IDS是英文Intrusion Detection Systems的缩写,中文意思是入侵检测系统
大家还记得安全设(1)——防火墙吗?做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
在本质上,入侵检测系统是一个典型的窥探设备。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
IDS模型
按入侵检测的手段,IDS的入侵检测模型可分为基于网络和基于主机两种。
1基于主机模型
也称基于系统的模型,它是通过分析系统的审计数据来发现可疑的活动,如内存和文件的变化等。其输入数据主要来源于系统的审计日志,一般只能检测该主机上发生的入侵。这种模型有以下优点:
①性能价格比高:在主机数量较少的情况下,这种方法的性能价格比更高;
②更加细致:可以很容易地监测一些活动,如敏感文件、目录、程序或端口的存取,而这些活动很难基于协议的线索发现;
③视野集中:一旦入侵者得到了一个主机用户名和口令,基于主机的代理是最有可能区分正常活动和非法活动的;
④易于用户剪裁:每一个主机有自己的代理,当然用户剪裁更加方便;
⑤较少的主机:基于主机的方法有时不需要增加专门的硬件平台;
⑥对网络流量不敏感:用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。
2基于网络模型
即通过连接在网络上的站点捕获网上的包,并分析其是否具有已知的攻击模式,以此来判别是否为入侵者。当该模型发现某些可疑的现象时,也一样会产生告警,并会向一个中心管理站点发出告警信号。这种模型有以下优点:
①侦测速度快:基于网络的监测器,通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠最近几分钟内审计记录的分析;
②隐蔽性好:一个网络上的监测器不像主机那样显眼和易被存取,因而也不那么容易遭受攻击;
③视野更宽:基于网络的方法甚至可以作用在网络边缘上,即攻击者还没能接入网络时就被制止;
④较少的监测器:由于使用一个监测器可以保护一个共享的网段,所以不需要很多的监测器;
⑤占资源少:在被保护的设备上不占用任何资源,这点较主机模型最为突出。