談到網絡安全,人們第一個想到的是防火墻。但隨著技術的發展,網絡日趨復雜,傳統防火墻所暴露出來的不足和弱點引出了人們對入侵檢測系統(IDS)技術的研究和開發。首先,傳統的防火墻在工作時,就像深宅大院雖有高大的院墻,卻不能擋住小老鼠甚至是家賊的偷襲一樣,因為入侵者可以找到防火墻背后可能敞開的后門。其次,防火墻完全不能阻止來自內部的襲擊,而通過調查發現,50%的攻擊都將來自于內部,對于企業內部心懷不滿的員工來說,防火墻形同虛設。再者,由于性能的限制,防火墻通常不能提供實時的入侵檢測能力,而這一點,對于現在層出不窮的攻擊技術來說是至關重要的。第四,防火墻對于病毒也束手無策。因此,以為在Internet入口處部署防火墻系統就足夠安全的想法是不切實際的。
入侵檢測系統(IDS)可以彌補防火墻的不足,為網絡安全提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤、恢復、斷開網絡連接等。
IDS概念解析
入侵檢測系統全稱為Intrusion Detective System,它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門。IDS主要執行如下任務:
1.監視、分析用戶及系統活動。
2.系統構造和弱點的審計。
3.識別反映已知進攻的活動模式并向相關人士報警。
4.異常行為模式的統計分析。
5.評估重要系統和數據文件的完整性。
6.操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
一個成功的入侵檢測系統,不僅可使系統管理員時刻了解網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供依據。它應該管理配置簡單,使非專業人員非常容易地獲得網絡安全。入侵檢測的規模還應根據網絡規模、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網絡連接、記錄事件和報警等。IDS系統工作方式如圖1所示。
IDS分類
入侵檢測通過對入侵行為的過程與特征進行研究,使安全系統對入侵事件和入侵過程作出實時響應。
一般來講,入侵檢測系統采用如下兩項技術:
一是異常發現技術。假定所有入侵行為都是與正常行為不同的。如果建立系統正常行為的軌跡,那么理論上可以把所有與正常軌跡不同的系統狀態視為可疑企圖。對于異常閥值與特征的選擇是異常發現技術的關鍵。比如,通過流量統計分析將異常時間的異常網絡流量視為可疑。異常發現技術的局限是并非所有的入侵都表現為異常,而且系統的軌跡難于計算和更新。
二是模式發現技術。假定所有入侵行為和手段(及其變種)都能夠表達為一種模式或特征,那么所有已知的入侵方法都可以用匹配的方法發現。模式發現的關鍵是如何表達入侵的模式,把真正的入侵與正常行為區分開來。模式發現的優點是誤報少,局限是它只能發現已知的攻擊,對未知的攻擊無能為力。
入侵檢測系統按其輸入數據的來源來看,可以分為3類:
1. 基于主機的入侵檢測系統:其輸入數據來源于系統的審計日志,一般只能檢測該主機上發生的入侵。
2. 基于網絡的入侵檢測系統:其輸入數據來源于網絡的信息流,能夠檢測該網段上發生的網絡入侵。
3. 采用上述兩種數據來源的分布式入侵檢測系統; 能夠同時分析來自主機系統審計日志和網絡數據流的入侵檢測系統,一般為分布式結構,由多個部件組成。
基于行為的檢測方法主要有:概率統計法與神經網絡法。
目前的方法雖然能夠在某些方面有很好的效果,但從總體來看都各有不足,孤立地去評估都是不可取的。因而現在越來越多的入侵檢測系統都同時具有這幾方面的技術,互相補充不足,共同完成檢測任務。
IDS結構
總體來講,入侵檢測系統的功能有:
1.監視用戶和系統的運行狀況,查找非法用戶和合法用戶的越權操作。
2.檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞。
3.對用戶的非正常活動進行統計分析,發現入侵行為的規律。
4.檢查系統程序和數據的一致性與正確性。如計算和比較文件系統的校驗和能夠實時對檢測到的入侵行為進行反應。
根據以上入侵檢測系統的功能,可以把它的功能結構分為兩大部分:中心檢測平臺和代理服務器。代理服務器是負責從各個操作系統中采集審計數據,并把審計數據轉換成與平臺無關的格式后傳送到中心檢測平臺,或者把中心平臺的審計數據需求傳送到各個操作系統中。而中心檢測平臺由專家系統、知識庫和管理員組成,其功能是根據代理服務器采集來的審計數據進行專家系統分析,產生系統安全報告。管理員可以向各個主機提供安全管理功能,根據專家系統的分析向各個代理服務器發出審計數據的需求。另外,在中心檢測平臺和代理服務器之間通過安全的RPC進行通信。IDS結構如圖2所示。
IDS展望
入侵技術研究包括三個部分:
1. 密切跟蹤分析國際上入侵技術的發展,不斷獲得最新的攻擊方法。通過分析這些已知的攻擊方法,豐富預警系統的檢測能力。
2. 加強并利用預警系統的審計、跟蹤和現場記錄功能,記錄并反饋異常事件。通過實例分析提取可疑的網絡活動特征,擴充系統的檢測范圍,使系統能夠應對未知的入侵活動。
3. 利用攻擊技術的研究成果,創造新的入侵方法,并應用于檢測技術。
入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次防御的角度出發,入侵檢測受到了人們的高度重視。國內的現狀是入侵檢測僅僅停留在研究和實驗樣品(缺乏升級和服務)階段,或者是防火墻中集成較為初級的入侵檢測模塊階段。可見,入侵檢測產品仍具有較大的發展空間。從技術上講,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。目前,許多學者在研究新的檢測方法,如采用自動代理主動防御的方法、將免疫學原理應用到入侵檢測的方法等。
