抓住罪恶之手——入侵检测产品购买
发布时间:2010-06-30   作者:yiming

入侵检测系统(Intrusion Detection System,简称IDS)是一种动态安全防护技术。该技术通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,为网络系统提供保护。IDS的实现形式有软件、硬件和软硬一体三种,通常采用管理控制中心和检测引擎组成的分布式体系结构。管理控制中心基于GUI,用于检测引擎管理和显示告警信息。检测引擎通过监视网络或系统资源来执行入侵检测,并向管理控制中心告警。检测引擎配置在需要监控的网段或主机/服务器中,配置的颗粒度取决于网络系统的安全策略。

 

IDS的工作流程可分成数据采集、数据分析和做出响应三部分。IDS首先采集来自网络系统不同节点(不同子网和不同主机)隐藏了网络入侵行为的数据,例如系统日志、网络数据包、文件与用户活动的状态和行为;接着通过模式匹配、异常检测和完整性分析等技术,IDS对数据进行分析以寻找入侵;最后,一旦发现入侵,IDS就进入响应过程,并在日志、告警和安全控制等方面作出反应。   

 

入侵检测产品分类   

 

根据采集数据源的不同,IDS可分为主机型IDS(Host-based IDS,简称HIDS)和网络型IDS(Network-based IDS,简称NIDS)。HIDS从主机/服务器上采集数据,包括操作系统日志、系统进程、文件访问和注册表访问等信息,NIDS则直接从网络中采集原始的数据包。HIDS的检测引擎被称为主机代理,NIDS的检测引擎被称为网络引擎。HIDS的主机代理安装在所保护的主机/服务器上,不同的操作系统平台需要不同的主机代理。NIDS的网络引擎放置在需要保护的网段内,不占用网络资源,可以保护整个网段。   

 

HIDS和NIDS都能发现对方无法检测到的一些入侵行为,可互为补充。完美的IDS产品应该将两者结合起来。   

 

IDS的作用   

 

监视、分析用户及系统活动;

 

进行系统配置和弱点审计;

 

识别反映已知进攻的活动模式并向相关人士报警;

 

进行异常行为模式的统计分析;

 

评估重要系统和数据文件的完整性;

 

进行操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

 

HIDS的主要优点   

 

误报率低;

 

适合加密和交换的环境;

 

能够检查到NIDS检查不出的攻击;

 

确定攻击是否成功;

 

不需要额外的硬件设备。

 

NIDS的优点   

 

成本较低;

 

可检测到HIDS漏掉的攻击;

 

便于取证;

 

实时检测和响应。

 

传统入侵检测技术   

 

模式匹配

 

模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。   

 

异常检测

 

异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。

 

完整性分析

 

完整性分析关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。

 

入侵检测新进展   

 

协议分析和状态协议分析

 

它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量。

 

状态协议分析就是在常规协议分析技术的基础上,加入状态特性分析,即不仅仅检测单一的连接请求或响应,而是将一个会话的所有流量作为一个整体来考虑。有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的,因为攻击行为包含在多个请求中,此时状态协议分析技术就显得十分必要。  

 

协议分析和状态协议分析技术与模式匹配技术相比,具有如下的优点:性能提高;准确性提高;基于状态的分析;反规避能力大大增强;系统资源开销小。   

 

互操作

 

网络的特性之一就是开放与共享,IDS开始强调互操作。这种互操作体现在两方面,一方面是各个IDS之间的信息交换,另一方面是IDS与其他安全设备之间的互动。IETF制定了IDS之间信息交换的规范IDXP(Intrusion Detection Exchange Protocol)和IDMEF(Intrusion Detection Message Exchange Formats)。   

 

国外以Check Point为首的安全厂商,提出了开放平台安全互联OPSEC的概念。OPSEC具有一个很广的集成接口范围,通过这种集成,可使各种安全产品能以最有效的方式进行互操作,而且管理配置简单。IDS与防火墙的联动就是上述安全体系的组成部分。   

 

移动代理

 

移动代理的工作平台可以在不同系统上运行。通过在各个操作系统中运行移动代理的虚拟机,可以将硬件和操作系统的平台细节屏蔽,使代理获得统一的界面。  

 

将移动代理技术应用到IDS中,不仅能实现全网络范围内的入侵检测功能,具有良好的可移植性;而且对网络系统和主机的资源占用较低,减少了出现网络瓶颈的可能。移动代理使得分布式协同入侵检测更为灵活。  

 

入侵检测面临的问题   

 

误报和漏报   

 

当前IDS使用的主要检测技术仍然是模式匹配,模式库的组织简单、不及时、不完整,而且缺乏对未知攻击的检测能力。

 

随着网络规模的扩大以及异构平台和不同技术的采用,尤其是网络带宽的迅速增长,IDS的分析处理速度越来越难跟得上网络流量,从而造成数据包丢失。

 

网络攻击方法越来越多,攻击技术及其技巧性日趋复杂,也加重了IDS的误报、漏报现象。 

 

拒绝服务攻击

 

IDS是失效开放(Fail Open)的机制,一旦系统停止作用,整个网络或主机就变成开放的,这与防火墙的失效关闭(Fail Closed)机制正好相反,防火墙一旦失效,整个网络是不可访问的。因此,当IDS遭受拒绝服务攻击时,这种失效开放的特性使得黑客可以实施攻击而不被发现。下面的一些典型攻击很容易使IDS被拒绝服务:大流量攻击; IP碎片攻击; TCP连接攻击;   

 

报警攻击;日志攻击。其中报警攻击指攻击者可以参照网上公布的检测规则,在攻击的同时故意发送大量能够引起IDS报警的数据,让网管员收到大量报警,难以分辨出真正的攻击。而日志攻击则是攻击者发送大量能够引起IDS报警的数据,最终导致IDS进行日志的空间被耗尽。  

 

插入和规避

 

插入攻击和规避攻击是两种逃避IDS检测的攻击形式。其中插入攻击可通过定制一些错误的数据包到数据流中,使IDS误以为是攻击。规避攻击则相反,可使攻击躲过IDS的检测到达目的主机。插入攻击的意图是使IDS频繁告警(误警),但实际上并没有攻击,起到迷惑管理员的作用。规避攻击的意图则是真正要逃脱IDS的检测,对目标主机发起攻击。黑客经常改变攻击特征来欺骗基于模式匹配的IDS。  

 

未来的发展趋势   

 

策略

 

IDS发现网络入侵仅仅成功了一半,对告警信息的进一步分析才能充分挖掘IDS的潜力。从策略上看,网络入侵检测未来的发展趋势是建立地区性的入侵检测处理中心,进行入侵检测分析,达到多部门合作和高技能化的目标。  

 

技术

 

在网络入侵检测技术的发展方向上,工业界和学术界持截然不同的观点。   

 

工业界将重点放在协议分析技术和状态协议分析技术方面。协议分析和状态分析能够理解不同协议的工作原理,由此分析这些协议的流量来寻找可疑行为,并将一个会话的所有流量作为一个整体来考虑。目前,多数停留在模式匹配技术的IDS产品,已难以满足100Mbps。   

 

1000Mbps网络的需要,协议分析和状态分析无疑将是这些产品技术升级的最佳选择。   

 

学术界的方向是智能化检测技术。海量数据的存在以及网络环境和网络攻击的复杂性,使传统的IDS在建立模型方面缺乏精确性。而智能化检测的相关技术如神经网络、数据挖掘和免疫原理等等引起IDS学术界的广泛关注。从长远来看,智能化入侵检测是大势所趋,只是目前还缺乏关键性的突破。

文章来源:计世网
  • 联系我们 | 网站地图 | 法律声明 | 投资者关系 | 产品体验
  • © 启明星辰1996-2012 版权所有 京ICP备05032414号 京公网安备110108003435号