入侵檢測(cè)(IDS)產(chǎn)品從里到外發(fā)生改變
面對(duì)日益嚴(yán)重的攻擊,入侵檢測(cè)系統(tǒng)(IDS)作為防火墻的有力補(bǔ)充,實(shí)時(shí)監(jiān)視著網(wǎng)絡(luò)中的不法行為;
阻止入侵或試圖控制系統(tǒng)及網(wǎng)絡(luò)資源的惡意攻擊,
正在成為安全部署中不可或缺的工具之一,
其產(chǎn)品與技術(shù)正在不斷地更新和發(fā)展,新亮點(diǎn)不斷涌現(xiàn)。
提到網(wǎng)絡(luò)安全,很多人首先想到的是防火墻。配置適當(dāng)?shù)姆阑饓﹄m然可以將非預(yù)期的訪問(wèn)請(qǐng)求屏蔽在外,但不能檢查出經(jīng)過(guò)它的合法流量中是否包含著惡意的入侵代碼。在這種需求背景下,入侵檢測(cè)系統(tǒng)(IDS)應(yīng)運(yùn)而生。隨著網(wǎng)絡(luò)的發(fā)展,IDS技術(shù)也在不斷更新和變化。
變被動(dòng)為主動(dòng)
目前IDS產(chǎn)品常用的檢測(cè)技術(shù)主要有以下幾種:專(zhuān)家系統(tǒng)、基于模型的入侵檢測(cè)方法、簡(jiǎn)單模式匹配。但以上的集中檢測(cè)技術(shù)都存在著一些缺陷,導(dǎo)致目前的入侵檢測(cè)系統(tǒng)不夠完善,存在大量誤報(bào)和漏報(bào)現(xiàn)象。這種現(xiàn)狀也促使廠商進(jìn)行技術(shù)革新。很多廠商,特別是防火墻廠商提出了IPS(IDP)的概念,如NAI推出的IPS產(chǎn)品、Netscreen推出的IDP產(chǎn)品等都融入了這個(gè)概念。這種IPS技術(shù)將防火墻的訪問(wèn)控制、應(yīng)用代理、路由轉(zhuǎn)發(fā)等功能統(tǒng)統(tǒng)去掉,以網(wǎng)橋形態(tài)接入網(wǎng)絡(luò)中,利用防火墻上日益成熟的防范攻擊的功能,為用戶(hù)提供主動(dòng)而有效的入侵防護(hù)系統(tǒng)。IPS產(chǎn)品的出現(xiàn)就是重點(diǎn)突出和強(qiáng)化了IDS中的阻斷功能,并為此將傳統(tǒng)IDS的旁路監(jiān)聽(tīng)模式改為干路轉(zhuǎn)發(fā)模式。
目前,從各廠商推出的IPS產(chǎn)品來(lái)看,其技術(shù)所倡導(dǎo)的核心是主動(dòng)防御和在線安裝的理念,除了采用IDS的集中檢測(cè)方法外,還增加了事件關(guān)聯(lián)等技術(shù),并可以有選擇地阻斷惡意攻擊,而且,在不斷檢測(cè)過(guò)程中,還具有積累以往的經(jīng)驗(yàn)而自動(dòng)學(xué)習(xí)的功能,不斷更新策略,使防御更加主動(dòng)、更加智能化。當(dāng)然,有些所謂的IPS產(chǎn)品還是沿用了傳統(tǒng)IDS對(duì)事件的匹配方法對(duì)攻擊行為進(jìn)行鑒別,但不同于傳統(tǒng)IDS發(fā)送Reset包的方式,IPS可以直接將流經(jīng)本身的數(shù)據(jù)阻斷。
結(jié)構(gòu)越來(lái)越復(fù)雜
目前的IDS產(chǎn)品從結(jié)構(gòu)上說(shuō),是向著復(fù)雜化方向發(fā)展,分布式產(chǎn)品越來(lái)越多地被各個(gè)廠商所推薦。實(shí)際上,這和IDS本身所存在的一個(gè)技術(shù)障礙有關(guān):誤報(bào)率和漏報(bào)率高。這主要由于三個(gè)原因:一是入侵檢測(cè)系統(tǒng)知識(shí)庫(kù)中,事件特征描述對(duì)攻擊行為認(rèn)識(shí)的不確定性;二是入侵檢測(cè)引擎中,檢測(cè)分析證據(jù)來(lái)源獲取的不確定性; 三是由于攻擊行為來(lái)自于復(fù)雜的網(wǎng)絡(luò)環(huán)境,信息來(lái)源具有復(fù)雜的時(shí)空結(jié)構(gòu),相應(yīng)的分析體系中,攻擊知識(shí)獲取轉(zhuǎn)換具有不確定性。針對(duì)這些因素,降低誤警技術(shù)途徑主要在三個(gè)方向展開(kāi)。
降低誤警漏警的第一個(gè)技術(shù)途徑是事件庫(kù)的完備表達(dá)。與各種攻擊有關(guān)的定性知識(shí)與定量知識(shí)的表達(dá)與推理是入侵檢測(cè)問(wèn)題的核心。通過(guò)漏洞機(jī)理特征分析,對(duì)事件庫(kù)進(jìn)行精確定義;基于高層協(xié)議解析和狀態(tài)簽名技術(shù),對(duì)漏洞事件進(jìn)行精確匹配處理;對(duì)高層協(xié)議解析處理可直接準(zhǔn)確地產(chǎn)生應(yīng)用連接和應(yīng)用登錄事件。通過(guò)增加會(huì)話流匹配技術(shù),對(duì)利用成組報(bào)文特征、返回報(bào)文特征進(jìn)行事件精確定義。通過(guò)對(duì)事件庫(kù)進(jìn)行多維信息源關(guān)聯(lián)數(shù)據(jù)維護(hù),以備后續(xù)處理引擎分層、分布匹配過(guò)濾預(yù)警信息。 通過(guò)提高事件庫(kù)對(duì)標(biāo)準(zhǔn)漏洞的覆蓋率、應(yīng)用協(xié)議覆蓋率、攻擊工具覆蓋率,可以大大降低系統(tǒng)漏警率,同時(shí)提高系統(tǒng)對(duì)報(bào)文變形、碎片的處理能力,也是對(duì)付IDS反躲避的關(guān)鍵技術(shù)。
降低誤警漏警的第二個(gè)技術(shù)途徑是,檢測(cè)分析證據(jù)來(lái)源信息的全面獲取。網(wǎng)絡(luò)入侵檢測(cè)的信息獲取的完整與全面,是降低檢測(cè)誤警的基礎(chǔ)。為使在復(fù)雜環(huán)境中的信息獲取更全面,獲取過(guò)程應(yīng)該具有階段性,獲取信息應(yīng)該具有層次性、分布性。信息采集包括系統(tǒng)內(nèi)核信息、系統(tǒng)日志信息、事件信息、應(yīng)用日志信息等層次,獲取對(duì)象包括網(wǎng)絡(luò)和進(jìn)程、主機(jī)和域、用戶(hù)、組和所有者、服務(wù)等。
降低誤警漏警的第三個(gè)技術(shù)途徑是,設(shè)計(jì)具有多數(shù)據(jù)源采集、事件綜合集成功能的入侵管理分析系統(tǒng)。入侵管理分析系統(tǒng)的設(shè)計(jì)是減少誤警的基礎(chǔ)。由于攻擊行為來(lái)自于復(fù)雜的網(wǎng)絡(luò)環(huán)境,信息來(lái)源具有復(fù)雜的時(shí)空結(jié)構(gòu),相應(yīng)的分析體系也應(yīng)該體現(xiàn)分級(jí)、分層和分階段的處理特點(diǎn)。因此,為處理復(fù)雜的網(wǎng)絡(luò)攻擊行為的檢測(cè)識(shí)別問(wèn)題,網(wǎng)絡(luò)入侵檢測(cè)的分析體系應(yīng)該設(shè)計(jì)成為具有自適應(yīng)與自管理分析功能的多級(jí)數(shù)據(jù)融合體系。
向易用性轉(zhuǎn)變
從實(shí)際使用情況來(lái)看,目前購(gòu)買(mǎi)IDS的主要用戶(hù)群一般集中在那些擁有比較專(zhuān)業(yè)的網(wǎng)管人員、對(duì)網(wǎng)絡(luò)安全需求比較高的單位,特別是銀行等金融行業(yè)。這也從側(cè)面說(shuō)明了,由于目前的IDS還處于一個(gè)工具的狀態(tài),沒(méi)有能夠成為一個(gè)真正適用于廣大用戶(hù)的產(chǎn)品,只用擁有專(zhuān)業(yè)網(wǎng)絡(luò)知識(shí)的操作者才能對(duì)IDS系統(tǒng)進(jìn)行有效的策略配置和規(guī)則優(yōu)化,并能從大量的報(bào)警信息中找到那些真正的入侵行為。銀行和電信行業(yè)出于自身的行業(yè)特點(diǎn),對(duì)網(wǎng)絡(luò)安全的需求非常高,通常都建設(shè)了自身的網(wǎng)絡(luò)管理隊(duì)伍和網(wǎng)絡(luò)安全體系。大多數(shù)的企業(yè)和事業(yè)單位對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)都停留在防病毒和防火墻的層次上,很少對(duì)網(wǎng)絡(luò)整體安全有深刻的認(rèn)識(shí)和建設(shè)規(guī)劃;網(wǎng)絡(luò)管理人員一般也是兼職人員或力量薄弱,很少有時(shí)間和精力專(zhuān)門(mén)處理非常復(fù)雜的IDS報(bào)警信息。
為了使IDS真正成為一個(gè)適用于大多數(shù)用戶(hù)的產(chǎn)品,大多數(shù)IDS廠商都在盡力提高IDS產(chǎn)品的易用性。上面提到的新的分布式結(jié)構(gòu)IDS產(chǎn)品的最終目的也是要解決易用性問(wèn)題。只有減少了誤報(bào)率和漏報(bào)率,用戶(hù)看到的報(bào)警都是比較準(zhǔn)確和完整的攻擊信息,才能比較放心地進(jìn)行阻斷和處理,而不必像以前那樣,利用經(jīng)驗(yàn)和專(zhuān)業(yè)知識(shí)去分析和猜測(cè)大量報(bào)警信息中的真正有用的部分。