自身安全是網絡安全系統的一個重要特性,如果沒有完善的自身防護體系作為保障,即使擁有再強大的功能也無法實現。如同其他信息安全產品一樣,IDS自防護問題一直都是IDS研發與實際應用中的一個熱點問題。
目前IDS自防護體系的建立僅僅把IDS作為一般的信息系統考慮,而在實際的網絡安全防御系統中,IDS是一類工作在敵對網絡環境下具有指揮控制特點的防御系統。IDS自防護除了考慮作為一般信息防御系統的自防護外,還必須考慮在攻防對抗環境下的IDS的生存問題。 IDS的體系結構 IDS是一類在網絡攻防對抗環境中實現網絡入侵檢測、預警、評估與響應的指揮控制系統,其體系結構如圖1所示。 圖1 IDS的體系結構 IDS從網絡或主機獲取信息,然后依據現有知識對獲取信息進行檢測、識別、評估并依據檢測結果做出相應告警與響應。信息的獲取、判斷、響應是一個循環過程,這與對抗中廣泛應用的OODA環(觀察、適應、決策、行動)相一致。 在攻防對抗條件下,根據IDS的體系結構,IDS可表現出如圖2所示的六類脆弱點。 圖2 IDS圖脆弱點分布 這六類脆弱點分別是傳感器與鏈路脆弱點、攻擊檢測脆弱點、狀態和威脅評估脆弱點、融合系統知識庫脆弱點、傳感器/信號源控制系統脆弱點以及傳感器行為檢測脆弱點。 1、傳感器與鏈路脆弱點。攻擊者影響傳感器和信息鏈路,抑制正確的信息并插入錯誤的信息; 2、攻擊檢測脆弱點。攻擊者通過對傳感器(如干擾或欺騙)或對攻擊檢測的直接滲透,降低系統集成、關聯、跟蹤效能及對單個目標的檢測識別能力; 3、狀態和威脅評估脆弱點。攻擊者通過組合具有特殊結構的數據或信息,降低或欺騙入侵行為的推斷程序性能; 4、融合系統知識庫脆弱點。攻擊者一旦獲得對融合的數據庫或操作顯示部分的訪問,將會暴露傳感器和融合系統中可用于信息攻擊的一些性能; 5、傳感器/信號源控制系統脆弱點。對傳感器控制的攻擊會使傳感器喪失工作能力或降低工作性能; 6、傳感器行為監測脆弱點。攻擊者對傳感器行為進行監測(尤其是主動傳感器),以觀察融合系統的行為,推斷它的關注焦點及信息需求,以及收集計劃的周期和方式。 在攻防對抗條件下,對于不同類型和不同程度的攻擊,攻擊者想取得的效果并不相同,即攻擊者對IDS的OODA環的預期影響程度、方式不同。按照攻擊的效果,總體上可以將IDS面臨的威脅分為四類。 1、利用:攻擊者根據公開獲取的可用于攻擊系統的信息、融合系統獲取的信息、監測攻擊是否成功的信息實現對IDS系統的工作機制、工作過程的分析。 2、欺騙:“欺騙”的目的是要導致融合系統用戶做出錯誤的決策。對融合系統采用“欺騙”時,各種刺激因素要與融合處理知識協調一致。只有這樣,才會產生錯誤數據和錯誤融合決策。 3、干擾:對傳感器融合系統的干擾將會對融合處理所用信息的可用性或準確性產生影響。干擾方法包括傳感器的干擾、網絡上的“洪水”廣播、過載以及對所選鏈路或融合節點實施的軟件或暫時性干擾。 4、破壞:軟硬件破壞基于物理手段實施,這一實施過程需要建立在基于對融合節點進行準確定位的基礎上。 建立IDS的自防護體系必須從體系、算法和軟件三個層面綜合考慮,在建立IDS自防護體系的過程中,應遵循以下原則:多渠道防護原則,應保證防護手段的多樣性,采用多種技術實現對脆弱點的冗余保護;協調使用原則,應對IDS采用的防護策略和技術進行統一配置,協調管理;信息保密原則,隨著IDS的發展,IDS內部通信量不斷增加,應堅持不明文傳輸的原則,才能有效地保證不被攻擊者竊聽到IDS內部行為;綜合防護原則,應從多方面對IDS進行有效的防護,技術與管理并重,以確保IDS自防護系統的生存能力。 對IDS信息源的防護是實施IDS自防護的重要內容之一。IDS傳感器獲取信息的位置分為本地、遠程和混合三種。從獲取信息的冗余程度來劃分,信息源分為冗余信息源、補充信息源和所需全部信息源。一般而言,IDS信息源主要有三種分布方式:冗余和緊密、效能、分布式和非獨立。 表1列出了三種信息源分布結構的技術特征及可能遭受的攻擊方式。針對不同的攻擊方式,結合各信息源結構的技術特征,可采取不同的技術手段構筑信息源的自防護體系。 總而言之,IDS是一類在網絡空間具有指揮控制特點的信息防御系統,圍繞IDS的信息攻擊與防御是網絡攻防的焦點之一。可以說,任何一項IDS技術,若不能抵御針對IDS的信息攻擊,那么將導致全面失效。IDS自防護體系的建立除了考慮作為一般信息系統的自防護外,還必須考慮在網絡攻防對抗環境下的自防護問題。
IDS的六類脆弱點 
IDS面臨的四類威脅 
表1 IDS信息源結構技術特征及攻擊方式
