解析入侵检测产品的误报、误警与安全管理
发布时间:2011-08-16   作者:yiming

目前,人们对入侵检测产品(简称:IDS)最大的批评很可能就是误报。从技术层面上讲,误报就是指检测算法将正常的网络数据当成了攻击。但实际上用户所认为的误报却是误警。

 

IDS误报的典型情况

 

典型的情况:用户第一次使用IDS时,打开(起用)了所有可能的算法和配置,就等于说:"告诉我网络上所发生的一切。"他们对所有的活动都感到惊喜。也许他们的确抓住了个把坏蛋。可是一两个星期之后,他们会说:"唉,我被这些信息淹没了,我无法对它们进行响应。"于是就产生了"误报"的说法,事实上,在很多情况下,它们仅仅是误警。用户往往会对IDS报有错误的期望,他们指望IDS会自动提供他们希望看到的东西。我们距离这一目标还有很长的路要走。

 

在这方面,误报是一个关键问题。很显然,如果IDS产品将正常的网络数据当成攻击,客户就不会再安装IDS产品,以免影响其正常业务。IDS厂商应当投入大量资源和时间使IDS的算法运作良好,这样一来,当客户使用我们的产品时不会有很多误报。

 

而且问题并不总是出在工具上面,也取决于如何配置工具。任何产品都是如此,如果配置得当,你会发现设备反映灵敏。如果你打开所有的(监控)功能,则会造成数据泛滥,难以正常监控。

 

但实际情况比这更加复杂。两个不同的机构由于站点配置不同,对同一产品的误报的评价也不同。当你在一个没有人使用IE的网络中发现了IE流量,(就说明误报的存在)你同时对一个开放研究网和一个校园网中进行观察,得出的结论是完全不同的。

 

造成误报与误警的认识误区的一个重要原因是IDS所能报告的不只是攻击,而是报告网络的一切情况。例如IDS能够报告TCP连接的建立,HTTP请求的URL,而这些都不一定是攻击。IDS为什么要报告这些可能不存在攻击的事件呢?因为通过对这些事件的统计和分析,有时是能够在这些网络事件发现攻击迹象的。这也多少反映IDS的局限性,即它不可能百分之百精确地报告攻击,"电脑"有时还需要人脑的经验。

 

解决误报和误警问题的对策

 

解决误报和误警的对策有很多,但离目标还有很长的路要走。主要方法如下:

 

1.将基于异常的技术和传统的基于特征的技术相结合

 

异常检测的一个问题在于当今最好的研究工具也只有大约75%的成功率。因此,几乎没有客户能清楚地了解其网络运作情况。如果你给他们的产品总是提供不可靠的数据,他们将完全放弃该产品。

 

2.将协议分析技术与和传统的基于特征的技术相结合

 

在检测攻击的大量模式和方法的基础上,我们将协议分析技术、模式匹配和其他一些技术相结合,通过异常检测和一些统计门限等指标来确定攻击的发生。面对不同的情况,供应商应当从客户那里了解哪种模式对哪种攻击最有效,并进行试验,然后确定采用的模式。

 

3.强化IDS的安全管理功能

 

前两种改进方法的目标是提高IDS检测的精度和速度。检测系统"诊断"的速度和精确性不断提高,渐渐具备了防御功能,进而又演进为一种集中式的决策支持系统。今后IDS将淡化防御职能,强化管理职能,淡化入侵防御,强化入侵管理。我们需要建立一个不断掌握企业总体安全漏洞状况的决策支持系统。

 

首先,为了强化IDS的安全管理功能,需要对各种报警信息进行集成。

 

这在技术上是完全可行的。我们看到入侵检测传感器技术在后台收集数据方面的改进。数据收集功能将和一个机构的入侵检测基础架构更紧密地集成。

 

而我们目前的情况则正相反,由于手头只有大量零散的数据,我们得花力气去理解数据的含义。如果,能够将来自不同类型传感器平台的数据收集起来,并通过智能化的手段集成这些数据,我们就可以将多个小型事件综合成一幅大型"图片"。

 

报警信息的集成对最终用户有何重要意义呢?

 

这是非常重要的,这就是为什么你看到NetForensics、Intellitactics、Network Intelligence、e-Security这些报警监控供应商们急着对数据进行标准化,并允许用户交叉使用它们的数据。我们的问题在于每个企业网都具有自己特定形式的流量。将流量模式化并转换成适当的形式、减少误报等现象,这是很难做到的。

 

现在IDS已经发展到了一定的阶段,很显然,下一阶段的工作是全方位的管理。很多机构将注意力集中在管理事件并发掘其相关性上。这已不是单纯的IDS,它不仅关注入侵检测,而且着眼于漏洞评估。IDS需要确定系统是否存在漏洞,以及这些漏洞之间是否存在关联。在获取了评估所需的各组成部分(数据)之后,下一步将是产生漏洞信息。这涉及到与漏洞评估工具,如扫描器的集成。

 

现在,一个比较大的不利因素是缺乏标准。这完全可以理解,因为这一领域的发展太迅速了。现在有很多产品都可以产生报警,每种产品的实现方式都存在细微的差异,因而人们希望能够有一种集成的方式来解决:如何将NFR的数据格式(layout)映射成ISS的数据格式,如何将Snort的数据格式映射成Cisco的数据格式。而这本身就是一个棘手的问题。当然,供应商的问题在于是否有商业的驱动?我们是否看到了来自客户方面的解决此问题的压力?

 

其次,为了强化IDS的安全管理功能,还需要与入侵防御形成互动。

 

入侵防御和入侵检测可以互为补充。当你在使用入侵防护系统时,如果一种功能失效,可以通过其他功能弥补。入侵防御将成为整个防御系统的另一个重要层面。

 

一个有用的举措是安全设备的集成。因此,你将看到IDS和防火墙之间的联系越来越紧密,就象VPN已经开始向防火墙靠拢。如果这些服务捆绑在一起,就意味着它们可以协同工作,当IDS检测到事件发生时,将自动通知防火墙实施相应策略。但是,要做到这一点,我们必须将误报降至最低。

 

在一年左右的时间里,我们将继续看到防火墙成为IDS的有力补充。它们将在高层次上发挥特定的作用,它们可以根据你的需要设置进出网络的策略。任何IDS都可以检测你预先设定的行为,并可能阻止攻击。同时,你也将看到越来越多的防火墙具备IDS的能力。

 

最后,为了强化IDS的安全管理功能,必须使安全信息易于管理,必须使IDS易于使用。

 

用户是需要大量有关网络运作的信息,但事实并非只是如此。他们需要了解当前发生事件的意义。人们购买IDS是为了知道自己遇到了什么种类的攻击,以及攻击对网络所造成的影响。

 

用户需要的是安全信息易于理解性。安全信息的易理解性表现在网络信息的人文化、可视化,安全信息的图表化和信息挖掘。

 

用户还会需要易用性好,需要安全易于管理。例如在IDS中引入企业资产的概念,多样实用的报表,将事件按风险分类,自定义事件,事件的二次分析,容易与其他安全产品联动,与网络管理系统的无缝衔接等等。

 

提高IDS的易用性,一个非常重要的方面就是提高报警事件描述的质量。几乎所有的IDS都会提供对报警事件的详细描述,报警事件的描述一般包括:事件名称、事件介绍、发布日期、影响的平台和解决的方法。

 

但是,现在很多事件的描述都很简单,比方说在解决方法里面只是提到打什么Patch等,对于缺乏安全经验的网络管理员来说,非常不具备操作性。如果你能够提供网站的连接,告诉他操作的思路,就会好很多。

 

很多IDS提供了防火墙联动的功能,但是在事件的描述中只字不提如何利用联动阻止攻击,这个例子是说明作为这么重要的事件描述功能,应该和IDS的其他功能结合起来,在事件描述中不仅告诉用户事件的起源、影响平台等,还需要告诉客户如何利用好IDS来一定程度的解决问题。

 

这体现了IDS产品本身的内在耦合性存在问题。这也许和许多IDS厂商只是简单的将检测规则和报警事件从其他地方复制或翻译过来,不做深入分析有关。

 

如果你的工具易用了,用户就会懂得如何更好的配置,大大地减少误警。

 

总之,由于方法论的问题,IDS的误报和误警是不可能彻底解决的,这个问题对IDS的方向的影响就是它需要走强化安全管理功能的道路。它需要强化对多种安全信息的收集功能,它需要提高IDS的智能化分析和报告能力,它需要与多种安全产品形成配合。只有这样,IDS才有可能成为网络安全的重要基础设施。

文章来源:Amteam.org
  • 联系我们 | 网站地图 | 法律声明 | 投资者关系 | 产品体验
  • © 启明星辰1996-2012 版权所有 京ICP备05032414号 京公网安备110108003435号