黑客攻击的目标主要是用户终端,如果入侵检测系统不能和操作系统内核很好地配合,那么产品再多,做得再好,也是治标不治本。
主流的入侵检测方法有三种
通常,入侵检测系统按照其工作原理主要分为三种类型:基于网络的入侵检测系统、基于主机的入侵检测系统和分布式入侵检测系统。其中前两种应用得最广泛,国内大多数的产品都是基于这样的工作原理。基于网络的入侵检测系统检测的数据来源于网络中的数据包,与受保护网段内的主机无关,适用范围比较广,并且一般不影响网络流量和受保护主机的性能;基于主机的入侵检测系统检测的数据来源于系统日志、审计记录,与受保护主机的操作系统等有关,因此一般只适用保护特定的计算机。
分布式入侵检测系统这种工作方式比较新,目前这种技术在例如ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包,不同的是,它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的入侵检测系统,只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大,但对网络流量有一定的影响。
在漏报率方面国内产品有待提高
现在国际上比较有名的入侵检测系统有ISS公司的RealSecure、Enterasys公司的 Dragon等。他们将基于主机和基于网络的入侵检测技术基础集成在一起,扩大了检测的数据源,降低了漏报率,并且对于检测针对主机的攻击效果比较好。但是这种方法的实施难度特别大,还要考虑到网络中不同计算机操作系统的差异,需要将数据格式进行转换,以达到统一。这些产品系统性能相对比较稳定,特征知识库更新速度比较快。
国内公司生产的入侵检测系统也比较多,如上海复旦光华信息股份有限公司的光华S-Audit网络入侵检测与安全审计系统V3.0、常州远东科技有限公司的“黑客煞星”、长沙天一银河信息产业有限公司的“天一猎鹰入侵检测系统(V1.0)、上海三零卫士信息安全有限公司的鹰眼网络安全监测仪、上海金诺网安的KIDS Ver3.0等。它们的体系结构大同小异,性能相差不大,都能检测到以下一些攻击事件,如多数的扫描、嗅探、后门、病毒、拒绝服务、分布式拒绝服务、非授权访问、欺骗等。由于它们大多是以误用检测的分析方法为主,因此有的漏报率相对高一些,特征知识库更新速度相对也要慢一些。
入侵检测应该与操作系统绑定
目前的入侵检测产品的固有缺陷是,与操作系统结合程度不紧,这样对于新出现的、比较隐秘的攻击手法和技术,一般很难检测出来,即使对于同一种攻击手法和技术,如果变化复杂些,也很难发现。它们也不能确定黑客攻击系统到了什么程度,如黑客现在的攻击对系统是否造成了威胁,黑客现在拥有了系统哪个级别的权限,黑客是否控制了一个系统等。由于一般情况下,只要有攻击,入侵检测系统就会发出警报,这样就可能被黑客利用,不停地发送具有攻击特征的数据包,虽然这对被攻击对象没有什么危险,但能使入侵检测系统淹没在一片报警声中,从而使入侵检测系统失效。此外,它们还会对数据包的内容进行检查,因此对于加密了的数据包,这部分功能就失效了。
由于计算机网络出现的初衷是为了方便通信和交流,充分利用资源,在其发展之初没考虑到安全方面的问题,因此在到了出现网络安全事故时候,才开始采取补救措施,而这种补救是外加的,如现在流行的防火墙、入侵检测系统等,很少涉及到通信协议的修改。操作系统出现之初,也很少考虑到安全,如操作系统的核心是内存管理、进程管理、文件管理,只是考虑如何有效地去管理资源,没有加入被黑客攻击时如何去应对这一部分功能。这就造成了在传输部分、终端部分存在很多安全隐患,由于整个系统庞大,不可避免地存在大量漏洞。由于黑客攻击的目标主要是终端部分,因此入侵检测系统最好能与操作系统内核结合起来,现在的lids在这方面进行了比较深入的研究,否则无论做得怎样好,也是治标不治本。
--------------------------------------------------------------------------------
数据分析的两类常用方法
入侵检测系统进行数据分析有两种常用方法:误用检测、异常检测。误用检测是将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果发现有攻击特征,则判断有攻击。特征知识库是将已知的攻击方法和技术的特征提取出来,来建立的一个知识库。
异常检测则是对收集到的数据进行统计分析。它首先假定所有的攻击行为与正常行为不同,这样发现与正常行为有不同时,则判断存在攻击。这需要建立正常行为的标准,如登录时错误次数为多少时视为正常。
相比而言,误用检测的原理简单,很容易配置,特征知识库也容易扩充,但它存在一个致命的弱点――只能检测到已知的攻击方法和技术。异常检测可以检测出已知的和未知的攻击方法和技术,问题是正常行为标准只能采用人工智能、机器学习算法等来生成,并且需要大量的数据和时间,同时,现在人工智能和机器学习算法仍处于研究阶段。所以现在的入侵检测系统大多采用误用检测的分析方法。
