一、IDS种类

　　1、NIDS-基于网络的IDS

　　基于网络的入侵检测系统(Network Intrusion Detection System，NIDS)一般由两部分组成：网络流量传感器和入侵检测系统控制台。网络流量传感器一般被部署在网络中心的核心交换机或部门交换机的镜象端口(SPAN)上。在网络安全管理员的工作站上，通过入侵检测系统控制台来接收、分析网络传感器传来的日志来做报警处理。也可以将网络流量传感器和入侵检测系统控制台集成在同一台主机上同时进行检测和分析的工作。

　　优点：

　　成本较低。

　　可监测到主机级IDS监测不到的活动。

　　黑客消除入侵证据较困难。

　　可监测到未成功或恶意的入侵攻击。

　　与操作系统无关。

　　缺陷：

　　若网络的规模过大，IDS往往会丢失許多包，无法完全监控网络上所有的数据。

　　若要采集大型网络上的流量并加以分析，往往需要更有效率的CPU处理速度，以及更大的内存空間。

　　2、HIDS-基于主机的IDS

　　基于主机的入侵检测系统(Host Intrusion Detection System，HIDS)通常是安装在被重点监测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果被监视的某个对象活动十分可疑，如具有某种特征或违反日常统计基线，入侵检测系统就会采取相应措施。

　　优点：

　　可以确认黑客是否成功入侵

　　监测特定主机系统的活动

　　弥补网络级IDS错失监测的入侵事件

　　较适合有加密及交换机﹝Switch﹞的环境

　　实时(Near realtime)的监测与反应

　　不需另外增加硬件设备

　　缺陷：

　　所有的主机可能安裝不同版本或完全不同的操作系统，而这些操作系统有各种不同的审核记录，因此必須针对各不同主机安裝各种HIDS。

　　入侵者可能经由其他的系统漏洞入侵并得到系统管理员权限，那么將会导致HIDS失去其效用。

　　Host-based IDSs可能会因为denial-of-service而失去作用。

　二、IDS和其他安全工具的关系

　　1. IDS和防火墙的关系

　　防火墙是网络安全的重要工具，不过它也存在权限：

　　防火墙只能抵挡外部來的入侵行为。

　　防火墙本身可能也存在弱点，以及其他安全性的设定错误。

　　即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限。

　　防火墙仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知。

　　IDS对于防火墙的作用如下：

　　防止防火墙和操作系统与应用程序的设定不当

　　监测某些被防火墙认为是正常连接的外部入侵

　　了解和观察入侵的行为意图，并收集其入侵方式的资料

　　监测內部使用者的不当行为

　　及时阻止恶意的网络行为

　　IDS和防火墙的关系应当如下：

　　功能互补，通过合理搭配部署和联动提升网络安全级别：

　　检测来自外部和内部的入侵行为和资源滥用

　　在关键边界点进行访问控制

　　攻击检测更新迅速，实时的发现和阻断

　　二者应当相辅相成，在网络安全解决方案中承担不同的角色。如图1。

　　图1 IDS和防火墙的关系

　三、OSSEC

　　1.简介

　　OSSEC属于基于主机和应用的入侵检测系统，通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。在前文的介绍中，我们把基于主机和基于应用的入侵检测系统分成了两大类，不过在实际环境中，往往会将二者结合在一起使用。这是因为二者采集信息的来源相同，都是那些被监视保护的主机，而且黑客对主机进行侵入时，往往会同时攻击操作系统和应用服务上的漏洞。OSSEC目前的最新版本是1.5。OSSEC是一个非常典型的主机型入侵检测系统，我们可以通过了解它的体系结构与工作原理来了解这一类型的入侵检测技术。

　　OSSEC是一款开源的多平台的入侵检测系统，可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析，全面检测，rook-kit检测。作为一款HIDS，OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本得OSSEC，如果有多台电脑都安装了OSSEC，那么就可以采用客户端/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的。主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外，它还一般被用在SEM/SIM(安全事件管理(SEM： Security Event Management)/安全信息管理(SIM：SecurityInformation Management))解决方案中。因其强大的日志分析引擎，ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。OSSEC的逻辑结构如图2 。

　　图2 OSSEC的逻辑结构

　　OSSEC的逻辑结构比较抽象，我们看看它的三层体系结构，如图3 。

　　2. 工作原理

　　(1) Administrator。是一个Unix和linux平台下的命令行的用户接口(GUI)，主要起管理维护作用，对OSSEC的大部分管理、配置工作都在这里进行。它的主要作用为建立和断开和Manager的连接、组织和配置代理(Agent)、创建和管理各种类型策略、管理OSSEC 用户和用户优先级、在需要的时候更新Manager的许可证优先级等等。

　　(2)Event Viewer。这是一个单独的Unix、linux平台下的图形化用户界面，用于查看从Agent中获取的各种事件数据，也就是报警的窗口。这是OSSEC比较独特的一点。一般来说入侵检测系统的管理配置与事件查看功能会结合在一起，用户在看到事件查看模块中的报警后，可以利用管理配置模块来进行策略的调配或者采取其他行动。OSSEC这种分开的做法是出于对管理员职责划分的考虑，在某些企业里可能会把安全管理员分为不同的级别，级别高的管理员可以做所有的事情，而级别低的管理员只允许进行日常的状态与安全情况的监护，但不能实际采取操作去处理问题，他必须向上汇报情况，由上级管理员来处理。这时一个只能显示报警而不能进行实际策略的更改的Event Viewer就比较合适了。如果不需要这么细的管理措施，也可以把Event Viewer与Administrator安装到一个管理工作台上，这样即可以显示报警，也可以配置策略。此外，Event Viewer还可以查询Manager的事件数据库，从而可以查看选定的刚刚发生的或已经发生的各种事件;向代理(Agent)发送各种OSSEC指令;生成并查看各种在线或历史报告。

　　(3) Manager。是一个运行在后台的应用软件，Manager没有图形化界面，其主要功能是维护与所有注册代理(Agent)的安全通讯;维护域的主列表和把相应的策略分发到每一个代理(Agent);把有关域和策略的变化通知给相应的代理(Agent);接收和存储来自于代理的事件数据;作为OSSEC Administrator、OSSEC Event Viewer和Agent之间通讯的桥梁，维护策略列表和所属域。

　　Manager是整个运行体系信息流的枢纽，它的应用使OSSEC可以适应大型网络的需要。Agent收集到的攻击与可疑信息会通过Manager向Event Viewer报告，Administrator和Viewer发出的命令与配置指令也会通过Manager下传到Agent上面。在配置时，Administrator、Evnet Viewer与Agent都需要首先到某一个Manager上注册，加入这个Manager所管理的域，才可以参与这个域的安全活动。简单说，就是Administrator注册到Manager A上后，才可以去管理Manager A上已经注册的Agent;Event Viewer注册到Manager A之后才能接受并显示它负责的Agent上报的信息;新的Agent注册到Manager A之后，才可以接受相关的Administrator的策略配置，并把安全报警在相应的Event Viewer上显示。

　　(4)Agent(代理)。主要起如下作用：监视时间收集器;在发现攻击时，执行相应的动作如通知用户、发送E-mail、通知管理员、终止会话、关闭机器等。从Manager中接受安全升级(Security Update)。建立与Manager的安全连接，同时加密数据以便数据可以在网络中安全传送。OSSEC代理被安装在服务器或工作站中，这些代理可以监视该系统中的所有行为，包括和操作系统的交互通信以及特定的应用，从而可以主动保护企业资源和业务免受非法使用和破坏。

　3. 技术特点

　　OSSEC除了前面介绍的具有典型的主机型入侵检测系统的特性外，还有其他一些特点：

　　Drop and Detect技术

　　Drop and Detect 测试函数特性的预先定义方案使得安全管理人员能够快速简单地安装入侵报警系统。使管理员能够避免最常见的危险的威胁，以保护您的Windows、Unix、Linux或其他关键的企业系统。同时，Drop and Detect 测试函数让安全管理员不必等待新“hard-coded”版的软件包就可以升级系统。

　　监视操作系统种类全面

　　Administrator可以运行于Linux、BSD、Sun Solaris;

　　Manager可以运行于Linux、BSD、Sun Solaris;

　　Agent可以运行于Linux、BSD、Sun Solaris、Windows 等。

　　在选择主机型入侵检测系统的时候，需要特别注意的是Agent可以适应的平台。主机型入侵检测系统的基础是Agent，只有Agent安装好了，相应的主机才能得到监控与保护。在选择时，仔细考虑好该入侵检测系统产品是否能满足您目前管理的所有操作系统平台的需要，还有将来发展的需要。

　　防火墙联动

　　防火墙联动主要是由防火墙厂商提供开放标准接口协议，其他厂商根据接口协议开发相应的通讯模块，实现彼此间的联动。Check Point最早推出了联动联盟OPSEC，通过提供开放接口标准，与其他厂商进行紧密合作，实现防火墙与内容、Web资源、入侵检测、认证等多个层次的联动。

　　防火墙与入侵检测系统联动是联动体系中重要的一环，这是因为这两种技术具有较强的互补性。目前，实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合，即把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据来源不再来源于抓包，而是流经防火墙的数据流。所有通过的包不仅要接受防火墙检测规则的验证，还需要经过入侵检测，判断是否具有攻击性，以达到真正的实时阻断，这实际上是把两个产品合成一体。由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度、合成后的性能等方面都会受到很大影响。这种方式仍处于理论研究阶段。第二种方式是通过开放接口来实现联动，即防火墙或者入侵检测系统开放一个接口供对方调用，按照一定的协议进行通信、警报和传输。目前开放协议的常见形式有：安全厂家提供IDS的开放接口，供各个防火墙厂商使用，以实现互动。这种方式比较灵活，不影响防火墙和入侵检测系统的性能。

　　日志管理

　　OSSEC可以读取Network Intrusion Detection 日志(snort) 以及 Apache和 IIS 得日志，从而确定你的系统有没有定期检测，以及有没有未知的入侵情况发生。Linux下的防火墙Iptable、BSD、AIX和Solaris 防火墙ipf都可以和OSSEC入侵检测系统联动，可以对网络进行动静结合的保护，对网络行为进行细颗粒的检查，并对网络内外两个部分都进行可靠管理。

　　本文介绍了OSSEC作为HIDS的技术特点下面我们开始实战配置在Solaris 10 平台下。