入侵检测(Intrusion Detection)概览

互联网 | 编辑: 杨剑锋 2007-08-17 11:07:00转载 返回原文

什么是入侵检测?

原文作者:IT Security
译文作者:冰血封情 [E.S.T]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

什么是入侵检测?
如果您翻阅最近的一些关于入侵检测的文档,你就会发现很多核心理论都是上溯到公共因特网之前的八十年代。当时,大多数入侵者可能都是一些发泄不满的高中或者大学的学生。一般都是黑进某个网络后修改一些文件,或者留下一些脏话。通常,他们不会做什么危害很大的事情,除非在电影里。

到了九十年代,公共因特网开始商业化,情况就开始转变了。在安全威胁日趋严重的今天,加强入侵检测的研究和执行已经逐渐开始变得很重要。

入侵检测(Intrusion Detection,ID),是一种检测IT信息安全威胁的技术,比如:计算机,数据库,以及其他设备。本文的主要目的是了解一下入侵检测,以及其相关技术。


攻击和误操作?
当黑客声称他将对某一目标每39秒发动一次攻击时候,他们一定掌握了不少能威胁到您公司IT安全的手段。

1:经济利润
如果黑客可以威胁到您的系统安全,他们将可以通过访问电子银行帐户获得一定经济利益,比如偷窃客户的信用卡帐号,或者干脆在黑市上专卖您的数据。这种黑客很可能是受到了非法组织的雇用。

2:商业间谍
有的时候,竞争对手也会为得到您公司的机密,数据,或者是顾客信息而雇用赏金猎手。

3:精神主义者(Hacktivism)
有些人做这种事情是因为他们立场不同,比如出于宗教、Po1itics、技术见解不同,或者其他的一些分歧。(最典型的要算是恐怖分子和中国的红客了。)

4:无聊者
有些黑客这样做仅仅是为了保护其他的黑客。(比如,当米特尼克被捕的时候,他的伙伴们曾做过一些要求释放米特尼克的网络抗议活动。)

5:怨恨者
一些愤懑不满的在职雇员或者被解雇的雇员,他们可能由于在公司或者工作中受到不好的对待,从而产生报复心理。这个群体的黑客里,有时还可能会有一些是公司内鬼。

6:炫耀者
有些入侵者只是觉得这样做很爽。这种是比较原始的黑客,虽然占的比例比较小,但是这些黑客仍然可以造成比较严重的安全威胁。

7:安全检测
当一个安全组织想证实某个漏洞的存在,或者安全公司想拓展新的客户时,他们可能策划一次渗透或攻击以便向客户展示问题的存在。

您需要指导性防御
没有任何一款软件是完美的,因此您也可以依靠黑客们来发现并测试这些漏洞。值得庆幸的是,多数攻击都基本是沿用长期以来的方法,这样的话,也很方便我们对攻击手法做总结:

1:缓冲溢出
通过过载的手法让系统缓冲区溢出,额外的数据包就可以绕过类似入侵检测系统的安全监视措施,并且终止或弄脏其他的数据。缓冲溢出经常是因为程序编写不严格而产生的内部问题,并且可以由外部人工的增加系统和网络负载而触发。

2:CGI攻击
这类攻击一般是通过利用服务器上的CGI脚本缺陷。比较有代表的攻击方式包括利用服务器上标准安装的脚本程序和第三方web程序员编写的脚本程序。

3:DoS和DDoS
拒绝服务攻击(Denial of Service,DoS)和分布式拒绝服务攻击(Distributed Denial of Service,DDoS)其实本质上是类似的东西:一种尝试过载网络或者服务器(比如web服务器)从而使之拒绝服务的手法。DDoS则是使用多个分布式攻击源代替单一攻击源。DoS攻击经常以SYN洪水的形式出现。

4:内部误操作
误操作包括雇员或者不满的解雇者对数据库的访问或文件篡改。这种攻击的实施者可能也包含受别有用心的竞争对手所雇用的内鬼。

5:OS指纹识别
通过探测您的网络中的机器所安装的操作系统类型,黑客们可以更轻易确定您的网络可能有哪些漏洞。这些通常是使用TCP/IP栈指纹识别来实现的。

6:TCP/IP欺骗
通过伪造IP地址,使它们看起来更像受信任的页面、服务器或者主机。这种手法通常也配合DoS攻击一起使用。

7:SMB探针
服务器信使块(Server Message Block,SMB)探针可以确认哪些文件是共享的。内部使用,探针可以提供特定共享资源警报。外部使用的话,通常是蠕虫所利用,探针可以确认文件系统的缺陷。探针也可以用在OS指纹识别中。

8:被动端口扫描
被动端口扫描用于检测系统的常见端口(echo, ftp, ssh, telnet, domain, http)是否有安全问题。这种技术同样被应用在安全技术和黑客技术中,比如nmap扫描器。 (下一页)

什么时候需要入侵检测
什么时候才需要入侵检测呢?
既然你知道了安全问题会导致攻击,以及攻击者的一些攻击的动机,并且还了解了一些攻击手段,那么有必要对您的企业网络做一次评估,看看是否需要配置入侵检测系统。确认您是否需要IDS最快捷的方法是按照下面的检查表从头到尾为自己的网络做一次评估。

1:您是否有掌握在不正当的人手上,可能会导致对你产生威胁,或者可能对您的客户和顾客造成经济或私人损失的数据?
顾客银行、信用卡或者其他私人信息,员工的电话录音,这些信息都应该受到法律保护。
2:您是否有一些珍贵数据,一旦被偷窃就会影响到您公司的运作或者信誉的?

这是一个很简单的评估,但是列出来的都是一些可能导致严重后果并使您需要使用入侵检测系统的安全隐患。

入侵检测系统是如何工作的呢?
一般而言,入侵检测系统通过搜集信息并分析一些反常或者有问题的日志来工作。历史数据稍后将被用来阻止、抢占、控制或者调整网路通信和计算机访问。

为了了解入侵检测系统保护系统安全的一些步骤,我们这里提供了一些参考性入侵检测系统的检测表(有些选项是依不同的系统而定的)。

1:活动监控
这是一种大规模的监控,主要针对所有用户的访问和系统事件。一部分任务是跟踪违反用户安全策略的事件,非正常活动事件,以及企图造成危害的事件。入侵检测系统使用多种的分析技术以便可以确定企图入侵的事件是否发生。

2:配置检测
您的系统和网络正确配置了么?在系统配置文件里是否存在可检测的安全漏洞?网络主机文件中是否列出了那些不应该被列出的主机名单?网络中的任一主机都会被周期性的安全检查。端口扫描是一个任务,另外就是要确认配置文件的访问权限必须合理。

3:普通主机的检查
网络中任何一台及其都应该被周期性做多种隐患问题的安全检查。如果网络中有任一机器已经确认被渗透,那么所有其他的及其也必须被检查。

4:文件权限检查
文件应该确认其用户组访问权限设置是严格的。一个好的办法是将设置好的文件的权限表备份一份,定期将备份文件中的记录与当前设置对比。

5:隐藏文件检查
什么地方存在隐藏或者不明文件么?这些可能是病毒,键盘记录器,密码破解器,间谍软件等。根据系统的使用不同,文件隐藏时应该按照约定的命名规则。

6:日志文件检查
通过对已经记录的服务器,进程,路由以及其他的安全日志进行数据挖掘可以有效发现入侵事件,日志文件可以集中展现特定地址或者周期性的访问事件。不过这种入侵检测并不是实时的。

7:包嗅探检查
您的系统装了非法的网络监视程序么?比如,包嗅探器。这些小东西可能会记录用户帐号信息。

8:密码文件检查
非法的或者后门帐号可以在系统的密码文件中发现。(单纯的检测授权帐号是不够的,有的时候可能有一些有害软件。在安装入侵检测系统后最好将所有密码重置。)

9:计划任务进程检查
检查非授权运行的进程和授权进程运行的反常文件。例如,如果键盘记录程序已经被安装用来记录密码和用户名,那么它需要在此前被加载,一般来说都是固定的时间。

10:服务检查
是否运行了非法的服务?很多操作系统有服务配置文件,这样可以很方便的辅助跟踪和检测入侵。

11:系统二进制文件检查
您系统的二进制文件被修改过么?文件必须同时使用日期时间检测法和校检法检查,尽管我们不排除黑客破解算法并伪造校检结果的可能。系统文件应该使用加密强度高一些的校检工具。

12:系统及文件完整性评估
上面还没有列出来的检查手段还有系统及文件完整性检查,这个在入侵检测里也是非常重要的一环。

上述很多入侵检测工作都可以由手工完成,而这个工作在入侵检测系统里能够被良好的自动实施。自动化程度较高的IDS在实现统计分析和文件完整性校检的时候都具备绝对的优势。分析是入侵检测里是个重要的核心工作,因为通过大量的数据分析攻击行为就会很容易呈现出来。
一些入侵检测分析例子包括:

1:事件匹配/通过签名内容检测来发现有害软件。
2:网络流量分析可以前发现DoS/DDoS攻击及其他危害事件。
3:IP集中分析可以确定攻击的地理信息。
4:协议分析用来检查通常情况下的网络通信。

自动化IDS,有两种主要类型:基于主机的,基于网络的。基于主机的IDS监视系统调用,日志和网络通信,并且只保护单一机器。基于网络的IDS监视网络数据包和流量,并且提供大量的通信事件分析。 (下一页)

入侵检测工具

入侵检测工具
任何一个入侵检测系统都会集成一些工具以便用来结构化的实现上面提到的功能。这里有一张IDS同时也是相关工具列表。更多的关于以下工具的详细信息可以通过点击链接在IT Security站上检索相关资料(已更新至邪恶八进制信息安全团队技术论坛)。

AIDE
AirDefense
Arbor Networks
Bro
CERIAS
CounterStorm
Enterasys
GFI Network Security
ISS (Internet Security Systems)
Juniper Networks
Lancope
Netpoke
nmap
Prelude-IDS
SinFP
Snort
SonicWALL
StillSecure

尽管它很强大,但是仅仅使用入侵检测系统来保护你的信息安全是不够的,正如入侵检测系统无法果断的阻止入侵,而是仅仅的记录和分析它。因此,入侵检测系统需要与入侵防护系统(Intrusion Prevention System,IPS)联合工作才能达到良好的效果。

如果想了解更多关于入侵检测的只是可以参考Georgia Tech关于入侵检测的相关著作。虽然,也会很快过时,但它包含了超过45条的珍贵参考资料提供阅读。最后,感谢邪恶八进制信息安全团队将本文翻译成中文,另外IT Security为您提供了一张术语表,将为您了解入侵检测的新技术起到很大的帮助作用。

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑