网络入侵是威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自互联网的攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行的非法访问。入侵检测就是对发生在计算机系统或者网络上的事件进行监视、分析是否出现入侵的过程。入侵检测系统(英文称IDS:Intrusion Detection System)是自动进行入侵检测的监视和分析过程的硬件或软件产品。入侵监测系统处于防火墙之后对网络活动进行实时监测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。防火墙看起来好像可以满足系统管理员的一切需求。然而,随着基于内部人员的攻击行为和产品自身问题的增多,IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁,这些破坏行为也是防火墙无法抵御的。IDS已经成为企业网络安全防护系统的三大重要组成部分之一。
一、入侵检测系统基础原理
1、入侵检测系统的产品分类
根据采集数据源的不同,IDS可分为主机型入侵检测系统(Host-based IDS,简称HIDS)和网络型入侵检测系统(Network-based IDS,简称NIDS)。HIDS从主机/服务器上采集数据,包括操作系统日志、系统进程、文件访问和注册表访问等信息。HIDS的检测引擎被称为主机代理,HIDS的主机代理安装在所保护的主机/服务器上,不同的操作系统平台需要不同的主机代理。NIDS直接从网络中采集原始的数据包。NIDS的检测引擎被称为网络引擎。NIDS的网络引擎放置在需要保护的网段内,不占用网络资源,可以保护整个网段。
主机型入侵检测系统的特点:主机型入侵检测系统通常情况下比网络型入侵检测系统误报率要低,因为检测在主机上运行的命令序列比检测网络流更简单,系统的复杂性也少得多。主机型入侵检测系统安装在我们需要保护的设备上,这会降低应用系统的效率。主机型入侵检测系统依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能,则必需重新配置,这将会给运行中的业务系统带来不可预见的性能影响。
网络型入侵检测系统的特点:网络型入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。网络型入侵检测系统只检查它直接连接网段的通信,不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络型入侵检测系统的传感器会使布署整个系统的成本大大增加。
2、入侵检测的主要技术
●模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。该过程可以很简单,也可以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。
●异常检测
异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。
●协议分析
协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有的数据包。
3、入侵检测技术的对比
●模式匹配技术:预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。对系统资源的消耗较高。
●异常检测技术:最大优点就是它可以统计用户的网络使用习惯,从而具有较高检测率与可用性。但是它的统计能力也给入侵者以机会通过逐步测试而使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
●协议分析技术:充分利用通信协议的已知结构,可以更快更有效地处理信息数据帧和连接。将命令解析技术与协议分析技术相结合,来模拟执行一个命令字符串,可以在通信连接到达操作系统或应用系统之前准确判断该通信是否恶意。对系统资源的极低消耗。
4、入侵检测术语
Alerts(警报)
当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示。如果是远程控制台,那么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员。
Anomaly(异常)
当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警。一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警,例如有人做了以前他没有做过的事情的时候,例如,一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能。
Attacks(攻击)
Attacks可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信息以及破坏目标网络或系统功能的行为。
Enumeration(列举)
经过被动研究和社会工程学的工作后,攻击者就会开始对网络资源进行列举。列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。由于现在的行动不再是被动的,它就有可能被检测出来。当然为了避免被检测到,他们会尽可能地悄悄进行。
Evasion(躲避)
Evasion是指发动一次攻击,而又不被IDS成功地检测到。其中的窍门就是让IDS只看到一个方面,而实际攻击的却是另一个目标,所谓明修栈道,暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL(有效时间)值,这样,经过IDS的信息看起来好像是无害的,而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。一旦经过了IDS并接近目标,无害的部分就会被丢掉,只剩下有害的。
Exploits(漏洞利用)
对于每一个漏洞,都有利用此漏洞进行攻击的机制。为了攻击系统,攻击者编写出漏洞利用代码或脚本。对每个漏洞都会存在利用这个漏洞执行攻击的方式,这个方式就是Exploit。为了攻击系统,黑客会编写出漏洞利用程序。
False Negatives(漏报)
漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。
False Positives(误报)
误报是指实际无害的事件却被IDS检测为攻击事件。
Fragmentation(分片)
如果一个信息包太大而无法装载,它就不得不被分成片断。分片的依据是网络的MTU(Maximum Transmission Units,最大传输单元)。例如,灵牌环网(token ring)的MTU是4464,以太网(Ethernet)的MTU是1500,因此,如果一个信息包要从灵牌环网传输到以太网,它就要被分裂成一些小的片断,然后再在目的地重建。虽然这样处理会造成效率降低,但是分片的效果还是很好的。黑客将分片视为躲避IDS的方法,另外还有一些DOS攻击也使用分片技术。
Heuristics(启发)
Heuristics就是指在入侵检测中使用AI(artificial intelligence,人工智能)思想。真正使用启发理论的IDS已经出现大约10年了,但他们还不够"聪明",攻击者可以通过训练它而使它忽视那些恶意的信息流。有些IDS使用异常模式去检测入侵,这样的IDS必须要不断地学习什么是正常事件。一些产商认为这已经是相当"聪明"的IDS了,所以就将它们看做是启发式IDS。但实际上,真正应用AI技术对输入数据进行分析的IDS还很少很少。
Honeypot(蜜罐)
蜜罐是一个包含漏洞的系统,它模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。与此同时,最初的攻击目标受到了保护,真正有价值的内容将不受侵犯。
Promiscuous(混杂模式)
默认状态下,IDS网络接口只能看到进出主机的信息,也就是所谓的non-promiscuous(非混杂模式)。如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地。这对于网络IDS是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量。交换型HUB可以解决这个问题,在能看到全面通信量的地方,会都许多跨越(span)端口。
二、市场上常见的硬件入侵检测系统
1、安氏领信LinkTrust?IDS NetworkDefender 200
安氏互联网安全系统有限公司自1999年在中国成立,公司总部位于北京,在上海、广州、成都等地设有分公司及办事处。以领信入侵检测系统为代表的安氏入侵检测类产品,在国内入侵检测(IDS)市场更是拥有绝对优势的市场份额。LinkTrust?IDS采用了许多先进技术和设计,如专用硬件承载平台设计;复杂协议分析和模式匹配的融合技术;多层分布式体系结构设计;完全远程升级技术;数据相关性分析技术等。领信入侵检测系统由网络传感器、主机传感器以及管理器组成,在网络和主机层面,将基于攻击特征分析和协议分析的入侵检测技术完美结合,监控分析网络传输和系统事件,自动检测和响应可疑行为,使用户在系统受到危害之前截取并防范非法入侵和内部网络误用,最大程度降低安全风险,保护企业网络系统安全。安氏公司通过强大的安氏安全实验室为用户提供技术支持与升级服务。
2、Enterasys Networks 公司Dragon Sensor
Enterasys Networks 公司诞生于2000年,是世界领先网络设计及制造商美国Cabletron 公司年初进行战略性结构重组后形成的四家独立专业化子公司之一。Dragon Sensor对正在使用的网络分组进行监控,寻找计算机犯罪、网络攻击、网络滥用迹象及异常现象。当它观察一个事件时,Dragon Sensor可以发送寻呼和电子邮件信息,然后采取相应措施来终止该事件,并对事件进行记录以用于以后的诉讼分析。一般来说,Dragon Sensor可以部署在防火墙前的独立系统上,或位于网络的关键位置。
3、启明星辰天阗入侵检测系统 N500
启明星辰信息技术有限公司成立于1996年,是一家由中国留学生创立的专业网络安全公司。拥有网络安全自主知识产权产品,提供整体安全解决方案与服务。天阗入侵检测与预警系统是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品,同时天阗还通过了所有权威管理部门的测评和认证。它是一种动态的入侵检测与响应系统。它能够实时监控网络传输,自动检测可疑行为,及时发现来自网络外部或内部的攻击,并可以实时响应,切断攻击方的连接。天阗系统可以与防火墙紧密结合,弥补了防火墙的访问控制不严密的问题。其联机文档提供了丰富的事件说明及恢复措施,可以最大程度地为网络系统提供安全保障。天阗N500为一种具有国际先进水平的多级分布式管理功能的IDS, 主要应用在安全需求明显,投资规模较大,安全要求较高,业务管理有多层次的结构,分支和下属单位多,网络结构较复杂,有核心业务的主机需要保护,有特殊的网络行为需要监控,网络流量在百兆环境下较高的单位。
4、中科网威天眼入侵检测系统NPIDS-N-HP-SB
北京中科网威信息技术有限公司于1999年在北京成立,一直专注于解决政府、银行、证券、电信等重点行业的安全问题。天眼入侵检测系统作为安全检测的最后一道防线,能提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,是其它安全措施的必要补充。系统采用引擎/控制台结构,引擎在网络中各个关键点部署,通过网络和中央控制台交换信息。网络引擎部分运行于安全操作系统Open BSD之上,负责网络数据的获取、分析、检测,对警报进行过滤和实时响应,并发送给控制台进行显示和记录。控制台运行于Windows平台,负责警报信息的及时显示、记录、查阅,支持用户定制检测、响应策略和控制网络引擎。
5、中联绿盟冰之眼入侵检测系统NIDS100-P
中联绿盟信息技术(北京)有限公司2000年成立于北京目前在广州、上海设有分公司,在湖南、沈阳设有办事处,是中国第一家专业从事网络安全服务的高科技公司。基于国际公认的安全实施标准和评估标准,推行绿盟科技的 DIEM 系统安全工程实施模型,进一步提高了安全服务和安全集成的实施质量,更有效的保障了客户的网络安全。冰之眼网络入侵检测系统由网络探测器、内网探测器、SSL加密传输通道、中央控制台、日志分析系统、SQL 日志数据库系统及绿盟科技中央升级站点几部分组成。能够准确地对入侵行为进行识别,并采取有效措施进行防护和干预。冰之眼网络入侵检测系统加强了对内网行为(内网拨号、IP-MAC对应关系改变、主机是否在线等发生在企业内网中的特定事件)的有效监控和跟踪,能够很好的帮助网络管理者发现和跟踪内网异常,确保对内网安全事件进行有效的监控管理。