从技术上看,入侵检测系统基本上可分为两类:基于网络(NIDS)和基于主机(HIDS)。本文主要介绍基于主机的入侵检测系统,包括它的主要用途、基本工作原理和方式、优缺点、现状和发展趋势等。
HIDS的原理及体系结构
主机入侵检测系统通常在被重点检测的主机上运行一个代理程序。该代理程序扮演着检测引擎的角色,它根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断,并把警报信息发送给控制端程序,由管理员集中管理。此外,代理程序需要定期给控制端发出信号,以使管理员能确信代理程序工作正常。如果是个人主机入侵检测,代理程序和控制端管理程序可以合并在一起,管理程序也简单得多。
不同的应用范围,对主机入侵检测的要求也有不同。我们将其分为:个人、企业、政府、电信等多个级别。
1.个人级:由于个人电脑的配置较低,专供个人使用的入侵检测产品在功能和性能上做了极大的简化。同时在易用性方面针对个人用户又有了加强,如图形界面的使用,配置向导等功能。
2.企业级:企业级的入侵检测产品要求在性能、功能、易用性、成本等几方面找到一个平衡点。
3.政府级:政府网络虽然流量并不比企业网络流量大,但是政府网络的安全性显然比其他特性更加受到重视。因此攻击识别能力和实时响应能力更为重要。
4.电信级:在电信企业的网络中,进出的数据流量是普通企业网络的几倍甚至几百倍。实时检测如此大的数据流量,对产品的攻击识别能力、丢包率等性能指标提出了极高的要求。
主机入侵检测系统主要依靠主机行为特征进行检测。检测系统可通过监测系统日志和SNMP陷阱来寻找某些模式,这些模式可能意味着一大堆安全上很重要的事件。检测系统的特征库包括很多类操作系统上的事件。这些事件检查可疑的文件传输,受拒的登录企图,物理信息(如一块以太网卡被设为混杂模式),以及系统重启。特征库也可包括来自许多应用程序和服务的安全讯息,如Secure Shell、Sendmail、Qmail、Bind和Apache Web服务器。
基于主机的入侵检测系统的一个优势就是它可以根据结果来进行判断。判据之一就是关键系统文件有没有在未经允许的情况下被修改,包括访问时间、文件大小和MD5密码校验值。
主机入侵检测系统需要和现有的系统紧密集成,当然支持的平台越多越好。目前的主流商业入侵检测系统通常支持或将支持大部分主流的企业级Windows和Unix系统。
在Window NT/2000中,系统有自带的安全工具,类似于早期 Windows 版本的策略编辑器。利用这个工具可以使安全策略的规划和实施变得更为容易。安全策略问题包括账号策略、本地策略、共钥策略和IP安全策略。系统中违反安全策略的行为都作为事件发送给系统安全日志。主机入侵检测可以根据安全日志分析判断入侵行为。
在主机入侵检测系统中,不管在什么操作系统,普遍用到各种勾子技术对系统的各种事件,活动进行截获分析。在Win NT/2000中,由于系统中的各种API 子系统,如Win32 子系统、Posix 子系统及其他系统最终都要调用相应的系统服务例程(System Services Routines),所以可以对系统服务例程勾子化。入侵检测系统通过捕获操作文件系统和注册表的函数来检测对文件系统和注册表的非法操作。在有些系统中,可以通过拷贝勾子处理函数不仅可以对敏感文件或目录检测非法操作,还可以阻止对文件或目录的操作。
拨号检测在主机入侵检测系统中也有其特殊的用途。在很多重要部门中都装有内部网,出于对信息的高度安全要求,公司(或部门)不希望有员工私自安装Modem拨号入网。安装于内部网中的带有拨号检测的主机入侵检测系统可以检测到员工的这种违规行为,及时阻止。在内部网中,阻止员工侵入其他员工的系统窃取机密信息也是需要的,这通常需要主机入侵检测系统对不同主机中的敏感文件或目录进行检测。
HIDS的优缺点
相对于网络入侵检测,主机入侵检测有以下优点:
◆ 性价比高 在主机数量较少的情况下,这种方法的性价比可能更高。
◆ 更加细致 这种方法可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于协议的线索中被发现。
◆ 视野集中 一旦入侵者得到了一个主机的用户名和口令,基于主机的代理是最有可能区分正常的活动和非法活动的。
◆ 易于用户剪裁 每一个主机有其自己的代理,用户剪裁更方便。
◆ 较少的主机 基于主机的方法不需要增加专门的硬件平台。
◆ 对网络流量不敏感 用代理的方式一般不会因为网络流量的增加而丢失对网络行为的监视。
当然,主机入侵检测系统也有它的局限性:
◆ 操作系统局限 不象NIDS,厂家可以自己定制一个足够安全的操作系统来保证NIDS自身的安全,HIDS的安全性受其所在主机操作系统的安全性限制。
◆ 系统日志限制 HIDS会通过监测系统日志来发现可疑的行为,但有些程序的系统日志并不详细,或者没有日志。有些入侵行为本身不会被具有系统日志的程序纪录下来。
◆ 被修改过的系统核心能够骗过文件检查 如果入侵者修改系统核心,则可以骗过基于文件一致性检查的工具。
HIDS的发展现状
目前,基于网络的入侵检测系统的数量仍然多于基于主机的入侵检测系统。基于主机的入侵检测系统通常带有基于网络的入侵检测系统组件,但反过来就少了。原因很简单:基于网络的入侵检测系统不需要对现有的系统和应用程序做更改,因而没有兼容性问题,而且一套系统能监测整个网段,部署容易。基于主机的入侵检测系统可以弥补基于网络入侵检测系统的不足,同时,自身的局限性又以网络入侵检测系统的优势弥补。两者结合,能够互相取长补短,更好地进行检测。