面对日益严重的攻击,入侵检测系统(IDS)作为防火墙的有力补充,实时监视着网络中的不法行为;
阻止入侵或试图控制系统及网络资源的恶意攻击,
正在成为安全部署中不可或缺的工具之一,
其产品与技术正在不断地更新和发展,新亮点不断涌现。
提到网络安全,很多人首先想到的是防火墙。配置适当的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过它的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。随着网络的发展,IDS技术也在不断更新和变化。
变被动为主动
目前IDS产品常用的检测技术主要有以下几种:专家系统、基于模型的入侵检测方法、简单模式匹配。但以上的集中检测技术都存在着一些缺陷,导致目前的入侵检测系统不够完善,存在大量误报和漏报现象。这种现状也促使厂商进行技术革新。很多厂商,特别是防火墙厂商提出了IPS(IDP)的概念,如NAI推出的IPS产品、Netscreen推出的IDP产品等都融入了这个概念。这种IPS技术将防火墙的访问控制、应用代理、路由转发等功能统统去掉,以网桥形态接入网络中,利用防火墙上日益成熟的防范攻击的功能,为用户提供主动而有效的入侵防护系统。IPS产品的出现就是重点突出和强化了IDS中的阻断功能,并为此将传统IDS的旁路监听模式改为干路转发模式。
目前,从各厂商推出的IPS产品来看,其技术所倡导的核心是主动防御和在线安装的理念,除了采用IDS的集中检测方法外,还增加了事件关联等技术,并可以有选择地阻断恶意攻击,而且,在不断检测过程中,还具有积累以往的经验而自动学习的功能,不断更新策略,使防御更加主动、更加智能化。当然,有些所谓的IPS产品还是沿用了传统IDS对事件的匹配方法对攻击行为进行鉴别,但不同于传统IDS发送Reset包的方式,IPS可以直接将流经本身的数据阻断。
结构越来越复杂
目前的IDS产品从结构上说,是向着复杂化方向发展,分布式产品越来越多地被各个厂商所推荐。实际上,这和IDS本身所存在的一个技术障碍有关:误报率和漏报率高。这主要由于三个原因:一是入侵检测系统知识库中,事件特征描述对攻击行为认识的不确定性;二是入侵检测引擎中,检测分析证据来源获取的不确定性; 三是由于攻击行为来自于复杂的网络环境,信息来源具有复杂的时空结构,相应的分析体系中,攻击知识获取转换具有不确定性。针对这些因素,降低误警技术途径主要在三个方向展开。
降低误警漏警的第一个技术途径是事件库的完备表达。与各种攻击有关的定性知识与定量知识的表达与推理是入侵检测问题的核心。通过漏洞机理特征分析,对事件库进行精确定义;基于高层协议解析和状态签名技术,对漏洞事件进行精确匹配处理;对高层协议解析处理可直接准确地产生应用连接和应用登录事件。通过增加会话流匹配技术,对利用成组报文特征、返回报文特征进行事件精确定义。通过对事件库进行多维信息源关联数据维护,以备后续处理引擎分层、分布匹配过滤预警信息。 通过提高事件库对标准漏洞的覆盖率、应用协议覆盖率、攻击工具覆盖率,可以大大降低系统漏警率,同时提高系统对报文变形、碎片的处理能力,也是对付IDS反躲避的关键技术。
降低误警漏警的第二个技术途径是,检测分析证据来源信息的全面获取。网络入侵检测的信息获取的完整与全面,是降低检测误警的基础。为使在复杂环境中的信息获取更全面,获取过程应该具有阶段性,获取信息应该具有层次性、分布性。信息采集包括系统内核信息、系统日志信息、事件信息、应用日志信息等层次,获取对象包括网络和进程、主机和域、用户、组和所有者、服务等。
降低误警漏警的第三个技术途径是,设计具有多数据源采集、事件综合集成功能的入侵管理分析系统。入侵管理分析系统的设计是减少误警的基础。由于攻击行为来自于复杂的网络环境,信息来源具有复杂的时空结构,相应的分析体系也应该体现分级、分层和分阶段的处理特点。因此,为处理复杂的网络攻击行为的检测识别问题,网络入侵检测的分析体系应该设计成为具有自适应与自管理分析功能的多级数据融合体系。
向易用性转变
从实际使用情况来看,目前购买IDS的主要用户群一般集中在那些拥有比较专业的网管人员、对网络安全需求比较高的单位,特别是银行等金融行业。这也从侧面说明了,由于目前的IDS还处于一个工具的状态,没有能够成为一个真正适用于广大用户的产品,只用拥有专业网络知识的操作者才能对IDS系统进行有效的策略配置和规则优化,并能从大量的报警信息中找到那些真正的入侵行为。银行和电信行业出于自身的行业特点,对网络安全的需求非常高,通常都建设了自身的网络管理队伍和网络安全体系。大多数的企业和事业单位对网络安全的认识都停留在防病毒和防火墙的层次上,很少对网络整体安全有深刻的认识和建设规划;网络管理人员一般也是兼职人员或力量薄弱,很少有时间和精力专门处理非常复杂的IDS报警信息。
为了使IDS真正成为一个适用于大多数用户的产品,大多数IDS厂商都在尽力提高IDS产品的易用性。上面提到的新的分布式结构IDS产品的最终目的也是要解决易用性问题。只有减少了误报率和漏报率,用户看到的报警都是比较准确和完整的攻击信息,才能比较放心地进行阻断和处理,而不必像以前那样,利用经验和专业知识去分析和猜测大量报警信息中的真正有用的部分。
