***檢測概念理論

***檢測

***檢測系統（intrusion detection system）是一種自動檢查審計日誌與實時系統時間的產品。IDS主要用於檢測***企圖，可是也能夠部署用於檢測系統故障或評價系統整體性能。IDS監測着違反機密性、完整性和可用性的行爲。IDS的目標是提供***行爲的行爲人責任，而且可以在短期內對***作出準確的響應。IDS識別的***可能來自外部鏈接（如Internet或合做夥伴的網絡）、病毒、惡意代碼、可信內部主體的未受權活動企圖、來自可信地址的未受權訪問企圖。IDS被視爲一種技術檢測安全控制形式。

IDS可以主動件事可疑活動、仔細查看審計日誌，而且在發現特定時間時向系統管理員發送警報。IDS還可以鎖定重要的系統文件或操做能力，跟蹤有組織的***企圖，指出脆弱性，肯定***的發源點，追蹤到違規者的邏輯或物理位置。此外，IDS也可疑終止或中斷***或***企圖，而且可以經過從新配置路由器和防火牆來阻止已發現***的重複***。經過在屏幕上顯示會播放聲音的通知（最多見的方式）、發送電子郵件通知、發送警報短信或者日誌文件中記錄相應信息，就能夠發送或通知IDS警報。

以下所示，IDS的響應能夠是主動的、被動的或者混合的：

主動響應 直接影響網絡通訊或主機應用程序的惡意活動。

被動響應 並不影響惡意活動，可是記錄問題的相關信息並通知管理員。

混合響應 中止不但願的活動，記錄時間的相關信息，甚至可能通知管理員。

一般，IDS用來檢測來自可信網絡內外的未受權或惡意活動。IDS阻止當前***或預防將來***的能力是有限的。通常而言，IDS可疑抵禦***的響應方式包括封鎖端口、封鎖源地址以及禁用特定線路段的所用通訊。一旦發現異常的通訊（例如欺騙的通訊數據）或者違反其安全策略、過濾器、規則的狀況，IDSjiuhui在日誌中記錄問題的細節，隨後刪除或丟棄相關的的數據包。

IDS應當被做爲設施完善的安全工做中的一個獨立組件來保護網絡安全。IDS與防火牆是互補的安全工具。此外，其餘安全控制（例如物理限制和邏輯性訪問控制）也是必不可少的組件（有關這些控制的討論，請參見第1章）。

***預防要求對整個系統安全進行適當的維護，例如應用補丁程序和設置安全控制。***預防還涉及經過創建防禦對IDS發信的***作出響應，從而阻止相同的***在將來重複發生。作到***預防能夠像更新軟件或從新配置訪問空盒子同樣簡單，也能夠像從新配置防火牆、刪除或更換應用程序或服務、從新設計整個網絡同樣作到有力度。

檢測到***行爲時，最初的響應是抑制***。***抑制可以防止對其餘相同形成更多的破壞，可是也可能容許已受危害的相同仍被繼續侵擾。稍後，一旦從頭開始重構已受危害的系統，必須確保在從新鏈接網絡與重構相同以前複覈其是否遵循安全策略，包括檢查ACL、服務配置與用戶賬戶設置。咱們應當認識到：若是從新建立系統，那麼之前的系統和任何***痕跡都再也不保留。

警告： 主動反擊***者或者主動嘗試反*********者的計算機相同被視爲是缺少職業道德的和冒險的行爲。此時，咱們應當依賴於日誌記錄能力和糗聞收集工做，從而爲起訴罪犯或只是響應改善系統環境安全性提供足夠多的數據。

IDS類型與分類爲每一個系統定義了職責範圍與功能角色。在爲IDS定義的各類類型與分類中存在足夠的互補元素，經過組合使用兩個或多個IDS系統就可以再網絡中實現一個共同的目標。

***檢測--主機型與網絡型IDS

IDS類型通常根據信息來源進行分類。目前主要有兩類IDS：主機型與網絡型。主機型（host-based）IDS監視單個計算機系統霍桑的可疑活動，網絡型（network-based）則監視再網絡介質上進行的可疑活動。

1. 主機型IDS

由於主機型IDS主要關注單個計算機（而網絡型IDS必須監控整個網絡上的活動），因此它比網絡型IDS檢測到的事件信息更詳細。主機型的IDS可以準確的發現危及系統安全的或者惡意用戶執行未受權活動所用的文件和進程。

主機型IDS可以檢測到網絡型IDS不能發現的異常活動。不過，主機型IDS沒法檢測到只針對網絡的***或其餘系統上的***。由於主機型IDS被安裝在受監控的計算機上，因此***者可以發現IDS軟件並使之失去做用，或者經過操縱IDS軟件來隱藏***者的痕跡。主機型IDS在檢測和跟蹤到拒絕服務（denial-of-sevice,DoS）***方面（尤爲是帶寬佔用情況）有一些困難。主機型IDS也會消耗來自受監控計算機的資源，所以下降了系統的性能。主機系統和應用程序的審計性能會對主機型IDS造成限制。

主機型IDS的管理成本遠遠高於網絡型IDS。主機型IDS須要在受監控的每臺服務器上進行安裝，而且須要在管理方面關注每一個安裝點；網絡型IDS一般只須要單個安裝點。主機型IDS還具備其餘弱點，例如可能致使主機系統的性能顯著降低、更能容易被***者發現或禁用。

2. 網絡型IDS

網絡型IDS經過捕獲和評估網絡數據包來檢測***或異常事件。若是被安裝在網絡主幹上（大多數網絡數據流經的地方），單個網絡型IDS就可以監控一個大型網絡。某些版本的網絡型IDS使用遠程代理收集來自不一樣子網的數據，而且向中央管理控制平臺報告。網絡型IDS被安裝在具備惟一用途的計算機之中，這使得它們在對抗***時更有力度，減小了IDS的脆弱性，而且容許IDS在祕密行動模式下運行。在祕密行動模式中，IDS對於網絡來講是不可見的，***者只有知道了IDS的準確位置與系統的表示纔可以發現它。網絡型ＩＤＳｄｕｉ整個網絡的性能幾乎沒有負面影響，這是由於它古樹在具備惟一用途的系統中，因此不會對其餘計算機的性能插上任何不利影響。

在通訊量很是大的網絡上，網絡型IDS沒法及時分析數據流，這可能會致使IDS沒法檢測到高數據流量狀況下發生的***。網絡型IDS一般在交換網絡中收效甚微，在路由器沒有監控端口的狀況下，尤爲如此。網絡型IDS被用於監控數據流的內容是否在網絡介質的傳輸過程當中被加密。網絡型IDS一般可以檢測到***的發起或持續不斷的***企圖（包括DOS），可是卻沒法提供***是否成功的信息或者哪些特定系統、用戶賬戶、文件或應用程序受到影響的相關信息。

不少狀況下，經過執行逆向地址解析協議（Reverse Ａｄｄｒｅｓｓ Ｒｅｓｏｌｕｔｉｏｎ Protocol，ＲＡＲＰ）或域名系統（Domain Name System， DNS）查找，網絡型IDS可以提供有限的功能來發現***的來源。然而，由於絕大多數***由經過欺騙假裝身份的惡意***者發起，因此這種方式並不是老是可靠的。

IDS應當被視爲惟一不變的安全解決方案。對於整個環境來講，IDS只是全面安全解決方案的一部分。儘管IDS可以提供許多有點，可是也須要考慮到它的一些不足之處。若是主機系統工做時間過長而且爲IDS進程分配的執行時間不足，那麼主機型DISC就沒法查看全部細節。若是網絡流量太高而且IDS沒法及時有效的處理數據包，那麼網絡型IDS也會遇到相同的問題。此外，網絡型IDS還沒法查看被加密數據的內容。若是沒有被放置在鏡像端口（mirrored port，也就是一個專門配置爲將全部數據發送至IDS的端口），因爲沒法查看全部網絡數據，所以在交換網絡中，網絡型IDS並非一種有效的網絡範圍解決方案。IDS最開始可能會產生許多錯誤的警報，它須要在持續的基礎上才能進行有效的管理。

提示：交換網絡每每可以預防糗聞器的***，在IDS與交換機相連時，若是沒有配置交換機鏡像全部通訊數據，那麼IDS只能訪問不多一部分網絡通訊數據。不過許多***類型（例如MAC或ARP洪泛***）可以使交換機默認進入hub模式，從而使***者具備訪問全部數據的權限（同時也會顯著下降網絡的效率與吞吐量）。

***檢測--知識型與行爲型檢測、

 

IDS能夠經過兩種經常使用的方法來檢測惡意的事件，其中一種方法使使用知識型檢測（knowledge-based detecton），這種方法也被稱爲特徵型檢測（singneture-based detecton）或者模式匹配檢測（pattern-matching detecton）。基本上，IDS會使用一個特徵數據庫，而且嘗試匹配全部被監控的事件與數據庫內容。若是時間按匹配pipeiinamIDS就認定***正在進行（或已經發生）。IDS供應商經過分析和檢查不一樣系統上的多種***事件繪製了一張可疑事件表格，其結果使常見***方法或行爲的描述或特徵（signatrure）。IDS使用的知識型檢測功能與許多反病毒應用程序幾乎徹底相同。

知識型IDS的主要缺點使只對已知的***方法有效。知識型IDS沒法識別新的***或者已知***的細微變化形式，這意味者知識型IDS缺乏學習模型，也就是說在沒法識別新***模式的發生。所以，這種IDS類型只有在特徵文件正確和最新的時候纔會有做用。保持特徵文件始終使最新的，這是維持知識型IDS性能最佳的一個重要方面。

第二中間的類型是行爲型檢測，也被稱爲統計***檢測（statistical intrusion detection）、異常檢測（anomaly detecton）或啓發型檢測（ｈｅｕｒｉｓｔｉｃｅ－based detection）。基本上，行爲型檢測經過監視和學習來找出系統上正常活動和事件的相關信息。IDS就能起到像人類專家同樣的做用。爲行爲型IDS提供的與正常行爲和事件有關的信息越多，它對異常事件檢測的精確度就越高。

行爲型IDS的主要缺點使會生成許多錯誤的警報。用戶和系統活動的着呢剛纔模式可以在很大範圍內變化，所以定義正常的或可接受的活動十分困難。安全檢測系統產生的虛假警報越多，安全系統管理人員越不可能予以足夠的關注，正如寓言故事中那個總喊「狼來了」的男孩同樣。隨着時間的推移，IDS會變得更爲有效和準確，可是學習的過程血藥花費至關長的時間。使用已知行爲、活動統計數據以及針對先前事件對當前事件進行啓發式評估，行爲型IDS就可以檢測到爲預見到的、新的、未知的漏洞（Vulnerability）、***和***方法。

儘管知識型和行爲型檢測方法有所差異，但二者都使用了警報信號系統。當識別或檢測初***的時候，就會觸發警報。警報系統能經過電子郵件或彈出消息來通知系統管理員，或者經過執行腳原本發送ingbao消息。處理給系統管理員發出通知以外，警報系統還能把警報消息記錄到日誌與審計文件中，而且還生成違規報告，違規報告詳細說明了檢測到的***行爲和發現的漏洞。

***檢測--與IDS相關的工具

 

***檢測系統一般與其餘一些組件一塊兒使用。這些與IDS相關的工具擴展了IDS的用途和能力，而且是IDS更加有效和減小誤報。這些***包括蜜罐、填充單元和脆弱性掃描程序，接下來咱們會逐一進行介紹。

2.3.1 理解「蜜罐」

蜜罐（honey pot）是專門穿件的單臺計算機或整個網絡，可以做爲誘捕***者的陷阱。蜜罐看上去像是一個合法的網絡，但它們徹底是僞造的。經過包含沒有安裝補丁和沒有進行安全包含的脆弱性，而且駐留有吸引力的、誘人的但倒是僞造的數據，蜜罐可以引誘***者。蜜罐被設計用於吸引***者的注意力，並引導它們進入已受到限制的地點，從而讓它們原理合法的網絡和機密的資源。合法的用戶不會進入蜜罐，蜜罐系統彙總不存在真是的數據或有用的資源。英雌，檢測到對蜜罐的訪問時，訪問每每可能來自未經受權的***者。部署蜜罐可以使***者登錄陷阱網絡並有足夠長的時間執行惡意的活動，目的是爲了讓自動化的IDS檢測到***並儘量多的收集***者的相關信息。蜜罐吸引***者注意力的事件越長，系統管理員就會有更多的時間來調查研究***，而且可能識別初***者的身份。

注意：蜜網（honey net）是兩個或多個互連的蜜罐，這些蜜罐協調使用，從而監控或重建更大的、更多樣的網絡結構。在某些時候，蜜網可以對***檢測系統產生促進做用。

蜜罐的使用引出來有關引誘（enticement）和誘捕（entrapment）問題的討論。若是***者不是在蜜罐全部者對外公開時發現蜜罐，那麼蜜罐就可疑做爲合法的引誘設備使用。在Internet上放置一個安全脆弱性開放的系統並用抑制的方法激活服務就是引誘。提夠了從事非法或未受權活動的機會可是犯罪者本身決定是否執行活動，這就稱爲引誘。當蜜罐的全部者積極的挑撥訪問者訪問蜜罐所在站點，而後控訴訪問者的未受權***，這就是非法的誘捕。換句話說，當你哄騙或慫恿犯罪者執行非法的或未經受權的活動時，就應該考慮到這是誘捕。

2.3.2 理解填充單元

填充單元（padded cell）系統與蜜罐相似，但它使用不一樣的方式來隔離***。當***者被IDS檢測到的時候，***者被自動的轉移到一個填充單元。填充單元具備實際網絡的結構和佈局，可是在填充單元裏，***者既不能執行任何惡意的活動，也不能訪問任何機密數據。

填充單元是一個模擬環境，經過提供僞造數據來提供僞造數據來吸引***者的興趣。將***者轉移到填充單元時，並不會告知如騎着環境已經發生變化。與蜜罐同樣，填充單元系統被嚴密監控，而且被系統管理員用於爲進行跟蹤和可能發生的訴訟收集證據。

2.3.3 理解漏洞掃描程序

漏洞掃描程序（Vulnerability scanner）是另一種與IDS有關的***。脆弱性掃描程序用於測試系統中已知的安全脆弱性和弱點，而且可以生成報告，報告中指出系統中血藥設法改善安全性的區域或方面。報告中能夠建議應用補丁程序、經過特定配置或更改安全設置來改善或增強安全性。

只有在其安全問題數據庫起做用的時候，脆弱性掃描程序纔會有做用。所以，供應商必須常常更新安全問題數據庫，從而提供有用的、與特定系統有關的審計信息。配合使用脆弱性掃描程序與IDS，能夠幫助減小IDS的誤報，而且是總體***或安全違規的總數維持在最小限度。經過快速和常常修補被發現的脆弱性，系統可以提供一個更加安全的環境。

***防護系統（intrusion prevention Systems，IPS）是IDS概念的延伸，這種系統設法主動阻止出現的未受權鏈接企圖或非法通訊模式。對應於IDS，IPS被設計爲相同的類型（主機型和網絡型）和分類（行爲型和特徵型），而且兩者常常被一塊兒部署在整個網絡範圍內。此外血多IPS平臺可以經過解析高級的應用程序來查找惡意的載荷