隨著網絡的發展和應用的深入,黑客入侵事件變得越來越猖獗,給企業帶來的損失和威脅也日益加大。人們發現,僅僅依靠傳統的操作系統加固和防火墻隔離等靜態安全防御技術已經遠遠無法滿足現有網絡安全的需要了。入侵檢測系統(Intrusion Detection System? IDS)作為近十多年來發展起來的新一代動態安全防范技術,得到了深入的研究和廣泛的應用。IDS通過對計算機網絡或系統中的若干關鍵點收集信息,并對其進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測、記錄、報警、響應于一體的動態安全技術,不僅能檢測來自外部的入侵行為,同時也監督內部用戶的未授權活動。
IDS面臨的主要挑戰
與防火墻技術相比,入侵檢測還顯得不夠成熟,仍然處于發展階段。負責對IDS進行標準化的入侵檢測工作組(IDWG)及公共入侵檢測框架(CIDF)的建議和草案,都還處于逐步完善之中,尚未被采納為廣泛接受的國際標準。因此,IDS還面臨著很多技術和應用的挑戰。
1.要提高IDS的檢測速度,以適應網絡通信的要求。
網絡安全設備的處理速度,一直是影響網絡性能的一大瓶頸。IDS通常以并聯方式接入網絡,如果其檢測速度跟不上網絡數據的傳輸速度,那么檢測系統就會漏掉其中的部分數據包,從而導致漏報而影響系統的準確性和有效性。在IDS中,截獲網絡的每一個數據包,并分析、匹配其中是否具有某種攻擊的特征,需要花費大量的時間和系統資源,大部分現有的IDS只有幾十兆的檢測速度,隨著百兆、甚至千兆網絡的大量應用,IDS技術發展的速度已經遠遠落后于網絡速度的發展。
2.要減少IDS的漏報和誤報。
基于模式匹配分析方法的IDS,主要判別搜集到的數據特征是否在入侵模式庫中出現。因此,面對每天都有新的攻擊方法產生和新漏洞發布,攻擊特征庫不能及時更新,是造成IDS漏報的一大原因。而基于異常發現的IDS,通過流量統計分析建立系統正常行為的軌跡,只要系統運行時的數值超過正常閾值,則認為可能受到攻擊,這種技術本身就導致了其漏報誤報率較高。
3.要提高IDS的互動性能。
在大型網絡中,網絡的不同部分可能使用了多種IDS,甚至還有防火墻、漏洞掃描等其它類別的安全設備,這些IDS之間以及IDS和其它安全組件之間,如何交換信息,共同協作來發現攻擊,并阻止攻擊,是關系整個系統安全性的重要因素。
因此,廠商應該從多個角度來提高IDS的技術水平和性能。在建立入侵檢測標準和接口的同時,可以利用多點分析和關聯技術提高檢測的精確度,并制定出與其它安全設備的互動機制,構建一個全面的、實時的、動態的安全系統。
IDS的應用
防火墻和殺毒軟件作為最早被用戶接受的網絡安全產品,已經成了安全方案中不可缺少的一部分。但是,僅僅依靠防火墻是遠遠不夠的。IDS作為全面安全產品體系的一部分,能保護重要的信息免受外部和內部的威脅。
IDS也不是萬金油,面對不恰當的系統管理它也無能為力。IDS的安裝和維護都比較復雜,而且其較高的誤報率也要求用戶必須配備和培訓專業人員來判斷檢測報告結果的正確性。因此,是否要考慮裝備IDS或者應用什么樣的IDS,都要視企業的具體情況和需求而定。
1.根據組織的安全需求及既定的安全策略,來確定所需的IDS。首先確定企業的資產清單,全面評估其信息系統的風險,定位出企業的關鍵資產和最嚴重的威脅;再結合企業可付出的預算,以及風險控制的可接受范圍,制定出恰當的安全策略。
2.根據企業所要保護的系統,來確定選擇基于主機的IDS還是基于網絡的IDS、或是二者的結合。用戶可以使用基于主機的IDS,來著重保護關鍵的主機和服務器,處理加密的數據,并從系統、用戶、過程和應用的層次來檢測異常行為;而基于網絡的IDS主要用于檢測網絡中數據包是否隱藏著攻擊,可以監測防火墻的內網、外圍和DMZ部分,以確保防火墻的策略,以及檢測DoS攻擊、監視特定的服務和協議。
3.綜合比較各種IDS的性能和價格,來選擇具體應用的產品。用戶可以從商業資料和測試報告來獲取IDS產品的功能和性能指標。關鍵指標應該盡量選擇參考獨立第三方機構的評測報告。
4.IDS和其它安全設備一樣,正確地配置和維護,是使它能真正發揮作用的關鍵之處。沒有正確配置的IDS也是無法實現其檢測和響應能力的,而且IDS還有特征庫升級、報警響應、誤報處理等需要更多維護工作的方面。
入侵檢測主要技術
我們經常根據獲取原始數據的途徑,將IDS分為基于主機(HIDS)和基于網絡的IDS(NIDS)。
IDS通過對入侵行為的過程與特征的研究,從而對入侵事件和過程作出實時響應。IDS從分析方式上分為兩種:模式匹配(Signature-based)和異常發現(Anomaly-based)。
1.模式匹配的關鍵是,將所有入侵行為和手段及其變種,包括系統的誤用,表達為一種模式或特征,建立一個入侵模式庫。檢測時,主要判別主機或者網絡中所搜集到的數據特征是否在所收集到的入侵模式庫中出現,匹配可以是簡單的字符串匹配,也可以是正則的數學表達式所表示的安全狀態的變化。模式匹配方式可以詳細、準確地報告出已知的攻擊類型,誤報率低,但是對未知攻擊卻效果有限,而且入侵模式庫必須不斷更新,以對付不斷出現的黑客攻擊手法。
2.異常發現通過流量統計分析,建立系統正常行為的軌跡,定義一組系統“正常”情況的閾值,然后將系統運行時的數值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。系統正常行為可以包括CPU利用率、內存利用率、文件校驗和等系統信息,也可以包括用戶正常使用的訪問時間和次數、操作失敗次數和延時等行為測量數據。這種檢測技術的優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。
