當入侵正在發生或試圖發生時,IDS系統會發出警報消息通知系統管理員。如果控制臺與IDS系統位於同壹臺機器上,警報信息將顯示在監視器上,並可能伴有聲音提示。如果是遠程控制臺,則通過IDS系統內置的方法(通常加密)、SNMP(簡單網絡管理協議,通常不加密)、電子郵件、SMS(短消息)或上述方法的混合將警報發送給管理員。(異常)
當事件與已知攻擊的信號相匹配時,大多數IDS都會發出警報。基於異常的入侵檢測系統將構建當時活動主機或網絡的大致輪廓。當這個大綱之外的事件發生時,IDS會報警,比如有人做了以前沒有做過的事情,比如用戶突然獲得了管理員或者根目錄的權限。壹些IDS制造商將這種方法視為壹種啟發式功能,但壹個啟發式IDS應該在推理和判斷方面更具智能。(IDS硬件)
除了現有系統要安裝的IDS軟件之外,市場上的貨架上還能買到壹些現成的IDS硬件,只要連接網絡就能應用。壹些可用的IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon和SecureNetPro。ArachNIDS是Max Visi開發的攻擊特征數據庫,動態更新,適用於各種基於網絡的入侵檢測系統。
ARIS:攻擊註冊和。情報服務(攻擊事件註冊和智能服務)
ARIS是SecurityFocus公司提供的壹項附加服務,允許用戶匿名連接互聯網,向SecurityFocus提交網絡安全事件。然後SecurityFocus會把這些數據和其他很多參與者的數據結合起來,最終形成詳細的網絡安全統計分析和趨勢預測,在網絡上公布。它的URL地址是。(攻擊)
攻擊可以理解為試圖滲透系統或繞過系統的安全策略來獲取信息、修改信息和破壞目標網絡或系統的功能。以下是IDS可以檢測到的最常見的互聯網攻擊類型:
攻擊類型1-DOS(拒絕服務攻擊):DOS攻擊並不是通過黑客攻擊來破壞壹個系統的安全性,只是使系統癱瘓,使其拒絕向用戶提供服務。其類型包括緩沖區溢出、通過泛洪耗盡系統資源等。
攻擊類型二——DDOS(分布式拒絕服務):標準的DOS攻擊是利用壹臺主機的大量數據來攻擊壹臺遠程主機,但它無法發送足夠的數據包來達到想要的結果,於是產生了DDOS,即從多個分散的主機對壹個目標進行攻擊,耗盡遠程系統的資源,或者使其連接失效。
攻擊類型3——smurf:這是壹種老式的攻擊,仍然時有發生。攻擊者利用偽裝的攻擊目標源地址ping壹個Smurf放大器廣播的地址,然後所有主動主機都會回復目標,從而斷開網絡連接。
攻擊類型4-特洛伊木馬:術語特洛伊來自古希臘人用來攻擊特洛伊木馬的特洛伊馬。特洛伊馬載有希臘士兵。當特洛伊馬被運到城裏時,士兵們倒出特洛伊馬,攻擊這座城市及其居民。用計算機術語來說,原本是指那些以合法程序形式出現,但實際上包含惡意軟件的軟件。這樣,當用戶運行合法程序時,惡意軟件就在不知情的情況下安裝了。然而,由於大多數以這種形式安裝的惡意程序都是遠程控制工具,術語特洛伊很快演變為指代此類工具,如BackOrifice、SubSeven、NetBus等。(自動響應)
除了對攻擊發出警報之外,壹些IDS還可以自動防禦這些攻擊。抵禦的方法有很多:壹是可以重新配置路由器和防火墻,拒絕那些來自同壹個地址的信息流;第二,通過在網絡上發送復位包來切斷連接。然而,兩種方式都存在問題。攻擊者可以依次使用重新配置的設備。方法是通過偽裝成友好地址發起攻擊,然後IDS會配置路由器和防火墻拒絕這些地址,實際上是對“自己人”的拒絕服務。發送重置數據包的方法需要主動網絡接口,因此會受到攻擊。壹種補救措施是在防火墻中設置活動網絡接口或使用特殊的合同程序,從而避免標準IP堆棧要求。(電腦緊急應變小組)
這個術語是由第壹個計算機應急小組選擇的,該小組成立於卡內基梅隆大學。他們對計算機安全事件做出響應並采取行動。很多機構都有CERT,比如CNCERT/CC(中國計算機網絡應急響應協調中心)。由於“緊急”壹詞不夠明確,許多組織使用“事件”壹詞來代替它,從而產生了壹個新詞“計算機事件響應小組(CIRT)”。應對這個詞有時會被處理代替,意思是應對意味著緊急行動,而不是長期研究。(通用入侵檢測框架;通用入侵檢測框架)
CIDF試圖在壹定程度上規範入侵檢測,並開發壹些協議和應用程序接口,使信息和資源可以在入侵檢測研究項目之間共享,入侵檢測組件也可以在其他系統中重用。(計算機事故響應小組)
CIRT是從CERT演變而來的,它代表了對安全事件的哲學理解的變化。CERT最初是針對特定的計算機緊急情況,而CIRT的事件壹詞表明並非所有事件都壹定是緊急情況,但所有緊急情況都可以被視為事件。(通用入侵規範語言)
CISL是CIDF組件相互通信的語言。因為CIDF是標準化協議和接口的嘗試,CISL是標準化入侵檢測研究語言的嘗試。(常見漏洞和暴露)
關於漏洞的壹個老問題是,在設計掃描程序或應對策略時,不同廠商對漏洞的稱呼會完全不同。還有,壹些廠商會定義壹個漏洞的多個特征,並應用到他們的IDS系統中,這樣會給人壹種他們的產品更有效的錯覺。MITRE創建了CVE來標準化漏洞名稱,參與的廠商根據該標準開發IDS產品是合乎邏輯的。(定制包裝)
通過建立自定義數據包,我們可以避免壹些常規的數據包結構,從而產生數據包欺詐或使接收它的計算機不知道如何處理它。(同步失敗)
術語去同步最初指的是通過序列號對id進行轉義的方法。壹些IDS可能對其預期的序列數感到困惑,這使得無法重建數據。這個技術在1998很流行,已經過時了。在壹些文章中,術語“去同步化”被用來指代其他IDS轉義方法。(列表)
經過被動研究和社會工程工作,攻擊者將開始枚舉網絡資源。枚舉是指攻擊者主動探查壹個網絡,找出其中有什麽,有什麽可以被他利用。因為動作不再是被動的,所以可能會被察覺。當然,為了避免被發現,他們會盡可能悄悄地做。(回避)
閃避是指在沒有被IDS成功檢測到的情況下發起攻擊。訣竅是讓IDS只看到壹個方面,而它實際攻擊的是另壹個目標,即所謂的“修建棧道”、“秘密穿越舊陣地”。撤離的壹種形式是為不同的數據包設置不同的TTL(有效時間)值,使通過IDS的信息看起來無害,無害信息位上的TTL比到達目標主機所需的TTL短。壹旦通過IDS,接近目標,無害的部分就會被扔掉,只留下有害的部分。(利用)
對於每個漏洞,都有壹種利用該漏洞進行攻擊的機制。為了攻擊系統,攻擊者編寫漏洞利用代碼或腳本。
對於每壹個漏洞,都會有壹種利用這個漏洞進行攻擊的方式,這種方式就是漏洞利用。為了攻擊系統,黑客會利用漏洞編寫程序。
漏洞利用:零日漏洞利用(零時間漏洞利用)
零時間剝削是指還沒有被理解,還在泛濫的剝削,也就是說,這種類型的剝削還沒有被發現。漏洞壹旦被網絡安全社區發現,很快就會出現針對它的補丁,其特征識別信息會被寫入IDS,使漏洞失效,並被有效捕獲。(省略)
遺漏報告是指IDS檢測不到或分析師認為無害的攻擊。
真陽性(假陽性)
虛警是指壹個實際上無害的事件,被IDS檢測為攻擊事件。
防火墻(防火墻)
防火墻是網絡安全的第壹層。雖然不是IDS,但是防火墻日誌可以為IDS提供有價值的信息。防火墻的工作原理是根據規則或標準,如源地址、端口等,將危險的連接阻隔在外。(事故響應和安全團隊論壇)
首先是國際政府和私人組織的聯盟,以交換信息和協調應對行動。年度第壹受到高度重視。(切片)
如果壹個數據包太大而無法加載,就必須將其分成片段。分段的基礎是網絡的最大傳輸單元(MTU)。比如令牌環的MTU是4464,以太網的是1500。因此,如果壹個包要從令牌環網傳輸到以太網,它將被分割成小塊,然後在目的地重建。雖然這樣處理會降低效率,但是碎片化的效果還是很好的。黑客將碎片化作為躲避IDS的壹種方式,壹些DOS攻擊也使用了碎片化技術。(啟發)
啟發式是指在入侵檢測中使用AI(人工智能)。真正使用啟發式理論的IDS已經有10年了,但是還不夠“聰明”。攻擊者可以通過訓練讓它忽略那些惡意信息流。壹些IDS使用異常模式來檢測入侵,這樣的IDS必須不斷地學習什麽是正常事件。有些廠商認為這已經是相當“智能”的IDS了,所以把它們當做啟發式IDS。但事實上,真正使用AI技術分析輸入數據的id很少。(蜜網項目)
蜜網是壹個學習工具,也是壹個存在安全漏洞的網絡系統。當受到安全威脅時,會對入侵信息進行捕獲和分析,從而對黑客有所了解。Honeynet是壹個由30多個安全專業組織成員組成的項目,致力於了解黑客團體使用的工具、策略和動機,並* * *分享他們的知識。他們建立了壹系列蜜罐,提供看似脆弱的蜜網網絡,觀察入侵這些系統的黑客,研究黑客的戰術、動機和行為。(蜜罐)
蜜罐是壹種有漏洞的系統,它模擬壹個或多個易受攻擊的主機,為黑客提供了壹個容易攻擊的目標。由於蜜罐沒有其他任務要完成,所有連接的嘗試都應被視為可疑。蜜罐的另壹個目的是延緩攻擊者對其真實目標的攻擊,讓攻擊者在蜜罐上浪費時間。同時保護了原創目標,真正有價值的內容不會被侵犯。
蜜罐最初的目的之壹就是為起訴惡意黑客收集證據,這似乎有壹種“誘捕”的感覺。然而,在壹些國家,蜜罐不能用於收集證據以起訴黑客。(IDS分類)
有許多不同類型的id,如下所列:
IDS分類1-應用IDS:應用IDS為壹些特殊的應用尋找入侵信號,這些入侵信號通常是指那些比較脆弱的應用,比如Web服務器和數據庫。有許多基於主機的入侵檢測系統最初關註的是操作系統。雖然默認情況下它們不是針對應用程序的,但是它們也可以被訓練並應用到應用程序中。例如,KSE(壹個基於主機的IDS)可以告訴我們事件日誌中發生的壹切,包括應用程序在事件日誌報告中的輸出。應用程序IDS的壹個例子是Entercept的Web服務器版本。
IDS分類2-控制臺IDS:為了使IDS適用於協作環境,分布式IDS代理需要向中央控制臺報告信息。許多中央控制臺也可以接收來自其他來源的數據,例如來自其他制造商的IDS、防火墻和路由器。將這些信息結合在壹起可以提供更完整的攻擊情況。有些控制臺還會在代理級控制臺中添加自己的攻擊特征,並提供遠程管理功能。這類IDS產品包括智能網絡安全監控器和開放式電子安全平臺。
IDS分類3-文件完整性檢查器:當系統受到攻擊者的威脅時,它通常會更改壹些關鍵文件,以提供連續訪問和預防性檢測。通過給關鍵文件附加信息摘要(加密的雜亂信號),可以定期檢查文件是否被更改,這在壹定程度上提供了保證。壹旦檢測到這種變化,完整性檢查器將發出警報。而且,當壹個系統受到攻擊時,系統管理員也可以用同樣的方法來確定系統的損壞程度。以前的文件檢查器只能在很久以後才能檢測到入侵,這是“事後諸葛亮”。出現的很多產品都可以在文件被訪問的同時進行檢查,可以算是實時IDS產品。這類產品包括絆網和完好無損。
IDS分類4-蜜罐:關於蜜罐,我們已經介紹過了。蜜罐的例子包括陷阱和毒刺。
IDS分類5-基於主機的IDS:這種類型的IDS監視來自多個來源的系統和事件日誌,並發現可疑活動。基於主機的入侵檢測系統(Host-based IDS)也稱為主機入侵檢測系統(host IDS ),最適用於檢測可信內部人員的誤用以及在沒有傳統檢測方法的情況下已經滲透到網絡中的活動。主機IDS除了完成類似事件日誌閱讀器的功能外,還分析“事件/日誌/時間”的簽名。許多產品還包括啟發式功能。因為主機IDS幾乎實時工作,可以很快檢測出系統錯誤,技術人員和安全人員都很喜歡。基於主機的入侵檢測系統是指基於服務器/工作站主機的所有類型的入侵檢測系統。這類產品包括凱恩安全企業和龍隨侍。
IDS分類6-混合IDS:現代交換網絡的結構給入侵檢測操作帶來了壹些問題。首先,默認的交換網絡不允許網卡以混雜模式工作,這使得傳統網絡id的安裝非常困難。其次,高網速意味著許多數據包將被NIDS丟棄。混合IDS (Hybrid IDS)是針對這些問題的解決方案,它將IDS提升到壹個更高的層次,將網絡節點id和主機id結合起來。雖然這種解決方案覆蓋面極大,但同時也要考慮到由此帶來的巨大數據量和成本。許多網絡只為非常關鍵的服務器保留混合id。有些廠商把完成多項任務的IDS稱為混合IDS,但實際上這只是為了廣告的效果。混合IDS產品包括CentraxICE和RealSecure服務器傳感器。
IDS分類7-網絡IDS):NIDS): NIDS監控流經監控代理的所有網絡流量,並對可疑的異常活動和具有攻擊特征的活動做出響應。NIDS最初是數據包嗅探器和IDS過濾器的混合體,但它們變得更加智能,能夠破譯協議並維護狀態。NIDS有基於應用程序的產品,只有將它們安裝在主機上才能應用。NIDS分析每個數據包的攻擊特征,但是在高網絡負載下,壹些數據包仍然需要被丟棄。網絡入侵檢測系統的產品有SecureNetPro和Snort。
IDS分類8-網絡節點IDS (NNIDS):壹些網絡IDS在高速下不可靠。加載後,它們會丟棄很高比例的網絡數據包,切換網絡往往會阻止網絡id看到混合的數據包。NNIDS將NIDS的功能委托給壹臺主機,從而緩解了高速和交換問題。雖然NNIDS和個人防火墻的功能相似,但它們之間存在差異。對於分類為NNIDS的個人防火墻,應該分析嘗試的連接。例如,與許多個人防火墻上的“嘗試連接到端口xxx”不同,NNIDS將分析任何探針的特征。此外,NNIDS會將主機收到的事件發送到中央控制臺。NNIDS的產品包括小黑劑和小CMDS。
IDS分類9-個人防火墻:個人防火墻安裝在單獨的系統中,以防止不受歡迎的連接,無論是傳入還是傳出,從而保護主機系統。註意不要把它和NNIDS混淆了。個人防火墻是ZoneAlarm和Sybergen。
IDS分類10-基於目標的IDS:這是壹個模糊的IDS術語之壹,對不同的人有不同的含義。壹個可能的定義是文件完整性檢查器,而另壹個定義是網絡IDS,它只查找那些受漏洞保護的網絡上的攻擊特征。後壹種定義的目的是提高IDS的速度,因為它不會搜索不必要的攻擊。(入侵檢測工作組)
入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟,這對需要與之交互的入侵檢測系統、響應系統和管理系統具有重要意義。入侵檢測工作組與其他IETF組織合作。(事件處理)
檢測入侵僅僅是開始。更壹般地說,控制臺操作員會不斷收到警報。由於不可能抽出時間親自跟蹤每個潛在事件,操作員將標記感興趣的事件,供事件處理團隊將來調查和研究。初步反應之後,就要處理事件,即調查、辯論、起訴等事項。(事件響應)
對檢測到的潛在事件的最初反應,然後這些事件應根據事件處理程序進行處理。(島嶼)
孤島就是從網絡上徹底斷網,這幾乎是最後的手段,沒有出路。壹個組織只有在出現大規模病毒爆發或者非常明顯的安全攻擊時,才會使用這種方法。(混雜模式)
默認情況下,IDS網絡接口只能看到進出主機的信息,這稱為非混雜模式。如果網絡接口是混雜模式,您可以看到網段中的所有網絡流量,而不管其來源或目的地。這對於網絡IDS來說是必要的,但是它也可能被數據包嗅探器用來監控網絡流量。交換集線器可以解決這個問題,並且會有許多span端口,在這些端口上可以看到整體流量。
路由器(路由器)
路由器是用來連接不同子網的集線器。它們工作在OSI 7層模型的傳輸層和網絡層。路由器的基本功能是將網絡數據包傳輸到目的地。壹些路由器還具有訪問控制列表(ACL ),允許過濾掉不需要的數據包。許多路由器可以將它們的日誌信息註入IDS系統,提供關於被阻止的網絡訪問嘗試的有價值的信息。(掃描儀)
Scanner是壹個自動工具,它掃描網絡和主機的漏洞。與入侵檢測系統壹樣,它們也分為許多類型,如下所述。
掃描儀類型1-網絡掃描儀:網絡掃描儀搜索網絡以找到網絡上的所有主機。傳統上,他們使用ICMP ping技術,但這種方法很容易被檢測到。為了變得隱蔽,出現了壹些新技術,比如ack掃描、fin掃描等。使用這些更隱蔽的掃描器的另壹個優點是,不同的操作系統對這些掃描會有不同的反應,從而為攻擊者提供更多有價值的信息。這種工具的壹個例子是nmap。
掃描器類型2-網絡漏洞掃描器:網絡漏洞掃描器使網絡掃描器向前邁進了壹步,它可以檢測目標主機,並突出顯示所有可能被黑客利用的漏洞。網絡漏洞掃描器可以被攻擊者和安全專家利用,但往往會讓IDS系統“緊張”。這類產品包括Retina和CyberCop。
掃描器類型3——主機漏洞掃描器:這類工具就像特權用戶,從內部掃描主機,檢測密碼強度、安全策略和文件權限。網絡id,尤其是主機id,可以檢測到。這類產品有SecurityExpressions,是遠程Windows漏洞掃描器,可以自動修復漏洞。還有壹個ISS數據庫掃描器,它掃描數據庫的漏洞。(腳本小子)
壹些被廣泛宣傳的互聯網安全漏洞,如2000年2月對雅虎的拒絕服務攻擊,是壹些十幾歲的中學生幹的。似乎這些壞事的目的就是為了揚名立萬。安全專家通常稱這些人為腳本小子。腳本小子通常是自發的、不熟練的黑客,他們使用從互聯網下載的信息、軟件或腳本來破壞目標網站。黑客組織或執法當局都對這些腳本兒童表示蔑視,因為他們通常沒有技能,有充足的時間進行破壞,他們的目的壹般是為了給朋友留下深刻印象。腳本小子就像壹個拿著槍的孩子。他們不需要知道彈道理論,也不需要會造槍就能成為強大的敵人。所以,我們千萬不要低估他們的實力。(回避)
規避是指配置邊界設備拒絕所有不受歡迎的數據包,有些規避甚至拒絕某些國家所有IP地址的數據包。(特征)
IDS的核心是攻擊特性,使得IDS在事件發生時觸發。特征信息太短往往會觸發IDS,導致誤報或虛警,太長則會減緩IDS的工作速度。有些人把IDS支持的特性數量作為IDS的標準,但是有些廠商用壹個特性涵蓋了很多攻擊,有些廠商把這些特性單獨列出來,會給人壹種包含更多特性,是更好的IDS的印象。這壹點大家壹定要清楚。(隱藏)
隱藏是指檢測攻擊時,IDS不被外界看到。它們通常在DMZ之外使用,不受防火墻保護。它有壹些缺點,如自動響應。