简介
在众多的入侵检测系统(IDS)中,采用的网络入侵防范方法有很大的区别。因此,IDS市场上的许多厂商都疑惑,到底哪种才是最好的方法和解决方案。本文将讨论各种入侵检测方法的优缺点,并说明思科为IDS产品使用的方法。本文讨论的检测技术包括简单样式匹配、状态样式匹配、基于协议解码的签名、启发式签名和异常检测。但是,本文并没有详细说明每种方法,只介绍了这些方法的基本概念以及各种方法之间的区别。
在本文中,“签名”指一组条件,如果满足这组条件的话,就表明是某种类型的入侵活动。签名所使用的算法可能是本文介绍的五种方法之一(例如“异常检测签名”)。说明这一点很重要,因为“签名”一词经常与样式匹配相关。事实上,这个概念很可能引起误解,让读者以为基于签名的IDS仅限于样式匹配。上述定义的目的就是排除这种误解。
样式匹配
样式匹配的概念是查找单个分组中顺序固定的字节。顾名思义,这种方法不够灵活,但易于使用。在多数情况下,只有某项服务过程中发现可疑分组,或者更准确地说,只有可疑分组来往于某个端口,才会执行样式匹配。这种方式虽然能减轻对每个分组的检查工作量,但它使系统难以处理未驻留在精心设计的端口上的协议,例如通常可以随意移动的“特洛伊马”及其相关流量。
使用简单样式匹配方法的签名的结构如下:
如果分组是IPv4和TCP,目标端口是2222,且负载包含字串“foo”,则发出警报。
当然,这个例子非常简单,不过,它的变形也并不难。例如,用户可以在分组中包含特定的检查起点和终点,也可以为即将考虑的分组确定TCP标记。总之,这种技术是最简单、最基本的入侵检测模块。
优点:
· 是检测入侵的最简单的方法
· 这种方法可以将利用与样式直接关联,针对性强
· 这种方法能够对定义的样式发出可靠的警报
· 这种方法可以对所有协议适用
缺点:
· 如果样式不象签名编写者假定的那么独特,这种方法会出现高错误指示率
· 对袭击作少量修改就可以躲过检测(错误漏报)
· 可能需要多个签名才能防范一个易损点,多种工具会导致多个签名
· 这种方法通常仅限于检查单个分组,不适用于基于流的网络流量,例如HTTP流量,因而使入侵技术易于实施
