入侵检测系统(IDS)主要检测计算机网络中的非法、错误或者异常行为。运行在主机上,并且负责检测该主机上恶意破坏行为的 ID 系统,被称之为主机型 ID 系统。
主机型 IDS 软件被安装于需要监控的系统上。IDS 软件上的数据源是日志文件和/或系统审计代理。主机型 IDS 不仅着眼于计算机中通信流量的出入,同时也校验用户系统文件的完整性,并检测可疑程序。为了能使基于主机的 IDS 完整地覆盖受控站点,需要在每台计算机上都安装 IDS 系统。
主机型入侵检测软件主要有两种类型:主机 wrapper /个人防火墙和基于代理的软件。与网络型 IDS 相比,主机型 IDS 中每种检测内部攻击(即所谓的异常行为)的方法都更为高效,但相对而言,两者在检测外部攻击方面都非常有效。主机 wrapper 或者个人防火墙都可以配置来着眼于受控机器的所有网络数据包,连接尝试或登录尝试等。另外还包含拨号尝试或者其它非网络相关通信端口等功能。
网络型 IDS 的数据源是网络上的数据包,IDS 监控各网段的数据包流量作为。网络接口卡被设置为混合模式,以获取跨越各网段的所有网络流量。但网络型 IDS 不能监控其它各段上的网络流量。
网络型 IDS 着眼于经过传感器的网络数据包。传感器只能看到与其相连的网络段上装载的数据包。如果为这些数据包都匹配一个标志,那么主要有以下三种标志类型:
- 串标志(String Signature):着眼于文本串,表示可能性功能。为降低串信号错误数量,使用复合串信号是非常必要的。
- 端口标志(Port Signature):着眼于众所周知的、高频率的攻击端口的连接尝试。例如 telnet(TCP 端口23)、FTP(TCP 端口21/20)、SUNRPC(TCP/UDP 端口111)和 IMAP (TCP 端口143)等端口。
- 头标志(Header Signature):着眼于危险的或不合理的数据包头结合。其中最著名的例子是 Winnuke,数据包被指定 NetBIOS 端口和紧急指针,或者设置带外指针。对微软系统来说这将导致“蓝频死机”现象。
网络型和主机型 IDS 都具有正反两面。所以通常情况下,网络中结合两种技术提供完整保护功能。总之,有关何处使用到这三种类型,以及如何整合数据都是一个切实且日益关注的主题。
posted on 2006-03-24 14:52
地狱男爵(hellboys) 阅读(385)
评论(0) 编辑 收藏 所属分类:
系统综合