版权归原作者所有,如有侵权,请联系我们

[科普中国]-主机入侵检测系统

科学百科
原创
科学百科为用户提供权威科普内容,打造知识科普阵地
收藏

工作原理

基本思想是将入侵检测模块安装于网络中的主动节点上,这些主动节点可以是需要重点保护的主机,也可以是关键路由节点。安装于主机上的入侵检测模块主要通过对主机的审计日志进行分析来发现针对主机的可疑行为,而运行于路由节点上的入侵检测模块通过对经过该节点转发的数据包文进行特征分析,通过模式识别来发现其中的入侵行为。

为了防止误报和漏报,这些运行于不同节点上的入侵检测系统需要协同工作来完成入侵攻击的全局信息提取。首先,入侵检测模块分布于网络的不同位置,同时收集并分析相同或不同类型的原始数据,当某个可疑事件发生后有选择地通知管理节点,而管理节点负责接收、关联及处理多个检测节点的不同类型的可疑事件,综合分析后找出入侵行为并进行报警或完成相应的控制工作;其次,当某个节点发现可疑行为后,可要求其它相关节点安装运行特定的程序来启动对特定信息的收集工作,并将收集到的信息返回该节点,通过综合各节点送来的信息判断是否为入侵行为。

基于主机的入侵检测系统主要用于保护运用关键应用的服务器。其优点是对分析“可能的攻击行为”非常有用,不仅能够指出入侵者试图执行哪种“危险的命令”,还能分辨出入侵者运行了什么命令,进行了什么操作、执行了哪些系统调用等。主机入侵检测系统与网络入侵检测系统相比,能够提供更为详尽的用户操作调用信息,且配置灵活。因此,基于主机的入侵检测系统能确定攻击是否成功,可用于加密的以及交换的环境,对网络流量也不敏感并且不需要额外的硬件。2

结构基于主机的入侵检测系统通常有2种结构:集中式结构分布式结构。集中式结构是指主机入侵检测系统将收集到的所有数据发送到一个中心位置(如控制台),然后再进行集中分析。而分布式结构是指数据分析是由每台主机单独进行的,每台主机仪对自身收集到的数据进行分析,并向控制台发送报警信息。

采用集中式结构时,入侵检测系统所在的主机的性能将不会受到很大的影响。但是,要注意的是,由于入侵检测系统收集的数据首先要送到控制台,然后再进行分析,这样以来,将不能保证报警信息的实时性。3

分类按照检测对象的不同,基于主机的入侵检测系统可以分为两类:网络连接检测和主机文件检测。

网络连接检测网络连接检测是对试图进入该主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害。

网络连接检测可以有效地检测出是否存在攻击探测行为,攻击探测几乎是所有攻击行为的前奏。系统管理员可以设置好访问控制表,其中包括容易受到攻击探测的网络服务,并且为它们设置好访问权限。如果入侵检测系统发现有对未开放的服务端口进行网络连接,说明有人在寻找系统漏洞,这些探测行为就会被入侵检测系统记录下来,同时这种未经授权的连接也被拒绝。

主机文件检测通常入侵行为会在主机的各种相关文件中留下痕迹,主机文件检测能够帮助系统管理员发现入侵行为或入侵企图,及时采取补救措施。

主机文件检测的检测对象主要包括以下几种:

(1)系统日志。系统日志文件中记录了各种类型的信息,包括各用户的行为记录。如果日志文件中存在异常的记录,就可以认为已经或正在发生网络入侵行为。这些异常包括不正常的反复登录失败记录、未授权用户越权访问重要文件、非正常登录行为等。

(2)文件系统。恶意的网络攻击者会修改网络主机上包含重要信息的各种数据文件,他 们可能会删除或者替换某些文件,或者尽量修改各种日志记录来销毁他们的攻击行为可能留下的痕迹。如果入侵检测系统发现文件系统发生了异常的改变,例如一些受限访问的目录或文件被非正常地创建、修改或删除,就可以怀疑发生了网络入侵行为。

(3)进程记录。主机系统中运行着各种不同的应用程序,包括各种服务程序。每个执行中的程序都包含了一个或多个进程。每个进程都存在于特定的系统环境中,能够访问有限的系统资源、数据文件等,或者与特定的进程进行通信。黑客可能将程序的进程分解,致使程序中止,或者令程序执行违背系统用户意图的操作。如果入侵检测系统发现某个进程存在着异常的行为,就可以怀疑有网络入侵。4

优点关于HIDS的优点主要有以下方面。

①能够监视特定的系统行为。基于主机的IDS能够监视所有的用户登录和退出,甚至用户所做的所有操作,日志里记录的审计系统策略的改变,关键系统文件和可执行文件的改变等。

②HIDS能够确定攻击是否成功。由于使用含有已经发生事件的信息,它们可以比网络入侵检测系统更加准确地判断攻击是否成功。

③有些攻击在网络数据中很难发现,或者根本没有通过网络而在本地进行。这时网络入侵检测系统将无能为力,只能借助HIDS。5

缺点虽然HIDS有上述的优点,但其并不完美,还存在以下不足:

①HIDS安装在需要保护的设备上,这会降低应用系统的效率。它依赖于服务器固有的日志和监视能力,如果服务器没有配置日志功能,则必须重新配置。

②全面部署HIDS的代价太大,维护升级不方便。日志分析器型IDS一般作为监控程序运行时实时地扫描日志文件。系统驱动器分析器型IDS能扫描系统的硬盘驱动器和其他外部设备(可移动硬盘、磁带机、打印设备等)并创建数据库,数据库包含系统硬盘驱动器的原始条件记录。例如,每当驱动器分析器发生改变,它就能采取诸如记录改变或发送警报这样的措施。5

局限1.资源局限

由于HIDS安装被保护主机上,故所占用的资源不能太多,从而大大限制了所采用的检测方法及处理性能。

2.操作系统局限

不像NIDS,厂家可以自己定制一个足够安全的操作系统来保证NIDS自身的安全,HIDS的安全性受其所在主机的操作系统的安全性限制,如果所在系统被攻破,HIDS将很快被清除。如果HIDS为单机,则它基本上只能检测没有成功的攻击,如果HIDS为传感器控制台结构,则将面临与NIDS同样的对相关系统的攻击。

3.系统日志限制

HIDS会通过监测系统日志来发现可疑的行为,但有些程序的系统日志并不足够详细,或者没有日志。有些入侵行为本身不会被具有系统日志的程序记录下来。

如果系统没有安装第三方日志系统,则系统自身的日志系统很快会受到入侵者的攻击或修改,而入侵检测系统通常不支持第三方的日志系统。

如果HIDS没有实时检查系统日志,则利用自动化工具进行的攻击将完全可能在检测间隔中完成所有的攻击工程并清除在系统日志中留下的痕迹。

4.被修改过的系统核心能够骗过文件检查

如果入侵者修改系统核心,则可以骗过基于文件一致性检查的工具。这就像当初某些病毒,当它们认为受到检查或者跟踪的时候会将原来的文件或者数据提供给检查工具或者跟踪工具。

5.网络检测局限

有些HIDS可以检查网络状态,但这将面临NIDS所面临的很多问题。6

评论
科普cuili007
庶吉士级
2023-01-02