数据分析协同
入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据,以发现一些简单的入侵行为,还需要在此基础上利用数据挖掘技术,分析多个检测引擎提交的审计数据以发现更为复杂的入侵行为。
理论上讲,任何网络入侵行为都能够被发现,因为网络流量和主机日志记录了入侵的活动。数据分析协同需要在两个层面上进行,一是对一个检测引擎采集的数据进行协同分析,综合使用检测技术,以发现较为常见的、典型的攻击行为; 二是对来自多个检测引擎的审计数据,利用数据挖掘技术进行分析,以发现较为复杂的攻击行为。考核IDS数据分析能力可以从准确、效率和可用性三方面进行。基于这一点,可以认为,检测引擎是完成第一种数据分析协同的最佳地点,中心管理控制平台则是完成第二种数据分析协同的最佳地点。
当检测引擎面对并非单一的数据时,综合使用各种检测技术就显得十分重要。从攻击的特征来看,有的攻击方法使用异常检测来检测会很容易,而有的攻击方法使用模式匹配来检测则很简单。因此,对检测引擎的设计来说,首先需要确定检测策略,明确哪些攻击行为属于异常检测的范畴,哪些攻击属于模式匹配的范畴。中心管理控制平台执行的是更为高级的、复杂的入侵检测,它面对的是来自多个检测引擎的审计数据。它可就各个区域内的网络活动情况进行“相关性”分析,其结果为下一时间段及检测引擎的检测活动提供支持。例如黑客在正式攻击网络之前,往往利用各种探测器分析网络中最脆弱的主机及主机上最容易被攻击的漏洞,在正式攻击之时,因为黑客的“攻击准备”活动记录早已被系统记录,所以IDS就能及时地对此攻击活动做出判断。目前,在这一层面上讨论比较多的方法是数据挖掘技术,它通过审计数据的相关性发现入侵,能够检测到新的进攻方法。
传统数据挖掘技术的检测模型是离线产生的,就像完整性检测技术一样,这是因为传统数据挖掘技术的学习算法必须要处理大量的审计数据,十分耗时。但是,有效的IDS必须是实时的。而且,基于数据挖掘的IDS仅仅在检测率方面高于传统方法的检测率是不够的,只有误报率也在一个可接受的范围内时,才是可用的。
美国哥伦比亚大学提出了一种基于数据挖掘的实时入侵检测技术,证明了数据挖掘技术能够用于实时的IDS。其基本框架是: 首先从审计数据中提取特征,以帮助区分正常数据和攻击行为; 然后将这些特征用于模式匹配或异常检测模型; 接着描述一种人工异常产生方法,来降低异常检测算法的误报率; 最后提供一种结合模式匹配和异常检测模型的方法。实验表明,上述方法能够提高系统的检测率,而不会降低任何一种检测模型的效能。在此技术基础上,实现了数据挖掘的实时IDS则是由引擎、检测器、数据仓库和模型产生四部分构成,如图所示。其中,引擎观察原始数据并计算用于模型评估的特征; 检测器获取引擎的数据并利用检测模型来评估它是否是一个攻击; 数据仓库被用作数据和模型的中心存储地; 模型产生的主要目的是为了加快开发以及分发新的入侵检测模型的速度。
响应协同
前面已经论述,由于IDS在网络中的位置决定了其本身的响应能力相当有限,响应协同就是IDS与有充分响应能力的网络设备或网络安全设备集成在一起,构成响应和预警互补的综合安全系统。响应协同主要包含下面的几个方面。
1.IDS与防火墙的协同:
防火墙与IDS可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是IDS可以通过了解防火墙的策略,对网络上的安全事件进行更有效的分析,从而实现准确的报警,减少误报;动态的方面是当IDS发现攻击行为时,可以通知防火墙对已经建立的连接进行有效的阻断,同时通知防火墙修改策略,防止潜在的进一步攻击的可能性。
2.IDS与路由器、交换机的协同
由于交换机和路由器防火墙一样,一般串接在网络上。同时都有预定的策略,可以决定网络上的数据流,所以IDS与交换机、路由器的协同与IDS同防火墙的协同非常相似,都有动态和静态两个方面,过程也大致相同,这里不作详细的论述。