NIDS

NIDS

NIDS,Network Intrusion Detection System的縮寫,即網路入侵檢測系統。

簡介


NIDS,主要用於檢測Hacker或Cracker通過網路進行的入侵行為。NIDS的運行方式有兩種,一種是在目標主機上運行以監測其本身的通信信息,另一種是在一台單獨的機器上運行以監測所有網路設備的通信信息,比如Hub、路由器。
NIDS的功能:網管人員對網路運行狀態進行實時監控,以便隨時發現可能的入侵行為,並進行具體分析,及時、主動地進行干預,從而取得防患於未然的效果。

類型


目前,NIDS產品可分為硬體和軟體兩種類型。
NIDS的功能測評內容:
NIDS提供的功能主要有數據的收集,如數據包嗅探;事件的響應,如利用特徵匹配或異常識別技術檢測攻擊,併產生響應;事件的分析,如協議分析、網路流量分析;事件數據存儲,如記錄報警信息到資料庫。功能測評主要是對NIDS應提供的功能進行驗證。
例如在事件響應測評中,要求NIDS在檢測到攻擊事件后能及時地根據設置的響應方式作出響應;在攻擊事件檢測能力測評中,則要求NIDS能夠檢測到常見攻擊,如後門類、FTP類、HTTP類、DNS類、Mail類、ICMP類、Finger類、RPC類和DoS類等;在控制台功能測評中,則要求NIDS控制台提供對網路引擎、用戶角色以及資料庫的管理功能等。
NIDS的安全性測評內容:
安全性測評依據入侵檢測保護輪廓對NIDS的安全功能做出測評,主要從安全審計、標識和鑒別、安全管理、TOE安全功能保護以及IDS部件要求等方面進行測評分析。
功能測評以及安全性測評所採用的測試方法有:
功能測評一般採用驗證法,即根據產品本身的功能設置和使用說明,通過運用的測試工具來驗證NIDS的數據收集、分析、響應和控制台管理等功能是否能夠正確實現;安全性測評則是綜合運用驗證法、分析法來確認NIDS是否滿足相關的安全功能要求。
檢測NIDS對規避攻擊的檢測能力:
規避就是對攻擊行為進行偽裝,雖然攻擊目標機能夠識別這種偽裝后的攻擊行為,但IDS卻不能有效地檢測該攻擊,從而使攻擊者達到攻擊的目的。
例如:將攻擊數據包進行分片,由於有些NIDS不能對IP分片進行重組,或者超過了其處理能力,因此對該攻擊規避后可以躲過NIDS的檢測。
目前規避技術有很多種,如數據包分片和URL Obfuscation。數據包分片測試檢測NIDS是否具備TCP/IP的重組能力,以及重組能力是否完善;測試使用專有的規避測試工具對攻擊流量進行分片、重疊、亂序處理,並向攻擊目標轉發,驗證NIDS是否能檢測到該攻擊。
URL Obfuscation測試檢測NIDS能否抵抗常見的URL Obfuscation技術;測試使用專有的字元串處理和字元替代技術,對攻擊數據進行偽裝,並向攻擊目標轉發,驗證NIDS是否能檢測到該攻擊。