IDS Categories IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。Categories為1、分類2、類別3、分類 範疇的意思。
IDS分類1-Application IDS Application IDS(應用程式IDS)為一些特殊的應用程式發現入侵信號,這些應用程式通常是指那些比較易受攻擊的應用程式,如Web伺服器、資料庫等。有許多原本著眼於作業系統的基於主機 的IDS,雖然在默認狀態下並不針對應用程式,但也可以經過訓練,套用於應用程式。例如,KSE(一個基於主機的 IDS)可以告訴我們在事件日誌中正在進行的一切,包括事件日誌報告中有關應用程式的輸出內容。應用程式IDS的一個例子是Entercept的Web Server Edition.IDS分類2-Consoles IDS Consoles IDS(控制台IDS):為了使IDS適用於協同環境,分散式IDS代理需要向中心控制台報告信息。現在的許多中心控制台還可以接收其它來源的數據,如其它產商的IDS、防火牆 、路由器 等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台,並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform.IDS分類3-File Integrity Checker File Integrity Checkers(檔案完整性檢查器):當一個系統受到攻擊者的威脅時,它經常會改變某些關鍵檔案來提供持續的訪問和預防檢測。通過為關鍵檔案附加信息摘要(加密的雜亂信號),就可以定時地檢查檔案,查看它們是否被改變,這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化,完整性檢查器就會發出一個警報。而且,當一個系統已經受到攻擊後,系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的檔案檢查器在事件發生好久之後才能將入侵檢測 出來,是“事後諸葛亮”,最近出現的許多產品能在檔案被訪問的同時就進行檢查,可以看做是實時IDS產品了。該類產品有Tripwire 和Intact。IDS分類4-Honeypot Honeypots(蜜罐):關於蜜罐,前面已經介紹過。蜜罐的例子包括Mantrap和Sting。IDS分類5-Host-based IDS Host-based IDS(基於主機 的IDS):這類IDS對多種來源的系統和事件日誌 進行監控,發現可疑活動。基於主機的IDS也叫做主機IDS,最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能,主機IDS還對“事件/日誌/時間”進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的,系統的錯誤就可以很快地檢測出來,技術人員和安全人士都非常喜歡它。現在,基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統 。該類產品包括Kane Secure Enterprise和Dragon Squire。IDS分類6-Hybrid IDS Hybrid IDS(混合IDS):現代交換網路的結構給入侵檢測 操作帶來了一些問題。首先,默認狀態下的交換網路不允許網卡以混雜模式工作,這使傳統網路IDS的安裝非常困難。其次,很高的網路速度 意味著很多信息包都會被NIDS所丟棄。Hybrid IDS(混合IDS)正是解決這些問題的一個方案,它將IDS提升了一個層次,組合了網路節點 IDS和Host IDS(主機IDS)。雖然這種解決方案覆蓋面極大,但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS,實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。IDS分類7-Network IDS Network IDS(NIDS,網路IDS):NIDS對所有流經監測代理的網路通信 量進行監控,對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包 嗅探器 ,但是近來它們變得更加智慧型化,可以破譯協定並維護狀態。NIDS存在基於應用程式的產品,只需要安裝到主機上就可套用。NIDS對每個信息包進行攻擊特徵的分析,但是在網路高負載下,還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。IDS分類8-Network Node IDS Network Node IDS(NNIDS,網路節點 IDS):有些網路IDS在高速下是不可靠的,裝載之後它們會丟棄很高比例的網路信息包,而且交換網路經常會妨礙網路IDS 看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機,從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆 功能相似,但它們之間還有區別。對於被歸類為NNIDS的個人防火牆,應該對企圖的連線做分析。例如,不像在許多個人防火牆上發現的“試圖連線到連線埠xxx”,一個NNIDS會對任何的探測 都做特徵分析。另外,NNIDS還會將主機接收到的事件傳送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。IDS分類9-Personal Firewall Personal Firewall(個人防火牆 ):個人防火牆安裝在單獨的系統中,防止不受歡迎的連線,無論是進來的還是出去的,從而保護主機系統 。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。IDS分類10-Target-Based IDS Target-Based IDS(基於目標的IDS):這是不明確的IDS術語中的一個,對不同的人有不同的意義。可能的一個定義是檔案完整性檢查器,而另一個定義則是網路 IDS,後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度,因為它不搜尋那些不必要的攻擊。
