一、引言
由于現(xiàn)在有了因特網(wǎng),網(wǎng)絡(luò)安保已經(jīng)成了工業(yè)企業(yè)最關(guān)注的話題。入侵檢測(cè)系統(tǒng)(IDS)用于檢測(cè)那些不需要對(duì)工業(yè)自動(dòng)化控制系統(tǒng)(IACS)訪問和操作,特別是通過網(wǎng)絡(luò)。它是一種專用工具,知道如何分析和解釋網(wǎng)絡(luò)流量和主機(jī)活動(dòng)。 IDS的主要目標(biāo)是對(duì)IACS網(wǎng)絡(luò)檢測(cè)入侵和入侵企圖,讓網(wǎng)絡(luò)管理員采取適當(dāng)?shù)木徑夂脱a(bǔ)救措施。IDS不會(huì)阻止這些攻擊,但會(huì)讓用戶知道什么時(shí)候發(fā)生了攻擊。
此外,IDS把已知的攻擊特征和相關(guān)的活動(dòng)、流量、行為模式存儲(chǔ)到數(shù)據(jù)庫,當(dāng)監(jiān)測(cè)數(shù)據(jù)發(fā)現(xiàn)存儲(chǔ)的特征與當(dāng)前的特征或者行為非常接近時(shí),通過比對(duì)就可以識(shí)別出來。這時(shí),IDS能發(fā)出警報(bào)或警示,并搜集這些破壞活動(dòng)的證據(jù)。
入侵檢測(cè)提供了一種識(shí)別的方法,因此可以對(duì)系統(tǒng)的攻擊進(jìn)行反應(yīng)。檢測(cè)到攻擊是一回事,阻止攻擊則是另一回事。這時(shí),最高等級(jí)的IT安保行動(dòng)是防止攻擊和可能的災(zāi)害;而IDS往往只能帶來一點(diǎn)點(diǎn)這樣的功能。因此,對(duì)入侵檢測(cè)系統(tǒng)功能的擴(kuò)展,就產(chǎn)生了入侵防御系統(tǒng)(IPS)。在當(dāng)前防御能力不足的情況下,驅(qū)動(dòng)了這一新的安全產(chǎn)品誕生,被稱為入侵防御系統(tǒng)。
入侵防御系統(tǒng)是一種網(wǎng)絡(luò)安全設(shè)備,監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的活動(dòng),對(duì)惡意或有害的行為可以進(jìn)行實(shí)時(shí)反應(yīng),以阻止或防止這些活動(dòng)帶來的破壞。
IPS是基于應(yīng)用內(nèi)容來決定是否能對(duì)IACS進(jìn)行訪問,而不是像傳統(tǒng)的防火墻,用IP地址或端口做決定。這種系統(tǒng)采用的是積極的防御機(jī)制,在正常的網(wǎng)絡(luò)信息流中檢測(cè)惡意數(shù)據(jù)包并阻止其入侵,看在任何損害發(fā)生之前自動(dòng)阻斷惡意流量,而不是簡(jiǎn)單地提出警報(bào),或者在惡意的有效載荷已交付之后再動(dòng)作。
二、入侵檢測(cè)系統(tǒng)
IDS對(duì)網(wǎng)絡(luò)信息進(jìn)行分析,發(fā)現(xiàn)惡意活動(dòng)時(shí)就立即報(bào)警。在攻擊開始后他們一般都能夠發(fā)出特殊報(bào)文復(fù)位TCP連接,有些甚至可以與防火墻系統(tǒng)連接,馬上重寫防火墻的規(guī)則集。
IDS有兩種基本類型,即特征型和啟發(fā)型。運(yùn)行在工作站上的IDS被稱為主機(jī)入侵檢測(cè)系統(tǒng)(HIDS),而那些獨(dú)立在網(wǎng)絡(luò)上運(yùn)行的設(shè)備被稱為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)。 HIDS利用其主機(jī)的資源,在主機(jī)上監(jiān)測(cè)信息流檢測(cè)攻擊。NIDS作為一種獨(dú)立設(shè)備在網(wǎng)絡(luò)上監(jiān)測(cè)信息流檢測(cè)攻擊。 NIDS也有兩種形式,特征型NIDS和啟發(fā)型NIDS。這兩種類型提供了不同程度的網(wǎng)絡(luò)入侵檢測(cè)。
今天,我們可以按照IDS所監(jiān)視的活動(dòng)、流量、交易、或系統(tǒng)來區(qū)分IDS:
· 監(jiān)測(cè)網(wǎng)絡(luò)連接和骨干尋找攻擊特征的IDS被稱為:基于網(wǎng)絡(luò)的IDS,而那些在主機(jī)上運(yùn)行,??保衛(wèi)和監(jiān)視操作和文件系統(tǒng)入侵跡象的IDS,被稱為基于主機(jī)的IDS;
· 作為遠(yuǎn)程檢測(cè)并向中央管理站報(bào)告的IDS組,被稱為分布式IDS;
· 一個(gè)網(wǎng)關(guān)IDS是一種網(wǎng)絡(luò)IDS,部署在內(nèi)部網(wǎng)絡(luò)和其他網(wǎng)絡(luò)之間,監(jiān)視進(jìn)出內(nèi)部網(wǎng)絡(luò)中轉(zhuǎn)站的信息流。
· 側(cè)重于理解和分析特定應(yīng)用程序邏輯以及底層協(xié)議的IDS通常被稱為應(yīng)用IDS。
按照事件分析方法也可以區(qū)分不同的IDS。有的IDS主要使用特征檢測(cè)技術(shù)。這與許多防病毒程序的方法類似,使用病毒特征碼(特征)來識(shí)別,并阻止受感染的文件、程序或活動(dòng)Web內(nèi)容進(jìn)入計(jì)算機(jī)。依靠當(dāng)前網(wǎng)絡(luò)流量和正常活動(dòng)的差異發(fā)出入侵警告的IDS被稱為異常檢測(cè)系統(tǒng)(ADS)。這種類型的IDS通常捕捉來自網(wǎng)絡(luò)的數(shù)據(jù),對(duì)數(shù)據(jù)使用ADS規(guī)則檢出差異。
漏報(bào)與誤報(bào)
考慮組織機(jī)構(gòu)的首要安保指標(biāo)是NIDS檢測(cè)攻擊的準(zhǔn)確性和準(zhǔn)確性頻率。為了確定啟發(fā)型和特征型NIDS的準(zhǔn)確率,要對(duì)這些系統(tǒng)的漏報(bào)和誤報(bào)進(jìn)行統(tǒng)計(jì)。誤報(bào)與特征型NIDS相關(guān)。特征型NIDS需要把其數(shù)據(jù)庫中的特征與進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)特征進(jìn)行匹配。
