入侵檢測系統(英語:Intrusion-detection system,縮寫為 IDS)是一種網路安全裝置或應用軟體,可以監控網路傳輸或者系統,檢查是否有可疑活動或者違反企業的政策。偵測到時發出警報或者採取主動反應措施。它與其他網路安全裝置的不同之處便在於,IDS是一種積極主動的安全防護技術。IDS最早出現在1980年4月。該年,James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告,在其中他提出了IDS的概念[1]。1980年代中期,IDS逐漸發展成為入侵檢測專家系統(IDES)。1990年,IDS分化為基於網路的N-IDS和基於主機的H-IDS。後又出現分散式D-IDS[2]。
 | 此條目可參照英語維基百科相應條目來擴充。 (2021年10月12日) |
 | 此條目需要更新。 (2021年10月12日) |
和防火牆相比
儘管兩者都與網路安全相關,IDS不同於使用一系列靜態規則來放行網路連接的傳統防火牆(區別於下一代防火牆)。本質上,為避免網路上的入侵,防火牆會限制網路間的訪問,不關注網路內部的攻擊。IDS也能監控來自系統之內的攻擊。傳統上,這是通過對網路通訊進行檢驗,而實現對常見攻擊模式的鑑定並行出警告。
構造
網際網路工程工作小組將IDS分為四部分:[來源請求]
- 事件產生器,從計算環境中獲得事件,並向系統的其他部分提供此事件;
- 事件剖析器,分析資料;
- 回應單元,發出警報或採取主動反應措施;
- 事件資料庫,存放各種資料。
也有一種常見的分類,即:
- 驅動引擎,擷取和分析網路傳輸;
- 控制台,管理引擎和發出報告或採取主動反應措施;
兩種分類都是合理的。
一個IDS由於其工作特性,需要有一個安全的內網環境以避免阻斷服務攻擊和駭客侵擾,而且進行網路傳輸檢測也不需要合法的IP位址。因此一個典型的IDS應處在一個有DNS伺服器、防火牆或路由器的內網之中,從而完全與網際網路分開,阻止任何網路主機對IDS的直接訪問。
基於網路的IDS的資料來源是網路上的封包。它往往將一台主機的網卡設定為混雜模式,對所有本網段內的網路傳輸進行檢測。一般基於網路的IDS負責著保護整個網段。而基於主機的IDS功能與病毒防火牆類似,在須保護的系統背景執行,對主機活動進行檢測。
工作
除了簡單的記錄和發出警報之外,IDS還可以進行主動反應:打斷對談,和實現過濾管理規則。
發現違反安全策略的網路傳輸是IDS的核心功能。根據思科公司對入侵檢測技術的研究[3],可以將入侵檢測分為幾類:簡單模式匹配、狀態模式匹配、基於協定解碼的簽章、啟發式簽章和異常檢測(「簽章」指一組條件,如果滿足這組條件的話,就表明是某種類型的入侵活動)。很多研究將異常檢測的方法與機器學習等知識相結合衍生出了新一代的自動入侵檢測系統。他們各有優缺點,須根據實際情況使用。
如果使用此措施,IDS引擎會先辨識並記錄潛在的攻擊,然後假扮對談連接的另一端,偽造一份報文給對談的兩端,造成對談連接中斷。這樣可以有效的關閉通訊對談,阻止攻擊。不同的IDS有可能在隨後的一段預定或隨機的時間內試圖阻止從攻擊者主機發出的所有通訊。
這種措施雖然強大,但是也有缺點。這種措施能夠阻止的是較長時間的攻擊,而像早期的「淚滴攻擊」使系統接收到一個特製分組報頭時就會崩潰的情況,這種方法無能為力。
一些IDS能夠修改遠端路由器或防火牆的過濾規則,以阻止持續的攻擊。根據安全策略的不同,這種措施可能包括阻止攻擊主機與目標主機的其他傳輸、阻止攻擊主機的所有傳輸;在某些特殊的情況下,也可以阻止目標主機的與特定網域內主機的通訊。
這種措施的優點是同樣阻止攻擊,它比打斷對談節省許多網路傳輸。不過此種措施無法對抗來自內網的攻擊,以及有可能造成阻斷服務。
缺點
參考資料
參見
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
