第七章 入侵检测技术



            流量。这意味着 HIDS 签名仍然能够对抗常见的攻击，并且不会被加密所蒙蔽。
            HIDS 还能够执行只有安装在主机上的 IDS 软件才能执行的附加系统级检查，例
            如文件完整性检查、注册表监控、日志分析、rootkit 检测和主动响应。
                 基于网络的入侵检测：基于网络的 IDS（NIDS）与 HIDS 的不同之处在于它
            通常是沿着一条局域网线路放置的。它通过分析流量试图发现未经授权和恶意访

            问一个局域网穿越有线到多个主机的行为。检测恶意流量通常以读取进出数据包
            并搜索任何可疑模式的方法进行，当然这里还有许多的检测算法。NIDS 生成的
            任何警报都允许它通知管理员或采取诸如拦截源 IP 地址之类的活动。NIDS 最常

            见的三个放置方法一是直接连接到一个共享冲突域的集线器（HUB），二是使用
            一个网络分流器，三是内联连接。由于缺乏安全保障，很少有现代网络使用集线
            器（HUB）。在如今的网络拓扑中，已经很难找到以前的 HUB 式的共享介质冲
            突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，
            IDS 在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护

            资源的位置。这些位置通常是：服务器区域的交换机上；Internet 接入路由器之
            后的第一台交换机上。当 IDS 连接到交换机端口时，当交换机正忙于处理大量流
            量时，数据包容易丢失。如果没有 IDS 的网络嗅探协议捕获，错过的流量可能会

            永远丢失。另外，IDS 使用内联网络连接主机时，由于内联网络的特性，特殊情
            况下可能会导致网络拥塞。尽管 NIDS 是一个强大的网络流量监控系统，但它也
            有几个缺点。常见的网络攻击技术，如分段攻击、会话剪接，甚至拒绝服务攻击
            都可以用来绕过网络攻击，使其失效。如果主机之间的通信被加密，被动网关就
            不能解密传输中的消息。

                 依据分析方法可以划分为以下两类：
                 基于签名的入侵检测：基于签名的入侵检测也可以称为基于知识的检测或
            误用检测，在基于签名的方法中，IDS 寻找数据包并将它们与数据库中定义的预

            先定制的规则或称为签名的模式进行匹配，而这些攻击特征都是通过基于已知侵
            入活动的特定流量或活动进行的。这种技术的主要优点是简单有效地处理审计数
            据和基于签名的方法具有较低的误报率。另一方面，基于特征的检测的本质意味
            着这种方法对于零日（0-Day）攻击是无效的，对于这种攻击可能还没有一个已
            发现的规则或已建立的攻击模式。随着时间的迁移，新的攻击和恶意行为的不断

            产生，而此时基于签名的 IDS 只能取决于它近期的历史签名数据库和规则集。


                                                                                    193
                                                                                    193