入侵檢測系統(tǒng)發(fā)展現(xiàn)狀
北京理工大學(xué)
鄧惠平
(
hpd9902@yahoo.com.cn
)
1.? IDS
發(fā)展現(xiàn)狀
入侵檢測系統(tǒng)
(Intrusion Detect System
,
IDS
)
,目前基本上分為以下兩種:主機(jī)入侵檢測系統(tǒng)
(HIDS,
主機(jī)基
)
;網(wǎng)絡(luò)入侵檢測系統(tǒng)
(NIDS
,網(wǎng)絡(luò)基
)
。
主機(jī)入侵檢測系統(tǒng)分析對象為主機(jī)審計日志,所以需要在主機(jī)上安裝軟件,針對不同的系統(tǒng)、不同的版本需安裝不同的主機(jī)引擎,安裝配置較為復(fù)雜,同時對系統(tǒng)的
運(yùn)行和穩(wěn)定性造成影響,目前在國內(nèi)應(yīng)用較少。網(wǎng)絡(luò)入侵監(jiān)測分析對象為網(wǎng)絡(luò)數(shù)據(jù)流,只需安裝在網(wǎng)絡(luò)的監(jiān)聽端口上,對網(wǎng)絡(luò)的運(yùn)行無任何影響,目前國內(nèi)使用較為
廣泛。本文分析的為目前使用廣泛的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)。
入侵檢測(
IDS
)是一個籠統(tǒng)的名字。入侵檢測常常包括對非法使用系統(tǒng)資源活動的檢測,也包括對濫用系統(tǒng)資源行為的檢測。安全產(chǎn)品市場銷售的入侵檢測產(chǎn)品往往專注于前一目標(biāo),而許多科研機(jī)構(gòu)往往對后一目標(biāo)更感興趣。在網(wǎng)絡(luò)安全產(chǎn)品市場
(
特別是國外市場
)
上防火墻產(chǎn)品已漸趨飽和的今天,入侵檢測產(chǎn)品的銷售有強(qiáng)勁的上升勢頭,無怪乎國內(nèi)、外的安全產(chǎn)品廠家都迅速地將目光轉(zhuǎn)到這一產(chǎn)品上來。
入侵檢測系統(tǒng)使用兩種基本的檢測技術(shù)。一是對網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行
流量分析
,找出表現(xiàn)異常的網(wǎng)絡(luò)行為。二是對網(wǎng)上流動的數(shù)據(jù)進(jìn)行
內(nèi)容分析
,找出“黑客”攻擊的表征。功能簡單的入侵檢測系統(tǒng)可能只使用這兩種技術(shù)中的一種。
流
量截獲分析是一種對進(jìn)入系統(tǒng)的信息只讀“信封”,不讀信內(nèi)容的做法。盛放網(wǎng)上信息的“信封”除地址之外還包括其他一些內(nèi)容。通過對信封上信息的分析可以發(fā)
現(xiàn)與入侵行為相關(guān)的某些特征。在這些特征當(dāng)中,只有很小一部分可以使分析人員立即得出確定的結(jié)論,其他則需要對大量數(shù)據(jù)進(jìn)行相關(guān)分析。特別是對網(wǎng)絡(luò)中不同
時間點(diǎn),不同空間點(diǎn)上的數(shù)據(jù)進(jìn)行相關(guān)分析。這樣做起來有相當(dāng)?shù)碾y度。
表
征分析的辦法是在網(wǎng)上傳遞的信息內(nèi)容中尋找特定的關(guān)鍵字,這些關(guān)鍵字是在已知的入侵實(shí)例中使用過的。注意到,在互聯(lián)網(wǎng)上信息的傳播是通過尺寸很小的數(shù)據(jù)
“碎片”來實(shí)現(xiàn)的。就是說,一個文件往往被分割成許多小塊兒數(shù)據(jù)發(fā)送到網(wǎng)上,而每個小數(shù)據(jù)塊兒獨(dú)立地在網(wǎng)上旅行,不考慮它與其他數(shù)據(jù)塊兒的時間次序或其他
關(guān)系。僅當(dāng)?shù)竭_(dá)了目的地之后,這些小數(shù)據(jù)塊才被重新裝配起來。出于對處理效率和開銷的考慮,目前網(wǎng)絡(luò)安全產(chǎn)品市場出售的大多數(shù)入侵檢測產(chǎn)品都不做“碎片裝
配”的工作,這不能不使這些產(chǎn)品尋找攻擊表征的能力受到一些限制。
入
侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)有兩個:一個是虛警率太高,一個是檢測速度太慢。美國克林頓政府去年曾宣布利用國家科學(xué)基金會的資金資助學(xué)術(shù)界對虛警問題的研
究,足見問題之嚴(yán)重。在檢測速度方面的形勢也很嚴(yán)峻。目前大多數(shù)入侵檢測系統(tǒng)在不犧牲檢測質(zhì)量的前題下尚不能處理百兆位網(wǎng)絡(luò)滿負(fù)荷時的數(shù)據(jù)量,而千兆位則
還是個不可企及的目標(biāo)。
?
2.
為什么需要入侵檢測系統(tǒng)?
在網(wǎng)絡(luò)安全方面,國內(nèi)的用戶對防火墻已經(jīng)有了很高的認(rèn)知程度,而對入侵檢測系統(tǒng)的作用大多不是非常了解。防火墻在網(wǎng)絡(luò)安全中起到大門警衛(wèi)的作用,對進(jìn)出
的數(shù)據(jù)依照預(yù)先設(shè)定的規(guī)則進(jìn)行匹配,符合規(guī)則的就予以放行,起訪問控制的作用,是網(wǎng)絡(luò)安全的第一道閘門。優(yōu)秀的防火墻甚至對高層的應(yīng)用協(xié)議進(jìn)行動態(tài)分析,
保護(hù)進(jìn)出數(shù)據(jù)應(yīng)用層的安全。但防火墻的功能也有局限性。防火墻只能對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析,對網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無能為力。
同時
,
由
于防火墻處于網(wǎng)關(guān)的位置,不可能對進(jìn)出攻擊作太多判斷,否則會嚴(yán)重影響網(wǎng)絡(luò)性能.如果把放火防火墻比作大門警衛(wèi)的話,入侵檢測就是網(wǎng)絡(luò)中不間斷的攝像機(jī),
入侵檢測通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù),對網(wǎng)絡(luò)的運(yùn)行和性能無任何影響,同時判斷其中是否含有攻擊的企圖,通過各種手段向管理員報警。不但可以
發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說入侵檢測是網(wǎng)絡(luò)安全的第二道閘門,是防火墻的必要補(bǔ)充,構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。
3.
入侵檢測系統(tǒng)目前存在的問題
入侵檢測系統(tǒng)有如此重大的作用,但在國內(nèi)的應(yīng)用遠(yuǎn)遠(yuǎn)談不到普及,一方面是由于用戶的認(rèn)知程度較底,另一方面是由于入侵檢測是一門比較新的技術(shù),還存在一些技術(shù)上的困難,不是所有廠商都有研發(fā)入侵檢測產(chǎn)品的實(shí)力。目前的入侵檢測產(chǎn)品大多存在這樣一些問題:
(1).
誤報和漏報的矛盾
入侵檢測系統(tǒng)對網(wǎng)絡(luò)上所有的數(shù)據(jù)進(jìn)行分析,如果攻擊者對系統(tǒng)進(jìn)行攻擊嘗試,而系統(tǒng)相應(yīng)服務(wù)開放,只是漏洞已經(jīng)修補(bǔ),那么這一次攻擊是否需要報警,這就是
一個需要管理員判斷的問題。因?yàn)檫@也代表了一種攻擊的企圖。但大量的報警事件會分散管理員的精力,反而無法對真正的攻擊作出反映。和誤報相對應(yīng)的是漏報,
隨著攻擊的方法不斷更新,入侵檢測系統(tǒng)是否能報出網(wǎng)絡(luò)中所有的攻擊也是一個問題。
(2).
隱私和安全的矛盾
入侵檢測系統(tǒng)可以收到網(wǎng)路的所有數(shù)據(jù),同時可以對其進(jìn)行分析和記錄,這對網(wǎng)絡(luò)安極其重要,但難免對用戶的隱私構(gòu)成一定風(fēng)險,這就要看具體的入侵檢測產(chǎn)品是否能提供相應(yīng)功能以供管理員進(jìn)行取舍。
(3).
被動分析與主動發(fā)現(xiàn)的矛盾
入侵檢測系統(tǒng)是采取被動監(jiān)聽的方式發(fā)現(xiàn)網(wǎng)絡(luò)問題,無法主動發(fā)現(xiàn)網(wǎng)絡(luò)中的安全隱患和故障。如何解決這個問題也是入侵檢測產(chǎn)品面臨的問題。
(4).
海量信息與分析代價的矛盾
隨著網(wǎng)路數(shù)據(jù)流量的不斷增長,入侵檢測產(chǎn)品能否處理高效處理網(wǎng)路中的數(shù)據(jù)也是衡量入侵檢測產(chǎn)品的重要依據(jù)。
(5).
功能性和可管理性的矛盾
隨著入侵檢測產(chǎn)品功能的增加,可否在功能增加的同時,不增大管理的難度。例如,入侵檢測系統(tǒng)的所有信息都儲存在數(shù)據(jù)庫中,此數(shù)據(jù)庫能否自動維護(hù)和備份而不需管理員的干預(yù)?另外
,
入侵檢測系統(tǒng)自身安全性如何?是否易于部署?采用何種報警方式?也都是需要考慮的因素。
?(6).
單一的產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾
入侵檢測產(chǎn)品最出的目的是為了檢測網(wǎng)絡(luò)的攻擊,但僅僅檢測網(wǎng)絡(luò)中的攻擊遠(yuǎn)遠(yuǎn)無法滿足目前復(fù)雜的網(wǎng)應(yīng)用需求.通常,管理員難以分清網(wǎng)路問題:是由于攻擊引起的還是網(wǎng)絡(luò)故障。入侵檢測檢測出的攻擊事件又如何處理,可否和目前網(wǎng)絡(luò)中的其他安全產(chǎn)品進(jìn)行配合。
4
.入侵檢測技術(shù)發(fā)展趨勢
(1).分析技術(shù)的改進(jìn)
入侵檢測誤報和漏報的解決最終依靠分析技術(shù)的改進(jìn)。目前入侵檢測分析方法主要有:統(tǒng)計分析、模式匹配、數(shù)據(jù)重組、協(xié)議分析、行為分析等。
統(tǒng)計分析是統(tǒng)計網(wǎng)絡(luò)中相關(guān)事件發(fā)生的次數(shù),達(dá)到判別攻擊的目的。模式匹配利用對攻擊的特征字符進(jìn)行匹配完成對攻擊的檢測。數(shù)據(jù)重組是對網(wǎng)絡(luò)連接的數(shù)據(jù)流進(jìn)行重組再加以分析,而不僅僅分析單個數(shù)據(jù)包。
協(xié)議分析技術(shù)是在對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行重組的基礎(chǔ)上,理解應(yīng)用協(xié)議,再利用模式匹配和統(tǒng)計分析的技術(shù)來判明攻擊。例如:某個基于
HTTP
協(xié)議的攻擊含有
ABC
特征,如果此數(shù)據(jù)分散在若干個數(shù)據(jù)包中,如:一個數(shù)據(jù)包含
A
,另外一個包含
B
,另外一個包含
C
,則單純的模式匹配就無法檢測,只有基于數(shù)據(jù)流重組才能完整檢測。而利用協(xié)議分析。則只在符合的協(xié)議
(HTTP)
檢測到此事件才會報警。假設(shè)此特征出現(xiàn)在
Mail
里,因?yàn)椴环蠀f(xié)議,就不會報警。利用此技術(shù),有效的降低了誤報和漏報。
行為分析技術(shù)不僅簡單分析單次攻擊事件,還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生,攻擊行為是否生效,是入侵檢測分析技術(shù)的最高境界。但目前由于算法
處理和規(guī)則制定的難度很大,目前還不是非常成熟,但卻是入侵檢測技術(shù)發(fā)展的趨勢。目前最好綜合使用多種檢測技術(shù),而不只是依靠傳統(tǒng)的統(tǒng)計分析和模式匹配技
術(shù)。另外,規(guī)則庫是否及時更新也和檢測的準(zhǔn)確程度相關(guān)。
(2).內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計功能的引入
前面已經(jīng)提到,入侵檢測的最高境界是行為分析。但行為分析前還不是很成熟,因此,個別優(yōu)秀的入侵檢測產(chǎn)品引入了內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計功能。
內(nèi)容恢復(fù)即在協(xié)議分析的基礎(chǔ)上,對網(wǎng)絡(luò)中發(fā)生的應(yīng)為加以完整的重組和記錄,網(wǎng)絡(luò)中發(fā)生的任何行為都逃不過它的監(jiān)視。網(wǎng)絡(luò)審計即對網(wǎng)絡(luò)中所有的連接事件進(jìn)
行記錄。入侵檢測的接入方式?jīng)Q定入侵檢測系統(tǒng)中的網(wǎng)絡(luò)審計不僅類似防火墻可以記錄網(wǎng)絡(luò)進(jìn)出信息,還可以記錄網(wǎng)絡(luò)內(nèi)部連接狀況,此功能對內(nèi)容恢復(fù)無法恢復(fù)的
加密連接尤其有用。
內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計讓管理員看到網(wǎng)絡(luò)的真正運(yùn)行狀況,其實(shí)就是調(diào)動管理員參與行為分析過程。此功能不僅能使管理員看到孤立的攻擊事件的報警,還可以看到
整個攻擊過程,了解攻擊確實(shí)發(fā)生與否,查看攻擊著的操作過程,了解攻擊造成的危害。不但發(fā)現(xiàn)已知攻擊,同時發(fā)現(xiàn)未知攻擊。不當(dāng)發(fā)現(xiàn)外部攻擊者的攻擊,也發(fā)
現(xiàn)內(nèi)部用戶的惡意行為。畢竟管理員是最了解其網(wǎng)絡(luò)的,管理員通過此功能的使用,很好的達(dá)成了行為分析的目的。但使用此功能的同時需注意對用戶隱私的保護(hù)。
(3).集成網(wǎng)絡(luò)分析和管理功能
入侵檢測不但對網(wǎng)絡(luò)攻擊是一個檢測。同時,侵檢測可以收到網(wǎng)絡(luò)中的所有數(shù)據(jù),對網(wǎng)絡(luò)的故障分析和健康管理也可起到重大作用。當(dāng)管理員發(fā)現(xiàn)某臺主機(jī)有問題
時,也希望能馬上對其進(jìn)行管理。入侵檢測也不應(yīng)只采用被動分析方法,最好能和主動分析結(jié)合。所以,入侵檢測產(chǎn)品集成網(wǎng)管功能,掃描器
(Scanner)
,嗅探器
(Sniffer)
等功能是以后發(fā)展的方向。
(4).安全性和易用性的提高
入侵檢測是個安全產(chǎn)品,自身安全極為重要。因此,目前的入侵檢測產(chǎn)品大多采用硬件結(jié)構(gòu),黑洞式接入,免除自身安全問題。同時,對易用性的要求也日益增
強(qiáng),例如:全中文的圖形界面,自動的數(shù)據(jù)庫維護(hù),多樣的報表輸出。這些都是優(yōu)秀入侵產(chǎn)品的特性和以后繼續(xù)發(fā)展細(xì)化的趨勢。
(5).改進(jìn)對大數(shù)據(jù)量網(wǎng)絡(luò)的處理方法
隨著對大數(shù)據(jù)量處理的要求,入侵檢測的性能要求也逐步提高,出現(xiàn)了千兆入侵檢測等產(chǎn)品。但如果入侵檢測檢測產(chǎn)品不僅具備攻擊分析,同時具備內(nèi)容恢復(fù)和網(wǎng)
絡(luò)審計功能,則其存儲系統(tǒng)也很難完全工作在千兆環(huán)境下。這種情況下,網(wǎng)絡(luò)數(shù)據(jù)分流也是一個很好的解決方案,性價比也較好。這也是國際上較通用的一種作法。
(6).防火墻聯(lián)動功能
入侵檢測發(fā)現(xiàn)攻擊,自動發(fā)送給放火墻,防火墻加載動態(tài)規(guī)則攔截入侵,稱為防火墻聯(lián)動功能。目前此功能還沒有到完全實(shí)用的階段,主要是一種概念。隨便使用會導(dǎo)致很多問題。目前主要的應(yīng)用對象是自動傳播的攻擊,如
Nimda
等,聯(lián)動只在這種場合有一定的作用。無限制的使用聯(lián)動。如未經(jīng)充分測試,對防火期的穩(wěn)定性和網(wǎng)絡(luò)應(yīng)用會造成負(fù)面影響。但隨著入侵檢測產(chǎn)品檢測準(zhǔn)確度的提高,聯(lián)動功能日益趨向?qū)嵱没?/span>
5.結(jié)論
目前入侵檢測是一項(xiàng)全新的技術(shù),對網(wǎng)絡(luò)的安全起著重大的作用,但也有一些技術(shù)問題需要解決或正在解決,入侵檢測的應(yīng)用也會日益廣泛。
以下是評價目前評價一個入侵檢測產(chǎn)品是否優(yōu)秀的標(biāo)準(zhǔn):
1
.
高效的數(shù)據(jù)截取
2
.
智能的數(shù)據(jù)流重組
3
.
強(qiáng)大的入侵識別
4
.
全面的內(nèi)容恢復(fù)
5
.
完整的網(wǎng)絡(luò)審計
6
.
實(shí)時的網(wǎng)絡(luò)監(jiān)控
7
.
集成的網(wǎng)絡(luò)管理
8
.
簡便的接入
9
.
易用的管理
10
.靈活的部署
11
.豐富的報警方法
12
.多樣的輸出結(jié)果
13
.嚴(yán)格的自身安全
14.
高度的可集成性
總之,入侵檢測產(chǎn)品的目標(biāo)是成為“全面的網(wǎng)絡(luò)健康分析管理平臺”。
?
現(xiàn)有的入侵檢測系統(tǒng)還有其技術(shù)上的致命弱點(diǎn)。
幾年前,美國一家公司的兩個研究人員發(fā)現(xiàn)了一種躲避入侵檢測系統(tǒng)的技術(shù)(注:這里談到的是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)
NIDS
)。這種技術(shù)主要基于以下思想:在計算機(jī)世界里面,不同廠家生產(chǎn)的機(jī)器對網(wǎng)上數(shù)據(jù)的處理可能有一些細(xì)微的區(qū)別。特別是對一些不規(guī)范的數(shù)據(jù),工業(yè)界使用的標(biāo)準(zhǔn)中并不規(guī)定對這些不大可能出現(xiàn)的情況的處理方式,于是各廠家的處理便略有不同。
如果一個被入侵檢測的網(wǎng)絡(luò)存在著多于一種型號的機(jī)器,或者型號雖然相同,機(jī)上軟件的版本號不完全一致,對同一個數(shù)據(jù),不同機(jī)器
(
系統(tǒng)
)
的的表現(xiàn)行為可能有細(xì)微的差別。注意到,入侵檢測系統(tǒng)必須與被檢測機(jī)器有完全一致的行為,才能可靠的分辨攻擊表征
。
但在這種網(wǎng)絡(luò)組成比較復(fù)雜的情況下,入侵檢測系統(tǒng)不能不顧此失彼。于是經(jīng)過巧妙設(shè)計的攻擊表征便有可能影響目標(biāo)系統(tǒng),而不為入侵檢測系統(tǒng)察覺。目前在安全
產(chǎn)品市場上,只有極個別的產(chǎn)品具有抵御這種攻擊的能力。雖然在實(shí)踐中到目前為止這還不是個嚴(yán)重問題,但也不能不令人感覺遺憾。與防火墻技術(shù)比較,入侵檢測
技術(shù)目前還很不成熟,今后幾年內(nèi)應(yīng)當(dāng)有比較大的發(fā)展。
附錄:
國內(nèi)入侵檢測系統(tǒng)
(
產(chǎn)品
)
部分開發(fā)商名單
|
No:
|
安全企業(yè)名稱
|
產(chǎn)品名稱
|
|
1
|
北京理工先河科技發(fā)展有限公司
|
“金海豚”網(wǎng)絡(luò)安全動態(tài)防護(hù)系統(tǒng)
|
|
2
|
深圳安絡(luò)科技有限公司
|
安絡(luò)網(wǎng)警
NetsentryII
|
|
3
|
東軟集團(tuán)有限公司
|
東軟
NetEye IDS
|
|
4
|
北京海信數(shù)碼科技有限公司
|
海信眼鏡蛇入侵檢測系統(tǒng)
|
|
5
|
上海金諾網(wǎng)絡(luò)安全技術(shù)發(fā)展股份有限公司(原屬于公安部一所)
|
金諾網(wǎng)安
KIDS
|
|
6
|
北京啟明星辰信息技術(shù)有限公司
|
天闐黑客入侵檢測與預(yù)警系統(tǒng)
|
|
7
|
遠(yuǎn)東網(wǎng)安科技有限公司(
上市公司:遠(yuǎn)東股份 的控股公司
)
|
遠(yuǎn)東科技黑客煞星
|
|
8
|
北京中科網(wǎng)威信息技術(shù)有限公司
(協(xié)作伙伴:中國科學(xué)院網(wǎng)絡(luò)安全重點(diǎn)實(shí)驗(yàn)室)
|
中科網(wǎng)威
“
天眼
”
入侵偵測系統(tǒng)
|
|
9
|
北京冠群金辰科技有限公司
|
CA eTrust Intrusion Detection
|
|
10
|
北京清華紫光網(wǎng)聯(lián)科技有限公司
|
UnisIDS
|
|
11
|
北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司
|
信息審計系統(tǒng)
|
|
12
|
北京東方龍馬系統(tǒng)集成有限公司
|
東方龍馬網(wǎng)絡(luò)漏洞掃描系統(tǒng)
|
?
?
?2005.10.25? 于 北京中關(guān)村南大街 理工大廈12層