IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“***检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种***企图、***行为或者***结果,以保证网络系统资源的机密性、完整性和可用性。
    我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。 
    在本质上,***检测系统是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,***检测系统提取相应的流量统计特征值,并利用内置的***知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,***检测系统将根据相应的配置进行报警或进行有限度的反击。***检测系统的原理模型如图所示。

                  ***检测系统通过监听获得网络连路上流量的拷贝
    ***检测系统的工作流程大致分为以下几个步骤:
    (1)信息收集 ***检测的第一步是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。
    (2)信号分析 对上述收集到的信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的***检测,而完整性分析则用于事后分析。
    具体的技术形式如下所述:
    模式匹配
    模式匹配就是将收集到的信息与已知的网络***和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的******手法,不能检测到从未出现过的******手段。
    统计分析
    分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有***发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的***和更为复杂的***,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
    完整性分析
    完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),能识别及其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现***,只要是成功的***导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。这种方式主要应用于基于主机的***检测系统(HIDS)。
    (3)实时记录、报警或有限度反击
    IDS根本的任务是要对***行为做出适当的反应,这些反应包括详细日志记录、实时报警和有限度的反击***源。
   
    经典的***检测系统的部署方式如图所示:
 
IPS是英文“Intrusion Prevention System”的缩写,中文意思是“***防护系统”。随着网络***事件的不断增加和******水平的不断提高,一方面企业网络感染病毒、遭受***的速度日益加快,另一方面企业网络受到***作出响应的时间却越来越滞后。解决这一矛盾,传统的防火墙或***检测技术(IDS)显得力不从心,这就需要引入一种全新的技术-IPS。
   随着网络***事件的不断增加和******水平的不断提高,一方面企业网络感染病毒、遭受***的速度日益加快,另一方面企业网络受到***作出响应的时间却越来越滞后。解决这一矛盾,传统的防火墙或***检测技术(IDS)显得力不从心,这就需要引入一种全新的技术-***防护(Intrusion Prevention System,IPS)。
  IPS的原理
  防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。***检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或***迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多******仍然无计可施。绝大多数 IDS 系统都是被动的,而不是主动的。也就是说,在***实际发生之前,它们往往无法预先发出警报。而***防护系统 (IPS) 则倾向于提供主动防护,其设计宗旨是预先对***活动和***性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在 IPS 设备中被清除掉。(图1)
  图1
 
  IPS实现实时检查和阻止***的原理在于IPS拥有数目众多的过滤器,能够防止各种***。当新的***手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有***者利用Layer 2 (介质访问控制)至Layer 7(应用)的漏洞发起***,IPS能够从数据流中检查出这些***并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现***活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
  针对不同的***行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。
  过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。
  IPS的种类
  ●基于主机的***防护(HIPS)
  HIPS通过在主机/服务器上安装软件代理程序,防止网络******操作系统以及应用程序。基于主机的***防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品,因此它们在防范红色代码和Nimda的***中,起到了很好的防护作用。基于主机的***防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意***。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的***行为,整体提升主机的安全水平。
  在技术上,HIPS采用独特的服务器保护途径,利用由包过滤、状态包检测和实时***检测组成分层防护体系。这种体系能够在提供合理吞吐率的前提下,最大限度地保护服务器的敏感内容,既可以以软件形式嵌入到应用程序对操作系统的调用当中,通过拦截针对操作系统的可疑调用,提供对主机的安全防护;也可以以更改操作系统内核程序的方式,提供比操作系统更加严谨的安全控制机制。
  由于HIPS工作在受保护的主机/服务器上,它不但能够利用特征和行为规则检测,阻止诸如缓冲区溢出之类的已知***,还能够防范未知***,防止针对Web页面、应用和资源的未授权的任何非法访问。HIPS与具体的主机/服务器操作系统平台紧密相关,不同的平台需要不同的软件代理程序。