. 數據的安全威脅
隨著社會對計算機和網絡的依賴性越來越大,如何保證計算機中數據的完整性、保密性和可用性成為每一個計算機使用者關心的重點。數據的完整性和可用性就是保證計算機系統上的數據和信息處于一種完整和未受損的狀態。
針對數據完整性、可用性、保密性最常見的威脅來自于攻擊者或者計算機操作員、硬件故障、網絡故障和災難。
攻擊者的目的是對信息進行竊取或者破壞,計算機操作員也存在誤刪誤改的誤操作行為,這都對數據的安全性構成巨大的威脅。而除了人造成的問題之外,硬件故障和網絡故障也是計算機運行過程中常見的故障,它們也將破壞數據的安全屬性,嚴重時造成數據的丟失。
而往往在毫無防備的情況下突然襲來的災難,使系統數據的安全屬性遭受更嚴重的挑戰,所有系統連同數據頃刻間將全部毀壞。為此,針對數據的安全威脅進行應對,將有效防止和提高數據的完整性、保密性和可用性。
2. 數據的加密存儲
數據安全性的重要一點是保障數據的保密性,通常采用的技術是數據在存儲過程中采用加密算法實現數據在介質中加密存放。
數據保密性的目的,在于當數據介質遭受盜竊或者非法拷貝后,仍然可以保證關鍵數據不被泄漏。
在Windows操作系統中,NTFS文件系統通過EFS(Encrypt File System)數據加密技術實現數據的加密存儲。
當啟用EFS時,Windows創建一個隨機生成的文件加密密鑰(FEK),在數據寫入到磁盤時,透明的用這個FEK加密數據。
然后Windows用公鑰加密FEK,把加密的FEK和加密的數據放在一起。
公鑰是第一次使用EFS時,Windows自動生成的公私鑰對中的公鑰。
FEK是對稱密鑰,它加密的數據只能在用戶有相關私鑰才能解密出FEK,再解密出加密的數據。
PGP(Pretty Good Privacy)除了對電子郵件進行加密以防止非授權者閱讀外,它也可實現對存儲介質中的數據進行加密。
PGP采用公鑰密碼算法對數據進行加密,它可創建一PGPdisk虛擬加密磁盤,所有數據寫入此磁盤空間后,數據都處于加密狀態,只有輸入正確的passphrase,才能訪問加密的數據信息。
此塊磁盤空間的數據既使被竊取,也始終處于加密狀態,保證了數據的安全。
3. 數據備份和恢復
數據備份作為信息安全的一個重要內容,其重要性卻往往被人們忽視。只要發生數據傳輸、數據存儲和數據交換,就有可能產生數據故障,
如果沒有采取數據備份和數據恢復手段與措施,就會導致數據的丟失。
有時造成的損失是無法彌補與估量的。數據故障的形式是多種多樣的。通常,數據故障可劃分為系統故障、事務故障和介質故障3大類。
計算機的應用越來越廣泛,但使用計算機系統處理日常業務在提高效率的同時,也產生了新的問題,即數據是失效問題。
一旦發生數據失效,組織就會陷入困境:客戶資料,技術文件,財務帳務等數據可能被損壞的面目全非,而允許恢復時間可能只有短短幾天或更少。
如果系統無法順利恢復,最終結局不堪設想。所以組織的信息化程度越高,備份和災難恢復措施就越重要。
數據備份與數據恢復是保護數據的最后手段,也是防止主動型信息攻擊的最后一道防線。
數據備份不僅僅是簡單的文件拷貝,在多數情況下是指數據庫備份。
所謂數據庫備份是指制作數據庫結構和數據的拷貝,以便在數據庫遭到破壞時能夠恢復數據庫。
備份的內容不但包括用戶的數據庫內容,而且還包括系統的數據庫內容。
需要注意的是,大容量的備份不等于簡單的文件拷貝,也不等于文件的永久性歸檔,它是要求一種高速、大容量的存儲介質將所有的文件(網絡系統、應用軟件、用戶數據)進行全面的復制與管理。
決定采用何種備份方式,還取決于以下兩個重要因素:備份窗口,完成一次給定備份所需的時間,這個備份窗口由需要備份數據的總量和處理數據的網絡架構的速度來決定。
恢復窗口,恢復整個系統所需的時間,恢復窗口的長短取決于網絡的負載和磁帶庫的性能及速度。
在實際應用中,必須根據備份窗口和恢復窗口的大小,以及整個數據量,決定采用何種備份方式。
一般來說,差分備份避免了完全備份和增量備份的缺陷,又具有它們的優點。
差分備份無須每天都做系統完全備份,并且災難恢復很方便,只需要上一次完全備份磁帶和災難發生前一天磁帶就可以完全恢復數據,采用完全備份結合差分備份的方式較為適宜。
①數據備份的方式
數據備份有多種方式,在不同的情況下,應該選擇最合適的方法。
按備份的數據量來說,有完全備份、增量備份、差分備份與按需備份四種。
完全備份,備份系統中的所有數據,特點是備份所需的時間最長,但恢復時間最短,操作最方便,也最可靠;
增量備份,只備份上次備份以后有變化的數據,特點是備份時間較短,占用空間較少,但恢復時間較長;
差分備份,只備份上次完全備份以后有變化的數據,特點是備份時間較長,占用空間較多,但恢復時間較快;
按需備份,根據臨時需要有選擇的進行數據備份。
②數據備份的狀態
按備份狀態來劃分,有物理備份和邏輯備份兩種。物理備份是指將實際物理數據庫文件從一處拷貝到另一處的備份,冷備份、熱備份都屬于物理備份。
所謂冷備份,也稱脫機(offline)備份,是指以正常方式關閉數據庫,并對數據庫的所有文件進行備份。其缺點是需要一定的時間來完成,在備份期間,最終用戶無法訪問數據庫,而且這種方法不易做到實時的備份。
所謂熱備份,也稱聯機(online)備份,是指在數據庫打開和用戶對數據庫進行操作的情況下進行的備份;也指通過使用數據庫系統的復制服務器,連接正在運行的主數據庫服務器和熱備份服務器,當主數據庫的數據修改時,變化的數據通過復制服務器可以傳遞到備份數據庫服務器中,保證兩個服務器中的數據一致。
這種熱備份方式實際上是一種實時備份,兩個數據庫分別運行在不同的機器上,并且每個數據庫都寫到不同的數據設備中。
邏輯備份就是將某個數據庫的記錄讀出并將其寫入到一個文件中,這是經常使用的一種備份方式。MS-SQL和Oracle等都提供Export/Import工具來用于數據庫的邏輯備份。
③數據備份的層次
從備份的層次上劃分,可分為硬件冗余和軟件備份。目前的硬件冗余技術有雙機容錯、磁盤雙工、磁盤陣列(RAID)與磁盤鏡像等多種形式。
硬件冗余也有它的不足,一是不能解決因病毒或人為誤操作引起的數據丟失以及系統癱瘓等災難;其次是如果錯誤數據也寫入備份磁盤,硬件冗余也會無能為力。
理想的備份系統應使用硬件容錯來防止硬件障礙,使用軟件備份和硬件容錯相結合的方式來解決軟件故障或人為誤操作造成的數據丟失。
從備份地點來劃分還可分為本地備份和異地備份。
此外,在計算機網絡系統中,還要注意區分數據備份與服務器容錯的不同含義。
④服務器容錯
高可用性系統的主要功能是保證在計算機系統的軟硬件出現單點故障時,通過集群軟件實現業務的正常切換,保證業務不間斷、不停頓。
高可用性系統是一組通過高速網絡連接的計算機集合,通過高可用集群軟件相互協作,作為一個整體對外提供服務。
在集群中的每臺服務器都分別運行后臺檢測進程和控制進程,定時收集磁盤、網絡、串口等信息,當檢測進程發現集群中某臺服務器出現故障后,將對這臺故障服務器進行接管處理,接管后IP地址動態切換,并由集群中的正常服務器自動啟動故障服務器的應用程序和數據庫,保證系統和應用服務不間斷。
高可用性系統通過多個服務器的相互備份實現了服務器單點故障時業務的正常進行,例如服務機的雙網卡或者多網卡,以及RAID冗余磁盤陣列等。
由于集群系統在計算上的內在關聯性,決定了節點之間的數據交換量較大,特別當集群內節點數增加到幾十乃至幾百時,內部網絡傳輸數據的速率是整個系統計算速度的瓶頸。較高的傳輸帶寬和盡量低的傳輸延時是高可用系統所追求的主要目標。
⑤網絡備份
傳統的單機備份,備份設備連接到服務器,所以服務器負擔重,備份操作安全性差。當服務器采用雙機或集群時,備份設備只能通過其中的一臺服務器進行備份。
當網絡中業務主機較多,并且需要實施備份操作的系統平臺和數據庫版本不同時,通過網絡備份服務器對局域網中的不同業務主機數據進行備份就是一個最佳的選擇。
網絡備份是通過在網絡備份服務器上安裝備份服務器端軟件,在需要進行數據備份的業務主機上安裝網絡備份客戶端軟件,客戶端軟件將備份的數據通過網絡傳到備份服務器進行備份。
網絡備份使每臺服務器負擔減輕,備份操作安全性高,而且可通過一臺網絡備份服務器可備份多臺業務主機和服務器。
網絡備份可通過網絡備份軟件跨平臺實時備份正在使用數據庫和文件,支持多服務器環境平行作業備份操作。
通過網絡備份軟件也可以很好對備份介質進行管理,實現全自動備份和恢復,可實現定時備份,并支持完全備份、增量備份、差量備份等多種備份策略。
網絡備份為局域網中的數據備份提供了高效的備份管理手段。
網絡備份技術在具有自身優勢的同時缺點也十分明顯,它占用大量網絡資源,也占用一定的主機資源,同時備份時間較長。更加高效的備份技術SAN(Storage Area Network)解決了這些問題。
存儲區域網SAN是一種采用了光纖接口將磁盤陣列和前端服務器連接起來的高速專用子網。
SAN結構允許服務器連接任何存儲設備,即 SAN將多個存儲設備通過光交換網絡與服務器互聯,使存儲系統有更好的可靠性和擴展性。
SAN減少了對局域網網絡資源的占用,改善了數據傳輸性能;改善了數據訪問途徑和訪問速度,服務器可以通過光纖網絡高速、遠距離的訪問共享存儲設備。
管理人員也可以集中管理存儲系統,強化備份和恢復策略,提高整個系統的效率。
同時,通過光纖交換機和集線器,存儲設備可以無限擴展,主機節點的增加和替換可以最小限度的減少對系統的影響。
SAN結構以一種共享存儲系統的方式支持異構服務器的集群,保證了系統的高可用性。
它支持所有服務器和存儲設備的硬件互聯,服務器增加存儲容量變得非常簡單。
⑥歸檔和分級存儲管理
歸檔和分級存儲管理是與網絡備份不同的另一種數據備份技術。它可用來解決網絡上的數據不斷增長,造成數據量過大,計算機存儲空間無法滿足數據庫存儲需求的情況。
歸檔是指將數據拷貝或者打包存放,以便能長時間進行保存。歸檔的主要作用是長期保存數據,將有價值的數據安全地保存較長的時間。
文件歸檔可以通過文檔服務器對重要文檔進行統一備份管理。普通信息數據一般通過數據壓縮工具進行壓縮,然后定期拷貝后存儲下來。
另一種常用的歸檔方法是使用備份系統,將關鍵數據備份到可移動介質中存放。
分級存儲管理是一種對用戶和管理員而言都透明的、提供歸檔功能的自動化備份系統。
分級存儲管理與歸檔的區別,在于它把數據進行了遷移,而不是純粹復制拷貝。
分級存儲管理系統選擇將文件進行遷移,然后將文件拷貝到存儲介質中,當文件被正確的拷貝后,一個與原文件具有相同名字的標志文件被創建,但它只占用比原文件小得多的磁盤空間。
當用戶想訪問這個標志文件時,分級存儲管理介入進來,將原始數據從正確的存儲介質中恢復過來。
分級存儲管理主要用于當數據變得越來越陳舊時,陳舊的數據將從計算機的存儲介質中轉移到另一種存儲介質中存放,以節省原計算機系統中有限的存儲空間。
數據備份系統和高可用性系統可以避免由于軟硬件故障、人為操作失誤和病毒造成的數據完整性、可用性的破壞。但是,當計算機系統遭受如地震、火災和恐怖襲擊時,上述技術仍然無法解決。
這時,就要靠數據容災系統保護數據的完整可用性。數據容災系統主要原理是在遠程建立一套和本地計算機系統功能相同的計算機系統,當本地計算機系統受到意外災難后,在遠程仍然保存了完整的數據。
數據容災系統除了在本地包含高可用性系統和數據備份系統之外,還包括數據遠程復制系統和遠程高可用性系統。數據遠程復制系統主要保證本地數據中心和遠程備份數據中心的數據一致性,數據遠程復制一般通過軟件數據復制和硬件數據復制技術實現,具體復制方式主要包括同步方式和異步方式實現。
遠程高可用性系統主要保證本地發生災難后,業務及時切換到遠程備份系統,它基于本地高可用性系統之上,實現遠程故障的診斷、分類,并及時采取相應的故障接管措施。
當發生數據故障或者系統失效時,需要利用已備份的數據或其它手段,及時對原系統進行恢復,以保證數據安全性以及業務的連續性。對于一個計算機業務系統,所有引起系統非正常宕機的事故,都可以成為災難。
當無法預計的各種事故或災難導致數據丟失時,及時采取災難恢復措施,可以將企業或組織的損失降低到最低。一般災難發生時,留給系統管理員的恢復時間往往相當短。但現有的備份措施沒有任何一種能夠使系統從大的災難中迅速恢復過來。
通常情況下,系統管理員想要恢復系統至少需要下列幾個步驟:①恢復硬件;②重新裝入操作系統;③設置操作系統(驅動程序設置,系統,用戶設置);④重新裝入應用程序,進行系統設置;⑤用最新的備份恢復系統設置。
系統備份與普通數據備份的不同在于,它不僅僅備份系統中的數據,還備份系統中安裝的應用程序、數據庫系統、用戶設置、系統參數等信息,以便需要時迅速恢復整個系統。
系統備份方案中必須包含災難恢復措施,災難恢復同普通數據恢復的最大區別在于:在整個系統都失效時,用災難恢復措施能夠迅速恢復系統而不必重裝系統。
需要注意的是,備份不等于單純的復制,因為系統的重要信息無法用復制的方式備份下來,而且管理也是備份的重要組成部分。
管理包括自動備份計劃、歷史記錄保存、日志管理、報表生成等,沒有管理功能的備份,不能算是真正意義上的備份,因為單純的拷貝并不能減輕繁重的備份任務。
數據備份與災難恢復密不可分,數據備份是災難恢復的前提和基礎,而災難恢復時在此基礎之上的具體應用。
災難恢復的目標與計劃決定了所需要采取的數據備份策略。而與數據備份策略有緊密的聯系。
在網絡環境中,系統和應用程序安裝起來并不是那么簡單,系統管理員必須找出所有的安裝盤和原來的安裝記錄進行安裝,然后重新設置各種參數、用戶信息、權限 等等,這個過程可能要持續好幾天。
因此,最有效的方法是對整個網絡系統進行備 份。這樣,無論系統遇到多大的災難,都能夠應付自如。
為保證數據的完整性和可用性,常采用備份、歸檔、分級存儲、鏡像、RAID以及遠程容災等技術實現對數據的安全保障。
4. 信息系統災備技術
信息系統災備是指信息系統的災難備份與恢復,包括災難前的備份與災難后的恢復兩層含義。
災難備份是指利用技術、管理手段以及相關資源確保關鍵數據、關鍵數據處理系統和關鍵業務在災難發生后可以恢復的過程。
信息化發展的趨勢也是我們要建設以及確定今后災備方向的一個重要因素。
現在信息的重要性,已經遠遠超過了系統設備本身,信息系統的信息量增長非常驚人,信息有效的保存已經成為一個很嚴峻的問題。
在信息領域,在被系統可以理解為是以存儲系統作為基本支持系統、以網絡作為基本傳輸手段、以容錯軟/硬件技術為直接技術手段、以管理技術為重要輔助手段的綜合系統。
一般情況下,信息系統災難發生的原因有三種,分別是自然災難、人為災難和技術災難。
自然災難所產生的直接后果就是本地數據信息難以獲取或保全、本地系統難以在短時間內恢復或重建、災難對信息系 統的影響和范圍難以控制。
人為災難的后果丟失或泄漏重要數據信息、性能降低乃至喪失系統服務功能、軟件系統崩潰或者硬件設備損壞。
技術災難的后果是造成信息、數據的損害或丟失。
災難備份系統的目的就是通過建立遠程備用數據處理中心,將生產中心數據實時或非實時地復制到備份中心。
災備有哪些核心技術?災備核心技術主要包括存儲技術、信息系統評估和系統重構技術、信息安全技術和系統管理技術。
災備存儲技術主要包括:虛擬化存儲技術、多存儲版本的管理、刪除重復數據技術、集群并行存儲技術、高效能存儲技術等。
災備體系結構技術其核心包括容錯系統結構、數據恢復技術、系統恢復技術、業務連續性服務。
災備信息安全技術主要用于保障數據在存儲與傳輸過程中的安全性問題、網絡系統的可靠和安全連接問題、計算機系統的安全性問題、使用用戶的身份安全問題和系統操作的不可抵賴性問題等。
其核心包括:數據安全性技術、網絡安全技術、系統安全技術、身份安全技術、安全審計技術。
災備系統管理技術是災備的關鍵支撐技術,包括內容:數據信息管理、災難應急管理、系統恢復管理、災難影響評估與決策支持。
災備技術未來發展方向,從圍繞著數據存儲向圍繞著應用服務轉變,存儲技術由集中式向分布式、虛擬化發展,從孤立專用系統向綜合服務系統轉變;
圍繞服務的災備技術發展方向,保障業務連續性方向發展,要求數據完整而可用、系統快速重建、應用快速部署;
新型容災體系結構研究;災備存儲未來方向包括虛擬化災備存儲技術、重復數據刪除與壓縮技術、分布式災備存儲技術;
災備綜合服務系統建設,即建立第三方中立機構形式的外包災備系統,重點解決的問題包括:
公信力問題、數據的安全性、維護的便捷性、可擴展性、可共享性等。
我是木子雨辰,一位信息安全領域從業者,@木子雨辰將一直帶給大家信息安全知識,每天兩篇安全知識、由淺至深、采用體系化結構逐步分享,大家有什么建議和問題,可以及留言,多謝大家點擊關注、轉發、評論,謝謝大家。
大家如果有需要了解安全知識內容需求的可以留言,溝通,愿與大家攜手前行。
1.入侵檢測系統的分類
(1) 按實現技術劃分
如果將所有與正常行為的軌跡不同的系統行為都視為可疑的入侵企圖時(例如,通過流量統計分析發現異常的網絡流量),這時的發現技術稱為異常發現技術;
如果所有的入侵手段及其行為軌跡都可以用模式或特征加以描述時,那么,與正常行為模式不相匹配的行為均視為可疑的入侵行為,這樣的發現技術稱為模式發現技術。
異常發現技術的局限是并非所有的入侵都表現為異常,而且系統的軌跡也難于計算和更新。
模式發現技術的優點是誤報少,但它的局限是只能發現已知的入侵,對未知的入侵無能為力。
(2) 按數據來源劃分
如果按照IDS的數據來源范圍來劃分,IDS分為3類:基于主機的IDS(Host IDS,HIDS)、基于網絡的IDS(Network IDS,NIDS)和分布式IDS(Distributed IDS,DIDS)。
1)基于主機的入侵檢測系統
HIDS通常是安裝在被重點檢測的主機之上,主要是對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統計規律),IDS就會采取相應措施。
HIDS使用驗證記錄,并發展了精密的可迅速做出響應的檢測技術。通常,HIDS可監探系統、事件和WindowNT下的安全記錄以及UNIX環境下的系統記錄。當有文件發生變化,IDS將新的記錄條目與攻擊標記相比較,看是否匹配。如果匹配,系統就會向管理員報警并向別的目標報告,以采取措施。
HIDS在發展過程中融入了其它技術。對關鍵系統文件和可執行文件的入侵檢測的一個常用方法,是通過定期檢查校驗和來進行的,以便發現意外的變化。
反應的快慢與輪詢間隔的頻率有直接關系。最后,許多系統都是監聽端口的活動,并在特定端口被訪問時向管理員報警。這類檢測方法將基于網絡的入侵檢測的基本方法融入到基于主機的檢測環境中。
盡管HIDS不如NIDS快捷,但它確實具有基于網絡的系統無法比擬的優點。這些優點包括:更好的辨識分析、對特殊主機事件的緊密關注及低廉的成本。
HIDS優點包括:
①確定攻擊是否成功。由于基于HIDS使用含有已發生事件信息,它們可以比NIDS更加準確地判斷攻擊是否成功。在這方面,HIDS是NIDS完美補充,網絡部分可以盡早提供警告,主機部分可以確定攻擊成功與否。
②監視特定的系統活動。HIDS監視用戶和訪問文件的活動,包括文件訪問、改變文件權限,試圖建立新的可執行文件并且/或者試圖訪問特殊的設備。
例如,HIDS可以監督所有用戶的登錄及上網情況,以及每位用戶在聯結到網絡以后的行為,對于NIDS要做到這個程度是非常困難的;
HIDS可監視只有管理員才能實施的非正常行為,操作系統記錄了任何有關用戶帳號的增加,刪除、更改的情況,只要改動一且發生,HIDS就能檢察測到這種不適當的改動;
HIDS可以監視主要系統文件和可執行文件的改變,系統能夠查出那些欲改寫重要系統文件或者安裝特洛伊木馬或后門的嘗試并將它們中斷,而NIDS有時會查不到這些行為。
③能夠檢查到NIDS檢查不出的攻擊。HIDS可以檢測到那些NIDS察覺不到的攻擊。例如,來自主要服務器鍵盤的攻擊不經過網絡,所以可以躲開NIDS。
④適用被加密的和交換的環境。
交換設備將大型網絡分成許多小型網絡加以管理,從覆蓋足夠大的網絡范圍的角度出發,很難確定配置NIDS的最佳位置,業務映射和交換機上的管理端口有助于此,但這些技術并不適用。
HIDS可安裝在所需的重要主機上,在交換的環境中具有更高的能見度。
某些加密方式也向NIDS發出了挑戰。由于加密方式位于協議堆棧內,所以NIDS可能對某些攻擊沒有反應,HIDS沒有這方面的限制,當操作系統及HIDS看到即將到來的業務時,數據流已經被解密了。
⑤近于實時的檢測和響應。
盡管HIDS不能提供真正實時的反應,但如果應用正確,反應速度可以非常接近實時。
老式系統利用一個進程在預先定義的間隔內檢查登記文件的狀態和內容,與老式系統不同,當前HIDS的中斷指令,這種新的記錄可被立即處理,顯著減少了從攻擊驗證到作出響應的時間,在從操作系統作出記錄到HIDS得到辨識結果之間的這段時間是一段延遲,但大多數情況下,在破壞發生之前,系統就能發現入侵者,并中止他的攻擊。
⑥不要求額外的硬件設備。HIDS存在于現行網絡結構之中,包括文件服務器,Web服務器及其它共享資源,這使得HIDS效率很高。因為它們不需要在網絡上另外安裝硬件設備。
⑦記錄花費更加低廉。NIDS比HIDS要昂貴的多。
HIDS弱點包括:
①主機IDS安裝在我們需要保護的設備上,如當一個數據庫服務器要保護時,就要在服務器本身上安裝IDS。
這會降低應用系統的效率。此外,它也會帶來一些額外的安全問題,安裝了HIDS后,將本不允許安全管理員有權力訪問的服務器變成他可以訪問的了。
②HIDS依賴于服務器固有的日志與監視能力。如果服務器沒有配置日志功能,則必需重新配置,這將會給運行中的業務系統帶來不可預見的性能影響。
③全面布署HIDS代價較大,企業中很難將所有主機用HIDS保護,只能選擇部分主機保護。那些未安裝HIDS的機器將成為保護的盲點,入侵者可利用這些機器達到攻擊目標。
④HIDS除了監測自身的主機以外,根本不監測網絡上的情況。對入侵行為的分析的工作量將隨著主機數目增加而增加。
2)基于網絡的入侵檢測系統
NIDS,通過對網絡中傳輸的數據包進行分析,從而發現可能的惡意攻擊企圖。一個典型的例子是在不同的端口檢查大量的TCP連接請求,以此發現TCP端口掃描的攻擊企圖。
NIDS既可以運行在僅僅監視自己的端口的豐機上,也可以運行絡在監視整個網絡狀態的處于混雜模式的sniffer主機上。
目前,大部分入侵檢測的產品是基于網絡的,有多個開放濾代碼軟件,如snort、NFR、shadow等,其中snort最著名,其研發進展和更新速度均超過大部分同類產品。
由于NIDS不像路由器、防火墻等關鍵設備方式工作,它不會成為系統中的關鍵路徑。NIDS發生故障不會影響正常業務的運行。
NIDS只檢查它直接連接的網段通信狀態、不檢測其它網段的數據包。在交換式以太網中會出現監視范圍的局限。NIDS通常采用特征檢測手段,對一些復雜的計算與分析的攻擊較難檢測到。
NIDS使用原始網絡包作為數據源。NIDS通常利用一個運行在隨機模式下的網絡適配器來實時監視并分析通過網絡的所有通信業務。
它的攻擊辨識模塊通常使用四種常用技術來識別攻擊標志:模式、表達式或字節匹配;頻率或穿越閥值;低級事件的相關性;統計學意義上的非常規現象檢測。一旦檢測到了攻擊行為,IDS的響應模塊就提供多種選項以通知、報警并對攻擊采取相應的反應。
反應因系統而異,通常都包括通知管理員、中斷連接并且/或為法庭分析和證據收集而做的會話記錄。
NIDS已經成為安全策略實施的重要組件,它有許多僅靠HIDS無法提供的優點。
① 擁有成本較低。
NIDS可在幾個關鍵訪問點上進行策略配置,以觀察發往多個系統的網絡通信。所以它不要求在許多主機上裝載并管理軟件。由于需監測的點較少,因此對于一個公司的環境來說,擁有成本很低。
②檢測HIDS漏掉的攻擊。
NIDS檢查所有包的頭部從而發現惡意的和可疑的行動跡象。
HIDS無法查看包的頭部,所以它無法檢測到這一類型的攻擊。例如,許多來自于IP地址的拒絕服務型和碎片型攻擊只能在它們經過網絡時,都可以在NIDS中通過實時監測包流而被發現。
NIDS可以檢查有效負載的內容,查找用于特定攻擊的指令或語法。
例如,通過檢查數據包有效負載可以查到黑客軟件,而使正在尋找系統漏洞的攻擊者毫無察覺。由于HIDS不檢查有效負載,所以不能辨認有效負載中所包含的攻擊信息。
③攻擊者不易轉移證據。
NIDS使用正在發生的網絡通訊進行實時攻擊的檢測,所以攻擊者無法轉移證據。
被捕獲的數據不僅包括攻擊的方法,還包括可識別的入侵者身份及對其進行起訴的信息。許多入侵者都熟知審計記錄,他們知道如何操縱這些文件掩蓋他們的入侵痕跡,來阻止需要這些信息的HIDS去檢測入侵。
④實時檢測和響應。
NIDS可以在惡意及可疑的攻擊發生的同時將其檢測出來,并做出更快的通知和響應。
例如,一個基于TCP的對網絡進行的拒絕服務攻擊可以通過將NIDS發出TCP復位信號,在該攻擊對目標主機造成破壞前,將其中斷。
而HIDS只有在可疑的登錄信息被記錄下來以后才能識別攻擊并做出反應。而這時關鍵系統可能早就遭到了破壞,或是運行HIDS的系統已被摧毀。
⑤檢測未成功的攻擊和不良意圖。
NIDS增加了許多有價值的數據,以判別不良意圖。
即便防火墻可以正在拒絕這些嘗試,位于防火墻之外的NIDS可以查出躲在防火墻后的攻擊意圖。
HIDS無法查到從未攻擊到防火墻內主機的未遂攻擊,而這些丟失的信息對于評估和優化安全策略是至關重要。
⑥操作系統無關性。
NIDS作為安全監測資源,與主機的操作系統無關。
與之相比,HIDS必須在特定的、沒有遭到破壞的操作系統中才能正常工作,生成有用的結果。
NIDS有向專門的設備發展的趨勢,安裝這樣的一個NIDS非常方便,只需將定制的設備接上電源,做很少一些配置,將其連到網絡上即可。
NIDS有如下的弱點:
①NIDS只檢查它直接連接網段的通信,不能檢測在不同網段的網絡包。在使用交換以太網的環境中就會出現監測范圍的局限。而安裝多臺NIDS的傳感器會使布署整個系統的成本大大增加。
②NIDS為了性能目標通常采用特征檢測的方法,它可以檢測出普通的一些攻擊,而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。
③NIDS可能會將大量的數據傳回分析系統中。在一些系統中監聽特定的數據包會產生大量的分析數據流量。一些系統在實現時采用一定方法來減少回傳的數據量,對入侵判斷的決策由傳感器實現,而中央控制臺成為狀態顯示與通信中心,不再作為入侵行為分析器。這樣的系統中的傳感器協同工作能力較弱。
④NIDS處理加密的會話過程較困難,目前通過加密通道的攻擊尚不多,但隨著IPv6的普及,這個問題會越來越突出。
3)分布式入侵檢測系統
目前這種技術在ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源于網絡中的數據包,不同的是,它采用分布式檢測、集中管理的方法。
即在每個網段安裝一個黑匣子,該黑匣子相當于NIDS,只是沒有用戶操作界面。
黑匣子用來監測其所在網段上的數據流,它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網絡數據,同時向集中安全管理中心發回安全事件信息。
集中安全管理中心是整個DIDS面向用戶的界面。它的特點是對數據保護的范圍比較大,但對網絡流量有一定的影響。
2.入侵監測系統的部署
攻擊檢測系統中事件產生器所收集信息的來源可以是主機、網絡和其他安全產品。
如果信息源僅為單個主機,則這種攻擊檢測系統往往直接運行于被保護的主機之上;
如果信息源來自多個主機或其他地方,則這種攻擊檢測系統一般由多個傳感器和一個控制臺組成,其中傳感器負責對信息進行收集和初步分析,控制臺負責綜合分析、攻擊響應和傳感器控制。
圖5-26為一典型的“傳感器-控制臺”結構的攻擊檢測系統的部署方案。
Snort是一款用C語言開發的開放源代碼(http://www.snort.org)的跨平臺網絡入侵檢測系統,能夠方便地安裝和配置在網絡的任何一個節點上。
Snort有三種工作模式:嗅探器、數據包記錄器、網絡入侵檢測。嗅探器模式僅僅是從網絡上讀取數據包并作為連續不斷的流顯示在終端上。
數據包記錄器模式把數據包記錄到硬盤上。網絡入侵檢測模式是最復雜的,但也是可配置的。
Snort使用基于規則的模式匹配技術來實現入侵檢測功能,其規則文件是一個ASCII文本文件,可以用常用的文本編輯器對其進行編輯。
為了能夠快速、準確地進行檢測,Snort將檢測規則采用鏈表的形式進行組織。Snort的發現和分析能力取決于規則庫的容量和更新頻率。
在共享HUB下的任一臺計算機都能接收到本網段的所有數據包,這需要將網卡的工作模式設置為混雜模式,使之可以接收目標地址不是自己的MAC地址的數據包。
在UNIX系統中可以用Libpcap包捕獲的函數庫直接與內核驅動交互操作,實現對網絡數據包的捕獲。在Win32平臺上可以使用Winpcap,通過VxD虛擬設備驅動程序實現網絡數據捕獲的功能。
在交換HUB下的計算機只能接收發往自己的數據包和廣播包,交換HUB下數據包的捕獲需要在HUB處通過鏡像方法實現。
我是木子雨辰,一位信息安全領域從業者,@木子雨辰將一直帶給大家信息安全知識,每天兩篇安全知識、由淺至深、采用體系化結構逐步分享,大家有什么建議和問題,可以及留言,多謝大家點擊關注、轉發、評論,謝謝大家。
大家如果有需要了解安全知識內容需求的可以留言,溝通,愿與大家攜手前行。