基于网络和主机的入侵检测比较1.简介 大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意图攻击的模式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本文讨论了基于主机和基于网络入侵检测技术的不同之处,以说明如何将这二种方式融合在一起,以提供更加有效的入侵检测和保护措施。 2.技术概述 2.1 基于网络的入侵检测 基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:
一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。 2.2 基于主机的入侵检测 基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。 现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录,但自动化程度大大提高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。 基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法,是通过定期检查校验和来进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。 2.3 基于网络的入侵检测系统的优点 基于网络的IDS有许多仅靠基于主机的入侵检测法无法提供的优点。实际上,许多客户在最初使用IDS时,都配置了基于网络的入侵检测,因为它拥有成本较低并且反应速度快。以下的内容主要说明了基于网络的入侵检测称为安全策略的实施中的重要组件的主要原因。
基于网络的IDS可以检查有效负载的内容,查找用于特定攻击的指令或语法。例如,通过检查数据包有效负载可以查到黑客软件,而使正在寻找系统漏洞的攻击者毫无察觉。正如上面说的,基于主机的系统不检查有效负载,所以不能辩认有效负载中所包含的攻击信息。 2.4 基于主机的入侵检查系统的优点 尽管基于主机的入侵检查系统不如基于网络的入侵检查系统快捷,但它确实具有基于网络的系统无法比拟的优点。这些优点包括:更好的辩识分析、对特殊主机事件的紧密关注及低廉的成本。基于主机的入侵侦查系统包括:
更多相关文章
|
推荐文章
精彩文章
|
