随着网络的发展和应用的深入,黑客入侵事件变得越来越猖獗,给企业带来的损失和威胁也日益加大。人们发现,仅仅依靠传统的操作系统加固和防火墙隔离等静态安全防御技术已经远远无法满足现有网络安全的需要了。入侵检测系统(Intrusion Detection System? IDS)作为近十多年来发展起来的新一代动态安全防范技术,得到了深入的研究和广泛的应用。IDS通过对计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应于一体的动态安全技术,不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动。
IDS面临的主要挑战
与防火墙技术相比,入侵检测还显得不够成熟,仍然处于发展阶段。负责对IDS进行标准化的入侵检测工作组(IDWG)及公共入侵检测框架(CIDF)的建议和草案,都还处于逐步完善之中,尚未被采纳为广泛接受的国际标准。因此,IDS还面临着很多技术和应用的挑战。
1.要提高IDS的检测速度,以适应网络通信的要求。
网络安全设备的处理速度,一直是影响网络性能的一大瓶颈。IDS通常以并联方式接入网络,如果其检测速度跟不上网络数据的传输速度,那么检测系统就会漏掉其中的部分数据包,从而导致漏报而影响系统的准确性和有效性。在IDS中,截获网络的每一个数据包,并分析、匹配其中是否具有某种攻击的特征,需要花费大量的时间和系统资源,大部分现有的IDS只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,IDS技术发展的速度已经远远落后于网络速度的发展。
2.要减少IDS的漏报和误报。
基于模式匹配分析方法的IDS,主要判别搜集到的数据特征是否在入侵模式库中出现。因此,面对每天都有新的攻击方法产生和新漏洞发布,攻击特征库不能及时更新,是造成IDS漏报的一大原因。而基于异常发现的IDS,通过流量统计分析建立系统正常行为的轨迹,只要系统运行时的数值超过正常阈值,则认为可能受到攻击,这种技术本身就导致了其漏报误报率较高。
3.要提高IDS的互动性能。
在大型网络中,网络的不同部分可能使用了多种IDS,甚至还有防火墙、漏洞扫描等其它类别的安全设备,这些IDS之间以及IDS和其它安全组件之间,如何交换信息,共同协作来发现攻击,并阻止攻击,是关系整个系统安全性的重要因素。
因此,厂商应该从多个角度来提高IDS的技术水平和性能。在建立入侵检测标准和接口的同时,可以利用多点分析和关联技术提高检测的精确度,并制定出与其它安全设备的互动机制,构建一个全面的、实时的、动态的安全系统。
IDS的应用
防火墙和杀毒软件作为最早被用户接受的网络安全产品,已经成了安全方案中不可缺少的一部分。但是,仅仅依靠防火墙是远远不够的。IDS作为全面安全产品体系的一部分,能保护重要的信息免受外部和内部的威胁。
IDS也不是万金油,面对不恰当的系统管理它也无能为力。IDS的安装和维护都比较复杂,而且其较高的误报率也要求用户必须配备和培训专业人员来判断检测报告结果的正确性。因此,是否要考虑装备IDS或者应用什么样的IDS,都要视企业的具体情况和需求而定。
1.根据组织的安全需求及既定的安全策略,来确定所需的IDS。首先确定企业的资产清单,全面评估其信息系统的风险,定位出企业的关键资产和最严重的威胁;再结合企业可付出的预算,以及风险控制的可接受范围,制定出恰当的安全策略。
2.根据企业所要保护的系统,来确定选择基于主机的IDS还是基于网络的IDS、或是二者的结合。用户可以使用基于主机的IDS,来着重保护关键的主机和服务器,处理加密的数据,并从系统、用户、过程和应用的层次来检测异常行为;而基于网络的IDS主要用于检测网络中数据包是否隐藏着攻击,可以监测防火墙的内网、外围和DMZ部分,以确保防火墙的策略,以及检测DoS攻击、监视特定的服务和协议。
3.综合比较各种IDS的性能和价格,来选择具体应用的产品。用户可以从商业资料和测试报告来获取IDS产品的功能和性能指标。关键指标应该尽量选择参考独立第三方机构的评测报告。
4.IDS和其它安全设备一样,正确地配置和维护,是使它能真正发挥作用的关键之处。没有正确配置的IDS也是无法实现其检测和响应能力的,而且IDS还有特征库升级、报警响应、误报处理等需要更多维护工作的方面。
入侵检测主要技术
我们经常根据获取原始数据的途径,将IDS分为基于主机(HIDS)和基于网络的IDS(NIDS)。
IDS通过对入侵行为的过程与特征的研究,从而对入侵事件和过程作出实时响应。IDS从分析方式上分为两种:模式匹配(Signature-based)和异常发现(Anomaly-based)。
1.模式匹配的关键是,将所有入侵行为和手段及其变种,包括系统的误用,表达为一种模式或特征,建立一个入侵模式库。检测时,主要判别主机或者网络中所搜集到的数据特征是否在所收集到的入侵模式库中出现,匹配可以是简单的字符串匹配,也可以是正则的数学表达式所表示的安全状态的变化。模式匹配方式可以详细、准确地报告出已知的攻击类型,误报率低,但是对未知攻击却效果有限,而且入侵模式库必须不断更新,以对付不断出现的黑客攻击手法。
2.异常发现通过流量统计分析,建立系统正常行为的轨迹,定义一组系统“正常”情况的阈值,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。系统正常行为可以包括CPU利用率、内存利用率、文件校验和等系统信息,也可以包括用户正常使用的访问时间和次数、操作失败次数和延时等行为测量数据。这种检测技术的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。