一、概述
1、定义
入侵检测系统(IDS,intrusion detection system)在GB/T 25069-2022《信息安全技术 术语》中的定义是:用于识别已尝试、正在发生或已经发生的入侵的信息系统。所谓入侵检测是指检测入侵的正式过程,该过程一般特征为采集如下知识:反常的使用模式、被利用的脆弱性及其类型、利用的方式,以及何时发生和如何发生。所谓入侵是指对网络或联网系统的未授权访问,即对信息系统进行有意或无意的未授权访问,包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。
在GB/T 20275-2021《信息安全技术网络入侵检测系统技术要求和测试评价方法》中指出:网络入侵检测系统(NIDS)是以网络上的数据包作为数据源,监听所保护网络节点的所有数据包并进行分析,从而发现异常行为的产品。
入侵检测系统(IDS)是一种重要的网络安全技术,它就像网络世界的“监控摄像头”和“警报系统”,用于监控网络或系统中的异常活动或策略违规行为,并在发现威胁时发出警报。其核心目标体现于:检测、报警、威慑、提供取证数据,具体详见下表1-1的描述。
表 1-1:入侵检测系统(IDS)的核心目标
2、产生
随着网络技术的飞速发展,信息共享和网络互连成为发展趋势。信息的共享增加了个体之间的信息交流,提高了生产率,但同时也使得个人、公司的私有信息,甚至国家机密面临严重的入侵威胁,各种安全问题时有发生。传统上,信息安全研究包括针对特定的系统设计一定的安全策略,建立支持该策略的形式化安全模型,使用身份认证、访问控制、信息加密和数字签名等技术实现安全模型并使之成为针对各种入侵活动的防御屏障。然而近年来随着系统入侵行为程度和规模的加大,安全模型理论自身的局限以及实现中存在的漏洞逐渐暴露出来,这是信息系统复杂化后的必然结果。增强系统安全的一种行之有效的方法是采用一个比较容易实现的安全技术,同时使用辅助的安全系统,对可能存在的安全漏洞进行检查,入侵检测就是这样的技术。
入侵检测的研究最早可追溯到20世纪80年代,但受到重视和快速发展是在Internet兴起之后。早在1980年,J Anderson等人就提出了入侵检测的概念,对入侵行为进行了简单地划分,提出使用审计信息跟踪用户可疑行为。1985年,Denning在Oakland提出第一个实时入侵检测专家系统模型,以及实时的、基于统计量分析和用户行为轮廓(Profile)的入侵检测技术。该模型是入侵检测研究领域的里程碑,此后大量的入侵检测系统模型开始出现,很多都是基于Denning的统计量分析理论。进入90年代以后,随着Porras和Kemmerer基于状态转换分析的入侵检测技术的提出和完善,根据已知攻击模型进行入侵检测的方法成为该领域研究的另一热点。
二、入侵检测系统(IDS)的分类
入侵检测系统(IDS)主要是根据部署位置来区分不同分类,主要包括基于主机入侵检测系统(HIDS,Hoet-based IDS)和基于网络入侵检测系统(NIDS,Network-based IDS),及其它们的混合。各具优势和应用特点。
1、基于主机入侵检测系统(HIDS)
HIDS安装在需要保护的单个主机或服务器上。其基本工作原理是:监控和分析该主机上的系统日志、应用程序日志、文件完整性、进程活动等。通过监控当前系统的资源使用情况,HIDS能够发现并报告系统资源的非法使用和修改行为。
2、基于网络入侵检测系统(NIDS)
NIDS安装在网络的关键节点(如入口、核心交换机),监控流经整个网段的所有流量。其基本工作原理是:通过旁路监听的方式捕获和分析网络数据包,一旦发现可疑数据包,系统会立即触发警报,以保护正在运行的主机。下表2-2列出了NIDS和HIDS各自的优缺点。
表 2-2:NIDS和HIDS各自的优缺点
此外,还有混合了NIDS和HIDS的混合型IDS,以及部署在特定应用程序上的基于应用的IDS。
三、入侵检测系统(IDS)的工作机理
1、核心检测技术
入侵检测系统(IDS)的核心检测技术通常有:误用检测技术和异常检测技术。误用检测技术类似于杀毒软件,需要一个已知攻击的特征库。将监控到的行为与特征库进行比对,若匹配则报警。误用检测的核心是高效、准确地匹配特征。异常检测技术的原理是,首先建立一个系统或用户行为的正常基准模型(通过机器学习或统计分析)。当监控到的行为显著偏离这个“正常”模型时,则视为异常并报警。异常检测的核心是建立“正常”的数学模型,并量化“偏离”程度。两者的优缺点比较详见下表3-1-1;两者的特征比较详见下表3-1-2。
表 3-1-1:误用检测技术和异常检测技术的各自优缺点
表 3-1-2:误用检测技术和异常检测技术的特征比较
总之,误用检测技术是精准的“狙击手”,依赖专家知识(编写规则)和特征库,其算法核心是优化匹配效率。异常检测技术是警觉的“巡逻兵”,依赖数据驱动和算法模型,其算法核心是定义“正常”并量化“异常”。事实上,在通常往往采用混合检测,即:先用高效的误用检测过滤掉大量已知威胁,再用异常检测模型分析剩余流量,寻找未知威胁。
2、核心检测指标
衡量入侵检测系统的两个最基本指标为检测率和误报率,两者分别从正、反两方面表明检测系统的检测准确性。实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率。但在实际的检测系统中这两个指标存在一定的抵触,实现上需要综合考虑。除检测率和误报率外,在实际设计和实现具体的入侵检测系统时还应考虑操作方便性、抗攻击能力、系统开销大小、可扩展性、自适应能力、自学习能力以及实时性等。
欲详细了解入侵检测系统(IDS)性能指标要求的请进入。
3、工作流程
下图3-3-1是一个基于网络入侵检测系统(NIDS)的示意图。入侵检测系统的工作流程主要包括下述步骤:数据采集、数据分析(入侵检测)、结果响应等,其流程图可详见下图3-3-2;下表3-3对相关步骤进行了描述。
图 3-3-1:入侵检测系统构成示意图
图 3-3-2:入侵检测系统工程流程图
表 3-3:入侵检测系统工作流程描述
入侵检测系统(IDS)的检测过程是一个高度自动化的分析流水线,其核心目标是“从海量数据中筛选出潜在的恶意活动”。总之,IDS的检测过程是一个从“数据”到“情报” 的提炼过程。它通过自动化的数据采集、智能的分析引擎,将网络和主机环境中难以理解的庞杂信息,转化为安全人员能够理解并采取行动的明确威胁警报,从而构成了现代网络安全纵深防御体系中至关重要的“监控与预警”层。
四、入侵检测系统(IDS)与入侵防御系统(IPS)
通过上述分析,入侵检测系统(IDS)主要用来检测入侵、发现异常,下表4列出了其特点(优缺点)。而要防止入侵则需要入侵防御系统(IPS,intrusion prevention system)。IPS可以看作是IDS的演进,它不仅检测威胁,还能实时阻断恶意流量。IPS是指特别设计用来提供主动响应能力的入侵检测系统的变体。
表 4:入侵检测系统(IDS)的优缺点
欲详细了解入侵防御系统(IPS)介绍的请进入。
入侵检测系统(IDS)是现代网络安全架构中不可或缺的组成部分。它通过持续监控,为组织提供了关键的威胁检测能力。虽然存在局限,但结合IPS、防火墙等其它安全工具,共同构建起一个纵深防御的安全体系,能极大地增强组织应对网络威胁的能力。
欲更多了解国家标准关于IDS安全技术要求的请进入。
最后特别提示:入侵检测系统(IDS)的产品列入到了国家《网络关键设备和网络安全专用产品目录》,在目录中对IDS的描述是:以网络上的数据包作为数据源,监听所保护网络节点的所有数据包并进行分析,从而发现异常行为的产品(注:应是指NIDS)。因此,IDS产品应当按照相关国家标准要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供,形成了一种销售许可或进网许可的管理机制。
欲详细了解国家《网络关键设备和网络安全专用产品目录》的请进入。
欲进一步了解恶意代码介绍的请进入。
