物联网安全:入侵检测
入侵检测是网络安全的重要组成部分。根据信息的来源可将入侵检测系统分为基于网络的入侵检测系统和基于主机的入侵检测系统。目前采用的入侵检测技术主要有异常检测和误用检测两种,同时科技人员正在研究一些新的入侵检测技术,例如,基于免疫系统的检测方法、遗传算法和基于内核系统的检测方法等。 一、入侵检测的概念
入侵检测(Intrusion Detection)的概念首先是由詹姆斯·安德森(James Anderson)于1980年提出来的。入侵是指在信息系统中进行非授权的访问或活动,不仅指非系统用户非授权登录系统和使用系统资源,还包括系统内的用户滥用权利对系统造成的破坏,如非法盗用他人的账户、非法获得系统管理员权限、修改或删除系统文件等。
入侵检测可以被定义为识别出正在发生的入侵企图或已经发生的入侵活动的过程。入侵检测包含两层意思:一是对外部入侵(非授权使用)行为的检测;二是对内部用户(合法用户)滥用自身权利的检测。
入侵检测的内容包括:试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户账户信息的泄露、独占资源以及恶意使用。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象并且对其做出
反应。入侵检测系统的有些反应是自动的,如(通过控制台或电子邮件)通知网络安全管理员,中止入侵进程,关闭系统,断开与互联网的连接,使该用户无效,执行一个准备好的命令等。
入侵检测被认为是防火墙之后的第二道安全闸门,提供对内部攻击、外部攻击和误操作的实时防护。这些防护都通过它执行以下任务来实现: 1、监视、分析用户及系统活动,查找非法用户和合法用户的越权操作; 2、审计系统构造和弱点,并提示管理员修补漏洞;
3、识别反映已知进攻的活动模式并向相关人士报警,实时对检测到的入侵行为进行反应;
4、统计分析异常行为模式,发现入侵行为的规律;
5、评估重要系统和数据文件的完整性,如计算和比较文件系统的校验和; 6、审计跟踪管理操作系统,并识别用户违反安全策略的行为。 二、入侵检测系统
图1描述了一个入侵检测系统中的各部分之间的关系。
图1 入侵检测系统
数据源为入侵检测系统提供最初的数据来源,入侵检测系统利用这些数据来检测入侵。数据源包括网络包、审计日志、系统日志和应用程序日志等。
探测器从数据源中提取出与安全相关的数据和活动,如不希望的网络连接(Telnet)或系统日志中用户的越权访问等,并将这些数据传送给分析器做进一步分析。
分析器的职责是对探测器传来的数据进行分析,如果发现未授权或不期望的活动,就产生警报并将其报告给管理器。
管理器是入侵检测系统的管理部件,其主要功能有配置探测器、分析器,通知操作员发生了入侵,采取应对措施等。管理器接收到分析器的警报后,便通知操作员并向其报告情况,通知的方式有声音、E-mail、SNMP Trap等。同时管理器还可以主动采取应对措施,如结束进程、切断连接、改变文件和网络的访问权等。操作员利用管理器来管理入侵检测系统,并根据管理器的报告采取进一步的措施。
管理员是网络和信息系统的管理者,负责制定安全策略和部署入侵检测系统。
安全策略是预先定义的一些规则,这些规则规定了网络中哪些活动可以允许发生或者外部的哪些主机可以访问内部的网络等。安全策略通过被应用到探测器、分析器和管理器上来发挥作用。
依据不同的标准,可以将入侵检测系统划分成不同的类别。可以依照检测方法、对入侵的响应方式和信息的来源等不同的标准来划分入侵检测系
物联网安全:入侵检测
