有時，我們似乎是在通過針孔攝像機來尋找網絡攻擊。我們運用不同的工具（利用防火墻和入侵檢測系統）來監視周邊環境，監視通過惡意軟件的攻擊（利用反惡意攻擊軟件）、利用欺騙手段發起的攻擊（利用反釣魚解決方案），以及對動態數據的攻擊（利用流量分析和網絡攻擊日志記錄）和對靜態數據的攻擊（利用系統和應用程序日志記錄）。每種工具都起到了很大的作用，但我們似乎很少看到有一種工具能夠為所有相關數據提供一種網絡態勢感知能力。

最近我讀了一篇文章，是集成Web安全、數據安全和電子郵件安全產品制造商Websense的銷售副總裁Andrew Philpot寫的一篇很有意思的關于統一內容安全的文章，這是針對英國和愛爾蘭的。他的基本觀點來自于其自己公司研究實驗室的數據支持，他表示“統一內容安全可以使企業在不妨礙合法企業操作的情況下管理風險。像這樣一個系統在安全決策的過程中擔任一個中間角色；它通過多個溝通渠道和內容分類來達到這個目的，以識別潛在的安全威脅。這既包括外部也包括內部安全，防止數據丟失和業務濫用，它和傳統的停止惡意軟件和周邊安全攻擊的手段一樣有效?！?/P>

我在閱讀Philpot的文章中的一些細節的同時，還看到了一篇研究論文，是由澳大利亞墨爾本大學計算機科學和軟件工程的幾位作者寫的，《一個關于協調攻擊和協同入侵檢測的調查》，該論文的摘要如下：

協調的攻擊，如大規模的隱蔽掃描、蠕蟲病毒的爆發和分布式拒絕服務攻擊，在多個網絡同時進行。這種攻擊是非常難以用隔離的入侵檢測系統來進行監測的，即使能監測，監測的也只是互聯網的一個非常有限的部分。在本文中，我們總結了當下利用協同入侵檢測系統（CIDS）檢測上述攻擊的研究方向。我們強調了兩個在當下CIDS研究過程中的主要挑戰：CIDS架構和報警關聯算法，并回顧了當下應對這兩個方面挑戰的CIDS方法。最后，我們強調了綜合解決大范圍協同入侵檢測的機會作為總結。

作者以一個關于幾個協調攻擊的調查作為開始，包括2003年的SQL-Slammer蠕蟲病毒和2007年的風暴蠕蟲。這些攻擊是典型的“非常難以察覺的，因為這些攻擊的證據通過多個網絡管理域進行傳播?！毖芯咳藛T說為了及時發現大規模的協調攻擊，我們需要結合來自多個地理分布的可疑網絡活動的證據。他們認為，CIDS允許從多個來源搜集證據是非常必要的。他們還主張實時處理，而不是進行事后的大量數據分析。因為“盡管協調的攻擊可能在稍后階段更容易發現，但是入侵檢測工具的作用將被削弱，因為到了那個階段，這種損害已經造成了?！?/P>

CIDS有兩個主要的組成部分：

1.一個檢測單元，由多個檢測傳感器組成，每個傳感器都監測其自身所在的子網或者單獨的主機，然后生成低級別的入侵警報。

2.一個相關單元，將低級別的入侵警報轉化成高級別的經過攻擊確認的入侵檢測報告。

特別有趣的兩個部分是文章有關隱私和信任的部分。作者指出了信息共享系統的參與者將不愿意提供數據，除非他們的數據可以得到保護。一種方法是進行消毒，其中身份信息要么被刪除要么被改造。他們寫道“另一個重要的方面是超出了文章的重點，那就是關于協調入侵檢測的安全和信任問題。這個問題在CIDS系統中比其他問題的優先級低了很多。”消息認證是有用的，但是這種方法不能防止合法用戶發送惡意數據。

筆者認為，CIDS將是網絡安全的未來。

【編輯推薦】

1. IDS入侵檢測在企業應用中的四種難題
2. 入侵檢測系統的性能的辨別