IDS简述
IDS是入侵检测设备,主要的部署方式是旁路式组网,通过在将某个网段上的出口交换机上设置镜像,由此监视网段中的数据流动。IDS可以说是对内部网络流量的再一次的检测和保护。一般来说都是通过额外的IDS设备进行流量的监控。
但是根据数据的来源,我们还可将其分为基于主机的入侵检测系统,网络入侵检测系统,基于混合数据源的入侵检测系统。
基于主机的入侵检测系统通过主机上的检测客户端,收集主机的通信信并对其进行相关信息的检测。同时它还可以检测本机的一些信息,实现对本机系统的保护。其实就是一个主机上的信息审计系统,并通过一些检测方式去判断是否发生了入侵行为。然而这种基于主机的入侵检测方式,可以分为多种方式,比如可以通过数据检测器从不同的主机上获取数据然后再进行集中的数据分析,也可以将数据的处理进行分区域的处理,由一个某个区域专门负责的处理器进行。
针对主机入侵检测系统,获取相关信息的方式也是多种多样,可以从一些日志文件中获取,也可以直接从实时的硬件中获取,当然更有利弊。一种是比较方便,但是审计数据量大深度慢,而另一种是不怎么方便,但是审计数据量少,速度快。
基于网络的入侵检测系统不依赖于主机系统,主要的监测对象是网络上的数据流,虽然主机的入侵监测系统同样可以对一些信息流进行监测,但是基于网络的入侵监测设备更为专业。其主要通过嗅探网络上的数据包并进行分析从而判断出是否有违法流量,但是监测的范围也仅仅局限与运输层以及下层。
但是无论是基于网络还是基于主机都已经不能满足现如今的网络情况了,于是就有了基于混合型数据源的入侵检测设备。可以在一些重要服务器上配置基于主机的入侵检测客户端,同时在网段的出口交换机部署IDS,用于检交换机的出口流量,当服务器上发生一些入侵行为,比如重要数据的删除,不正常的访问,都能通过网络及时通知给IDS,然后IDS再通知给管理员,同样的,如果IDS上的网络检测模块发现有对应的恶意流量也会做出一定的行为去告知管理员。
IDS的分析模式
IDS的分析模式有两种,一种是异常检测,所谓异常检测就是通过对设备进行学习训练(一种机器学习),使得设备了解用户的流量规律,或者是一些操作规律(考虑到可以是基于主机的形式),也就是对频率和阈值进行记录,当超过其范围后就进行入侵行为的报警。异常检测有一种方式就是基于特征匹配的方式,比如在某些时间段,一些不应出现的行为却出现了,于是就认为其为入侵行为。
误用检测是另外一种模式,它的核心思想是认为所有的入侵检测都可以被表示为一种模型或者说一种行为,它总是带有一定的特征标识,只要我们将入侵行为的标识以及对应的目的预先记录下来,那么当有对应的行为发生,我们就能够依据之前记录的内容去判断本次行为的性质。
与上面的基于数据源的分类类似,单单使用一种异常检测机制或者误用检测机制已经不能够完全满足网络需求了。所以人们就将这两种分析模式集成到一台设备上,形成一种功能更加强大的入侵检测设备。当遇到已经的,也就是可以在特征库中匹配的,那就使用误用检测的入侵检测机制,但是如果遇到误用检测匹配不到的,那么就采用异常检测机制,根据用户平时的阈值和频率去判断是否发生了入侵行为。
IDS根据分布方式分类
IDS在基于主机的入侵方式下,可以通过将多台主机信息进行获取然后进行集中的分析和判断,这种方式就是一种集中式的入侵检测方式,同样可能会遇到需要检测的范围过大,这样可以将IDS中收集,分析,判断,处理几个功能都进行分离,然后采用分布式的方式,将这些模块分布在网络上适合的位置,因为功能模块进行了分离,所以主机所进行的工作方式就简单了,量也少了,于是在一定程度上可以说提升了其入侵检测的效率。