1.什么是入侵检测
入侵检测系统(IDS,Intrusion Detection System)简单的说就是监视网络流量、
数据包、数据包行为等,读取和解释路由器、防火墙、服务器和其它
网络设备的日志文件,维护特征数据库(有的是已知攻击的攻击特征库,有的是描述系统或网络正常行为的模型),并把其所监视的网络流量、行为、以及日志文件中的内容和特征库的内容作模式匹配,如果发现有内容相匹配,就发出报警信息、高级的还可根据报警信息自动做出各种响应行为,如断开网络或关闭特定的服务器、追踪入侵者、收集入侵证据等。IDS检查网络流量中的数据包内容,寻找可能的攻击行为或未经允许的访问。
一个入侵检测系统的具体实现可以基于软件,也可基于硬件或两者兼有,商业化的入侵检测系统主要是针对已知攻击类型的入侵检测,以硬件形式实现为主。
2.
网络安全模型——动态防御模型
(1)PPDR模型
PPDR(Policy Protection Detection Response)的基于思想是:以安全策略为核心,通过一致性检查、流量统计、异常分析、模式匹配以及基于应用、目标、主机、网络的入侵检查等方法进行安全漏洞检测。检测使系统从静态防护转化为动态防护,为系统快速响应提供了依据。当发现系统有异常时,根据
系统安全策略快速作出反应,从而达到保护系统安全的目的。如图1所示:
PPDR模型由四个主要部分组成:安全策略(Policy)、保护(Protection)、检测(Detection)和响应(Response)。PPDR模型是在整体的安全策略的控制和指导下,综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测系统)了解和评估系统的安全状态,通过适当的响应将系统调整到一个比较安全的状态。保护、检测和响应组成了一个完整的、动态的安全循环。
a.策略是这个模型的核心,意味着网络安全要达到的目标,决定各种措施的强度。
b.保护是安全的第一步,包括:
制定安全规章(以安全策略为基础制定安全细则);
配置系统安全(配置操作系统、安装补丁等);
采用安全措施(安装使用防火墙、VPN等);
c.检测是对上述二者的补充,通过检测发现系统或网络的异常情况,发现可能的攻击行为。
d.响应是在发现异常或攻击行为后系统自动采取的行动,目前的入侵响应措施也比较单 一,主要就是关闭端口、中断连接、中断服务等方式,研究多种入侵响应方式将是今后的发展方向之一。
(2)PDRR模型
PDRR(Protect/Detect/React/Restore)模型中,安全的概念已经从
信息安全扩展到了信息保障,信息保障内涵已超出传统的信息安全保密,是保护(Protect)、检测(Detect)、反应(React)、恢复(Restore)的有机结合,称之为 PDRR模型(如图2所示)。PDRR模型把信息的安全保护作为基础,将保护视为活动过程,要用检测手段来发现安全漏洞,及时更正;同时采用应急响应措施对付各种入侵;在系统被入侵后,要采取相应的措施将系统恢复到正常状态,这样使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力。