入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测系统能够识别出任何不希望有的活动,这种活动可能来自于网络外部和内部。入侵检测系统的应用,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力。
典型的IDS系统模型包括三个功能部件:
1.提供事件记录流的信息源
2.发现入侵迹象的分析引擎
3.基于分析引擎的分析结果产生反映的响应部件
目前的IDS作为只能是网络安全整体解决方案的一个重要部分,需要与其他安全设备之间进行紧密的联系,共同解决网络安全问题。也许未来的IDS需要一种新的系统体系来克服自身的不足,但目前只能同过将IDS的各个功能模块与其他安全产品有机地融合起来。共同解决网络的安全问题,这就对引入协同提出了要求。
数据采集协同
入侵检测需要采集动态数据(网络数据包)和静态数据(日志文件等)。基于网络的IDS,仅在网络层通过原始的IP包进行检测,已不能满足日益增长的安全需求。基于主机的IDS,通过直接查看用户行为和操作系统日志数据来寻找入侵,却很难发现来自底层的网络攻击。
目前的IDS将网络数据包的采集、分析与日志文件的采集、分析割裂开来,即使是综合基于网络和基于主机的IDS也不例外,没有在这两类原始数据的相关性上作考虑。此外,在网络数据包的采集上,IDS一直是通过嗅探这种被动方式来获取数据,一旦某个数据包丢了就无法挽回。而且,将来的网络是全交换的网络,网络速度越来越快,许多重要的网络还是加密的。在这种情况下,对网络数据包这种动态数据的采集就显得更加困难了。因此,在数据采集上进行协同并充分利用各层次的数据,是提高入侵检测能力的首要条件。
数据采集协同有两个很重要的方面:
1.IDS与漏洞扫描系统的协同:漏洞扫描系统的特点是利用完整的漏洞库,对网络中的各个主机进行扫描,对主机所存在的网络、操作系统和运行的应用存在的漏洞给出综合报告,然后提出漏洞的修补办法,并最终给出风险评估报告。IDS与扫描系统的协同的一个方面是可以利用扫描系统的扫描结果,对目前网络或系统和应用所存在的漏洞做到心中有数,然后利用扫描结果对预警策略进行修改,这样一方面可以尽可能的减少误报,另外也可能对隐含在正常行为中的攻击行为做出报警。另一方面,IDS也可以利用对日常警报信息的分析,对漏洞扫描系统的扫描策略进行修改,然后进行预约扫描,对目前可能正在遭受攻击的漏洞进行及时的防范。另一方面,漏洞扫描系统也可以利用IDS的报警信息,对有些主机的进行特定漏洞的扫描,察看正在受攻击的漏洞是否真的存在,如果真的存在,做出必须及时封堵的报告。
2.IDS与防病毒系统的协同:一方面,对越来越多来自网络的病毒攻击,IDS可能根据某些特征做出警告,但由于IDS本身并不是防病毒系统,对网络中的主机是否真的正在遭受计算机病毒的袭击并不能非常准确的预报,这时防病毒系统就有了用武之地,可以有针对性的对IDS的病毒报警信息进行验证,对遭受病毒攻击的主机系统进行适当的处理。