黑客作者必读资料2(2/17)
够根据以前保存的数据重建过去发生的重要安全事件。
2.数据处理的粒度:有些系统采用了连续处理的方式,而另一些系统则在特定的时间间隔内对数据进行批处理操作,这就涉及到处理粒度的问题。它跟检测时间有一定关系,但二
者并不完全一样,一个系统可能在相当长的时延内进行连续数据处理,也可以实时地处理少量的批处理数据。
3.审计数据来源:主要有两种来源:网络数据和基于主机的安全日志文件。后者包括操作系统的内核日志、应用程序日志、网络设备(如路由器和防火墙)日志等。
4.入侵检测响应方式:分为主动响应和被动响应。被动响应型系统只会发出告警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击
者采取反击行动。主动响应系统可以分为两类:
(1)对被攻击系统实施控制。它通过调整被攻击系统的状态,阻止或减轻攻击影响,例如断开网络连接、增加安全日志、杀死可疑进程等。
(2)对攻击系统实施控制的系统。这种系统多被军方所重视和采用。
目前,主动响应系统还比较少,即使做出主动响应,一般也都是断开可疑攻击的网络连接,或是阻塞可疑的系统调用,若失败,则终止该进程。但由于系统暴露于拒绝服务攻击
下,这种防御一般也难以实施。
5.数据收集地点:审计数据源可能来自某单一节点,也可能来自于网络中多个分布式节点。
6.数据处理地点:审计数据可以集中处理,也可以分布处理。
7.安全性:指系统本身的抗攻击能力。
8.互操作性:不同的ID运行的操作系统平台往往不一样,其数据来源、通信机制、消息格式也不尽相同,一个ID与其他ID或其他安全产品之间的互操作性是衡量其先进与否的
一个重要标志。
系统特征ID分类如表3所示。
根据体系结构分类
按照体系结构,ID可分为集中式、等级式和协作式三种,如表4所示。
1.集中式。这种结构的ID可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。但这
种结构的ID在可伸缩性、可配置性方面存在致命缺陷:第一,随着网络规模的增加,主机审计程序和服务器之间传送的数据量就会骤增,导致网络性能大大降低;第二,系统安
全性脆弱,一旦中央服务器出现故障,整个系统就会陷入瘫痪;第三,根据各个主机不同需求配置服务器也非常复杂。
2.等级式。它用来监控大型网络,定义了若干个分等级的监控区,每个ID负责一个区,每一级ID只负责所监控区的分析,然后将当地的分析结果传送给上一级ID。这种结构仍
存两个问题:首先,当网络拓扑结构改变时,区域分析结果的汇总机制也需要做相应的调整;第二,这种结构的ID最后还是要把各地收集到的结果传送到最高级的检测服务器进
行全局分析,所以系统的安全性并没有实质性的改进。
3.协作式。将中央检测服务器的任务分配给多个基于主机的ID,这些ID不分等级,各司其职,负责监控当地主机的某些活动。所以,其可伸缩性、安全性都得到了显著的提高,
但维护成本却高了很多,并且增加了所-->>