入侵偵測系統 IDS 是 Intrusion Detection System 的簡稱,它是一種是一種監控工具,監控網路封包與系統日誌內容,或者是分析主機內的檔案是否遭到竄改,當發現可疑的活動,IDS可依照設定通知系統安全管理員。
入侵偵測系統IDS依偵測類型可分為網路型入侵偵測系統(Network-based Intrusion Detection System,簡稱為 NIDS)及主機型入侵偵測系統(Host-based Intrusion Detection System,簡稱為 HIDS)兩種類型。今天針對HIDS做一個簡單的介紹。
HIDS是從主機系統稽核日誌檔演進而來。傳統的作法是,系統管理人員在每天的空閒時間,在日誌檔中檢查是否有任何可疑的非法行為。
可以參考
但這種方式不僅耗時費力更是沒有效率,而且無法即時的偵測出潛在的惡意活動。透過安裝HIDS後,執行監控的工作就完全交給HIDS來負責就好,從此自動化的監控,在也不必人工介入去分析,而HIDS的運作方式只要在Cleint端每一台主機上安裝一個代理程式﹙Agent﹚,常駐在系統之中,若有任何系統事件﹙Event﹚被記錄至日誌檔,代理程式便會立即將系統事件與攻擊特徵碼資料庫做比對,有些HIDS能夠監控應用程式的日誌檔,甚至檢查系統的檔案是否遭更改過,簡單的來說HIDS會記錄監控中的檔案或目錄,他們的屬性(如權限、大小、修改時間等),並將會建立一個校驗碼(如SHA1或MD5 等..)。這個校驗碼的資料會儲存在一個安全的資料庫中,以便將來的比對。
HIDS佈署範例
主機型入侵偵測系統HIDS的優點
- 確認駭客是否成功入侵
- 監控特定主機系統的活動
- 即時性的偵測
- 不需額外增加硬體設備
主機型入侵偵測系統HIDS的缺點
- 所有的主機可能安裝不同的作業平台,這些作業系統各有不同的稽核紀錄檔,因此必須針對不同主機安裝各種HIDS。
- HIDS不能用來監測與掃描主機所在的整個網域,因為HIDS僅能看到經由該主機所接收到的網路封包資訊。
- 當HIDS在監測狀態時會消耗被監測主機的系統資源,可能會影響該主機本身的效能。
HIDS 通常會針對檔案或程式,做完整性的檢查,這類檢查,通常不用知道一個檔案是如何被改變的,只需要知道被改變即可,實際上應用,可以搭配Web Server,當發現檔案被改掉時,馬上進行覆蓋還源,就不會在網頁上被駭客植入不雅的文字。
Chris近期也會寫一篇使用FCIV自製的簡易型HIDS工具,當未來如檔案被非法異動過,完整性資訊遭到破壞,透過自製工具希望可以達到:
- 系統將會自動備份駭客異動的檔案,以利未來的分析
- 自動回復乾淨的程式
- E-Mail通知系統管理者
沒有留言:
張貼留言