵活动)。很多研究将异常检测的方法与机器学习等知识相结合派生出了新一代的自动入侵检测系统。他们各有优缺点,须根据实际情况使用。
如果使用此措施,IDS引擎会先识别并记录潜在的攻击,然后假扮会话连接的另一端,伪造一份报文给会话的两端,造成会话连接中断。这样可以有效的关闭通信会话,阻止攻击。不同的IDS有可能在随后的一段预定或随机的时间内试图阻止从攻击者主机发出的所有通信。
这种措施虽然强大,但是也有缺点。这种措施能够阻止的是较长时间的攻击,而像早期的“泪滴攻击”使系统接收到一个特制分组报头时就会崩溃的情况,这种方法无能为力。
一些IDS能够修改远程路由器或防火墙的过滤规则,以阻止持续的攻击。根据安全策略的不同,这种措施可能包括阻止攻击主机与目标主机的其他传输、阻止攻击主机的所有传输;在某些特殊的情况下,也可以阻止目标主机的与特定网域内主机的通信。
这种措施的优点是同样阻止攻击,它比打断会话节省许多网络传输。不过此种措施无法对抗来自内网的攻击,以及有可能造成拒绝服务。
缺点
参考资料
参见
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.