隨著網(wǎng)絡(luò)的發(fā)展和應(yīng)用的深入,黑客入侵事件變得越來越猖獗,給企業(yè)帶來的損失和威脅也日益加大。人們發(fā)現(xiàn),僅僅依靠傳統(tǒng)的操作系統(tǒng)加固和防火墻隔離等靜態(tài)安全防御技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)無法滿足現(xiàn)有網(wǎng)絡(luò)安全的需要了。入侵檢測(cè)系統(tǒng)(Intrusion Detection System? IDS)作為近十多年來發(fā)展起來的新一代動(dòng)態(tài)安全防范技術(shù),得到了深入的研究和廣泛的應(yīng)用。IDS通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測(cè)、記錄、報(bào)警、響應(yīng)于一體的動(dòng)態(tài)安全技術(shù),不僅能檢測(cè)來自外部的入侵行為,同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。
IDS面臨的主要挑戰(zhàn)
與防火墻技術(shù)相比,入侵檢測(cè)還顯得不夠成熟,仍然處于發(fā)展階段。負(fù)責(zé)對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化的入侵檢測(cè)工作組(IDWG)及公共入侵檢測(cè)框架(CIDF)的建議和草案,都還處于逐步完善之中,尚未被采納為廣泛接受的國際標(biāo)準(zhǔn)。因此,IDS還面臨著很多技術(shù)和應(yīng)用的挑戰(zhàn)。
1.要提高IDS的檢測(cè)速度,以適應(yīng)網(wǎng)絡(luò)通信的要求。
網(wǎng)絡(luò)安全設(shè)備的處理速度,一直是影響網(wǎng)絡(luò)性能的一大瓶頸。IDS通常以并聯(lián)方式接入網(wǎng)絡(luò),如果其檢測(cè)速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度,那么檢測(cè)系統(tǒng)就會(huì)漏掉其中的部分?jǐn)?shù)據(jù)包,從而導(dǎo)致漏報(bào)而影響系統(tǒng)的準(zhǔn)確性和有效性。在IDS中,截獲網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包,并分析、匹配其中是否具有某種攻擊的特征,需要花費(fèi)大量的時(shí)間和系統(tǒng)資源,大部分現(xiàn)有的IDS只有幾十兆的檢測(cè)速度,隨著百兆、甚至千兆網(wǎng)絡(luò)的大量應(yīng)用,IDS技術(shù)發(fā)展的速度已經(jīng)遠(yuǎn)遠(yuǎn)落后于網(wǎng)絡(luò)速度的發(fā)展。
2.要減少IDS的漏報(bào)和誤報(bào)。
基于模式匹配分析方法的IDS,主要判別搜集到的數(shù)據(jù)特征是否在入侵模式庫中出現(xiàn)。因此,面對(duì)每天都有新的攻擊方法產(chǎn)生和新漏洞發(fā)布,攻擊特征庫不能及時(shí)更新,是造成IDS漏報(bào)的一大原因。而基于異常發(fā)現(xiàn)的IDS,通過流量統(tǒng)計(jì)分析建立系統(tǒng)正常行為的軌跡,只要系統(tǒng)運(yùn)行時(shí)的數(shù)值超過正常閾值,則認(rèn)為可能受到攻擊,這種技術(shù)本身就導(dǎo)致了其漏報(bào)誤報(bào)率較高。
3.要提高IDS的互動(dòng)性能。
在大型網(wǎng)絡(luò)中,網(wǎng)絡(luò)的不同部分可能使用了多種IDS,甚至還有防火墻、漏洞掃描等其它類別的安全設(shè)備,這些IDS之間以及IDS和其它安全組件之間,如何交換信息,共同協(xié)作來發(fā)現(xiàn)攻擊,并阻止攻擊,是關(guān)系整個(gè)系統(tǒng)安全性的重要因素。
因此,廠商應(yīng)該從多個(gè)角度來提高IDS的技術(shù)水平和性能。在建立入侵檢測(cè)標(biāo)準(zhǔn)和接口的同時(shí),可以利用多點(diǎn)分析和關(guān)聯(lián)技術(shù)提高檢測(cè)的精確度,并制定出與其它安全設(shè)備的互動(dòng)機(jī)制,構(gòu)建一個(gè)全面的、實(shí)時(shí)的、動(dòng)態(tài)的安全系統(tǒng)。
IDS的應(yīng)用
防火墻和殺毒軟件作為最早被用戶接受的網(wǎng)絡(luò)安全產(chǎn)品,已經(jīng)成了安全方案中不可缺少的一部分。但是,僅僅依靠防火墻是遠(yuǎn)遠(yuǎn)不夠的。IDS作為全面安全產(chǎn)品體系的一部分,能保護(hù)重要的信息免受外部和內(nèi)部的威脅。
IDS也不是萬金油,面對(duì)不恰當(dāng)?shù)南到y(tǒng)管理它也無能為力。IDS的安裝和維護(hù)都比較復(fù)雜,而且其較高的誤報(bào)率也要求用戶必須配備和培訓(xùn)專業(yè)人員來判斷檢測(cè)報(bào)告結(jié)果的正確性。因此,是否要考慮裝備IDS或者應(yīng)用什么樣的IDS,都要視企業(yè)的具體情況和需求而定。
1.根據(jù)組織的安全需求及既定的安全策略,來確定所需的IDS。首先確定企業(yè)的資產(chǎn)清單,全面評(píng)估其信息系統(tǒng)的風(fēng)險(xiǎn),定位出企業(yè)的關(guān)鍵資產(chǎn)和最嚴(yán)重的威脅;再結(jié)合企業(yè)可付出的預(yù)算,以及風(fēng)險(xiǎn)控制的可接受范圍,制定出恰當(dāng)?shù)陌踩呗浴?
2.根據(jù)企業(yè)所要保護(hù)的系統(tǒng),來確定選擇基于主機(jī)的IDS還是基于網(wǎng)絡(luò)的IDS、或是二者的結(jié)合。用戶可以使用基于主機(jī)的IDS,來著重保護(hù)關(guān)鍵的主機(jī)和服務(wù)器,處理加密的數(shù)據(jù),并從系統(tǒng)、用戶、過程和應(yīng)用的層次來檢測(cè)異常行為;而基于網(wǎng)絡(luò)的IDS主要用于檢測(cè)網(wǎng)絡(luò)中數(shù)據(jù)包是否隱藏著攻擊,可以監(jiān)測(cè)防火墻的內(nèi)網(wǎng)、外圍和DMZ部分,以確保防火墻的策略,以及檢測(cè)DoS攻擊、監(jiān)視特定的服務(wù)和協(xié)議。
3.綜合比較各種IDS的性能和價(jià)格,來選擇具體應(yīng)用的產(chǎn)品。用戶可以從商業(yè)資料和測(cè)試報(bào)告來獲取IDS產(chǎn)品的功能和性能指標(biāo)。關(guān)鍵指標(biāo)應(yīng)該盡量選擇參考獨(dú)立第三方機(jī)構(gòu)的評(píng)測(cè)報(bào)告。
4.IDS和其它安全設(shè)備一樣,正確地配置和維護(hù),是使它能真正發(fā)揮作用的關(guān)鍵之處。沒有正確配置的IDS也是無法實(shí)現(xiàn)其檢測(cè)和響應(yīng)能力的,而且IDS還有特征庫升級(jí)、報(bào)警響應(yīng)、誤報(bào)處理等需要更多維護(hù)工作的方面。
入侵檢測(cè)主要技術(shù)
我們經(jīng)常根據(jù)獲取原始數(shù)據(jù)的途徑,將IDS分為基于主機(jī)(HIDS)和基于網(wǎng)絡(luò)的IDS(NIDS)。
IDS通過對(duì)入侵行為的過程與特征的研究,從而對(duì)入侵事件和過程作出實(shí)時(shí)響應(yīng)。IDS從分析方式上分為兩種:模式匹配(Signature-based)和異常發(fā)現(xiàn)(Anomaly-based)。
1.模式匹配的關(guān)鍵是,將所有入侵行為和手段及其變種,包括系統(tǒng)的誤用,表達(dá)為一種模式或特征,建立一個(gè)入侵模式庫。檢測(cè)時(shí),主要判別主機(jī)或者網(wǎng)絡(luò)中所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫中出現(xiàn),匹配可以是簡(jiǎn)單的字符串匹配,也可以是正則的數(shù)學(xué)表達(dá)式所表示的安全狀態(tài)的變化。模式匹配方式可以詳細(xì)、準(zhǔn)確地報(bào)告出已知的攻擊類型,誤報(bào)率低,但是對(duì)未知攻擊卻效果有限,而且入侵模式庫必須不斷更新,以對(duì)付不斷出現(xiàn)的黑客攻擊手法。
2.異常發(fā)現(xiàn)通過流量統(tǒng)計(jì)分析,建立系統(tǒng)正常行為的軌跡,定義一組系統(tǒng)“正常”情況的閾值,然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。系統(tǒng)正常行為可以包括CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等系統(tǒng)信息,也可以包括用戶正常使用的訪問時(shí)間和次數(shù)、操作失敗次數(shù)和延時(shí)等行為測(cè)量數(shù)據(jù)。這種檢測(cè)技術(shù)的優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵,缺點(diǎn)是誤報(bào)、漏報(bào)率高,且不適應(yīng)用戶正常行為的突然改變。
