工作原理
基本思想是將入侵檢測模組安裝於網路中的主動節點上,這些主動節點可以是需要重點保護的主機,也可以是關鍵路由節點。安裝於主機上的入侵檢測模組主要通過對主機的審計日誌進行分析來發現針對主機的可疑行為,而運行於路由節點上的入侵檢測模組通過對經過該節點轉發的數據包文進行特徵分析,通過模式識別來發現其中的入侵行為。
為了防止誤報和漏報,這些運行於不同節點上的入侵檢測系統需要協同工作來完成入侵攻擊的全局信息提取。首先,入侵檢測模組分布於網路的不同位置,同時收集並分析相同或不同類型的原始數據,當某個可疑事件發生後有選擇地通知管理節點,而管理節點負責接收、關聯及處理多個檢測節點的不同類型的可疑事件,綜合分析後找出入侵行為並進行報警或完成相應的控制工作;其次,當某個節點發現可疑行為後,可要求其它相關節點安裝運行特定的程式來啟動對特定信息的收集工作,並將收集到的信息返回該節點,通過綜合各節點送來的信息判斷是否為入侵行為。
基於主機的入侵檢測系統主要用於保護運用關鍵套用的伺服器。其優點是對分析“可能的攻擊行為”非常有用,不僅能夠指出入侵者試圖執行哪種“危險的命令”,還能分辨出入侵者運行了什麼命令,進行了什麼操作、執行了哪些系統調用等。主機入侵檢測系統與網路入侵檢測系統相比,能夠提供更為詳盡的用戶操作調用信息,且配置靈活。因此,基於主機的入侵檢測系統能確定攻擊是否成功,可用於加密的以及交換的環境,對網路流量也不敏感並且不需要額外的硬體。
結構
基於主機的入侵檢測系統通常有2種結構: 集中式結構和 分散式結構。集中式結構是指主機入侵檢測系統將收集到的所有數據傳送到一個中心位置(如控制台),然後再進行集中分析。而分散式結構是指數據分析是由每台主機單獨進行的,每台主機儀對自身收集到的數據進行分析,並向控制台傳送報警信息。
採用集中式結構時,入侵檢測系統所在的主機的性能將不會受到很大的影響。但是,要注意的是,由於入侵檢測系統收集的數據首先要送到控制台,然後再進行分析,這樣以來,將不能保證報警信息的實時性。
分類
按照檢測對象的不同,基於主機的入侵檢測系統可以分為兩類:網路連線檢測和主機檔案檢測。
網路連線檢測
網路連線檢測是對試圖進入該主機的數據流進行檢測,分析確定是否有入侵行為,避免或減少這些數據流進入主機系統後造成損害。
網路連線檢測可以有效地檢測出是否存在攻擊探測行為,攻擊探測幾乎是所有攻擊行為的前奏。系統管理員可以設定好訪問控制表,其中包括容易受到攻擊探測的網路服務,並且為它們設定好訪問許可權。如果入侵檢測系統發現有對未開放的服務連線埠進行網路連線,說明有人在尋找系統漏洞,這些探測行為就會被入侵檢測系統記錄下來,同時這種未經授權的連線也被拒絕。
主機檔案檢測
通常入侵行為會在主機的各種相關檔案中留下痕跡,主機檔案檢測能夠幫助系統管理員發現入侵行為或入侵企圖,及時採取補救措施。
主機檔案檢測的檢測對象主要包括以下幾種:
(1) 系統日誌。系統日誌檔案中記錄了各種類型的信息,包括各用戶的行為記錄。如果日誌檔案中存在異常的記錄,就可以認為已經或正在發生網路入侵行為。這些異常包括不正常的反覆登錄失敗記錄、未授權用戶越權訪問重要檔案、非正常登錄行為等。
(2) 檔案系統。惡意的網路攻擊者會修改網路主機上包含重要信息的各種數據檔案,他 們可能會刪除或者替換某些檔案,或者儘量修改各種日誌記錄來銷毀他們的攻擊行為可能留下的痕跡。如果入侵檢測系統發現檔案系統發生了異常的改變,例如一些受限訪問的目錄或檔案被非正常地創建、修改或刪除,就可以懷疑發生了網路入侵行為。
(3) 進程記錄。主機系統中運行著各種不同的應用程式,包括各種服務程式。每個執行中的程式都包含了一個或多個進程。每個進程都存在於特定的系統環境中,能夠訪問有限的系統資源、數據檔案等,或者與特定的進程進行通信。黑客可能將程式的進程分解,致使程式中止,或者令程式執行違背系統用戶意圖的操作。如果入侵檢測系統發現某個進程存在著異常的行為,就可以懷疑有網路入侵。
優點
關於HIDS的優點主要有以下方面。
①能夠監視特定的系統行為。基於主機的IDS能夠監視所有的用戶登錄和退出,甚至用戶所做的所有操作,日誌里記錄的審計系統策略的改變,關鍵系統檔案和執行檔的改變等。
②HIDS能夠確定攻擊是否成功。由於使用含有已經發生事件的信息,它們可以比網路入侵檢測系統更加準確地判斷攻擊是否成功。
③有些攻擊在網路數據中很難發現,或者根本沒有通過網路而在本地進行。這時網路入侵檢測系統將無能為力,只能藉助HIDS。
缺點
雖然HIDS有上述的優點,但其並不完美,還存在以下不足:
①HIDS安裝在需要保護的設備上,這會降低套用系統的效率。它依賴於伺服器固有的日誌和監視能力,如果伺服器沒有配置日誌功能,則必須重新配置。
②全面部署HIDS的代價太大,維護升級不方便。日誌分析器型IDS一般作為監控程式運行時實時地掃描日誌檔案。系統驅動器分析器型IDS能掃描系統的硬碟驅動器和其他外部設備(可移動硬碟、磁帶機、列印設備等)並創建資料庫,資料庫包含系統硬碟驅動器的原始條件記錄。例如,每當驅動器分析器發生改變,它就能採取諸如記錄改變或傳送警報這樣的措施。
局限
1.資源局限
由於HIDS安裝被保護主機上,故所占用的資源不能太多,從而大大限制了所採用的檢測方法及處理性能。
2.作業系統局限
不像NIDS,廠家可以自己定製一個足夠安全的作業系統來保證NIDS自身的安全,HIDS的安全性受其所在主機的作業系統的安全性限制,如果所在系統被攻破,HIDS將很快被清除。如果HIDS為單機,則它基本上只能檢測沒有成功的攻擊,如果HIDS為感測器控制台結構,則將面臨與NIDS同樣的對相關係統的攻擊。
3.系統日誌限制
HIDS會通過監測系統日誌來發現可疑的行為,但有些程式的系統日誌並不足夠詳細,或者沒有日誌。有些入侵行為本身不會被具有系統日誌的程式記錄下來。
如果系統沒有安裝第三方日誌系統,則系統自身的日誌系統很快會受到入侵者的攻擊或修改,而入侵檢測系統通常不支持第三方的日誌系統。
如果HIDS沒有實時檢查系統日誌,則利用自動化工具進行的攻擊將完全可能在檢測間隔中完成所有的攻擊工程並清除在系統日誌中留下的痕跡。
4.被修改過的系統核心能夠騙過檔案檢查
如果入侵者修改系統核心,則可以騙過基於檔案一致性檢查的工具。這就像當初某些病毒,當它們認為受到檢查或者跟蹤的時候會將原來的檔案或者數據提供給檢查工具或者跟蹤工具。
5.網路檢測局限
有些HIDS可以檢查網路狀態,但這將面臨NIDS所面臨的很多問題。