標題:入侵檢測系統亟待發展
時間:2004-06-13
來源:計算機產品與流通
入侵檢測系統(Intrusion Detect System)目前基本上分爲以下兩種:主機入侵檢測系統(HIDS)和網絡入侵檢測系統(NIDS)。主機入侵檢測系統分析對象爲主機審計日誌,所以需要在主機上安裝軟件,針對不同的系統、不同的版本需安裝不同的主機引擎,安裝配置較爲複雜,同時對系統的運行和穩定性造成影響,目前在國內應用較少。網絡入侵檢測分析對象爲網絡數據流,只需安裝在網絡的監聽端口上,對網絡的運行無任何影響,目前國內使用較爲廣泛。本文分析的爲目前使用廣泛的網絡入侵檢測系統。
入侵檢測產品和防火牆一起才能構成完整的網絡安全解決方案。首先,防火牆雖然可以對應用層面的數據進行分析,但是其分析的數據只是侷限在進出網絡的數據,而對於網絡內部則無能爲力。其次,防火牆一般處在網關的位置,其主要功能的限制導致它不可能對進出的攻擊作太多判斷,否則會嚴重影響網絡性能。
入侵檢測則彌補了防火牆的不足:通過旁路監聽的方式不間斷地收取網絡數據,對網絡的運行和性能無任何影響;同時判斷其中是否含有攻擊的企圖,通過各種手段向管理員報警。不但可以發現從外部的攻擊,也可以發現內部的惡意行爲。
入侵檢測系統六大矛盾
但不可否認,目前大多數入侵檢測系統或多或少地存在着問題,影響着它們更廣泛地推廣。這些問題總結起來有6點。
第一,誤報和漏報的矛盾。入侵檢測系統對網絡上所有的數據進行分析,如果攻擊者對系統進行攻擊嘗試,而系統相應服務開放,只是漏洞已經修補,那麼這一次攻擊是否需要報警,這就是一個需要管理員判斷的問題。因爲這也代表了一種攻擊的企圖。但大量的報警事件會分散管理員的精力,反而無法對真正的攻擊作出反映。和誤報相對應的是漏報,隨着攻擊的方法不斷更新,入侵檢測系統是否能報出網絡中所有的攻擊也是一個問題。
第二,隱私和安全的矛盾。入侵檢測系統可以收到網絡的所有數據,同時可以對其進行分析和記錄,這對網絡安極其重要,但難免對用戶的隱私構成一定風險,這就要看具體的入侵檢測產品是否能提供相應的功能以供管理員進行取捨。
第三,被動分析與主動發現的矛盾。入侵檢測系統是採取被動監聽的方式發現網絡問題,無法主動發現網絡中的安全隱患和故障。如何解決這個問題也是入侵檢測產品面臨的問題。
第四,海量信息與分析代價的矛盾。隨着網絡數據流量的不斷增長,入侵檢測產品能否高效處理網絡中的數據也是衡量入侵檢測產品的重要依據。
第五,功能性和可管理性的矛盾。隨着入侵檢測產品功能的增加,可否在功能增加的同時,不增大管理的難度?例如,入侵檢測系統的所有信息都儲存在數據庫中,此數據庫能否自動維護和備份而不需管理員的干預?另外,入侵檢測系統自身安全性如何?是否易於部署?採用何種報警方式?也都是需要考慮的因素。
第六,單一的產品與複雜的網絡應用的矛盾。入侵檢測產品最初的目的是爲了檢測網絡的攻擊,但僅僅檢測網絡中的攻擊遠遠無法滿足目前複雜的網應用需求。通常,管理員難以分清網絡問題:是由於攻擊引起的還是網絡故障。入侵檢測檢測出的攻擊事件又如何處理,可否和目前網絡中的其他安全產品進行配合。
入侵檢測技術六大發展趨勢
針對上文提及到的入侵檢測系統的六大矛盾,業內相關人士同樣拿出了相關的應對方法。
第一,分析技術的改進。入侵檢測誤報和漏報的解決最終依靠分析技術的改進。目前入侵檢測分析方法主要有:統計分析、模式匹配、數據重組、協議分析、行爲分析等。
統計分析是統計網絡中相關事件發生的次數,達到判別攻擊的目的。模式匹配利用對攻擊的特徵字符進行匹配完成對攻擊的檢測。數據重組是對網絡連接的數據流進行重組再加以分析,而不僅僅分析單個數據包。
協議分析技術是在對網絡數據流進行重組的基礎上,理解應用協議,再利用模式匹配和統計分析的技術來判明攻擊。例如:某個基於HTTP協議的攻擊含有ABC特徵,如果此數據分散在若干個數據包中,如:一個數據包含A,另外一個包含B,另外一個包含C,則單純的模式匹配就無法檢測,只有基於數據流重組才能完整檢測。而利用協議分析,則只在符合的協議(HTTP)檢測到此事件纔會報警。假設此特徵出現在Mail裏,因爲不符合協議,就不會報警。利用此技術,有效地降低了誤報和漏報。
行爲分析技術不僅簡單分析單次攻擊事件,還根據前後發生的事件確認是否確有攻擊發生、攻擊行爲是否生效、是入侵檢測分析技術的最高境界。但目前由於算法處理和規則制定的難度很大,還不是非常成熟,但卻是入侵檢測技術發展的趨勢。目前最好綜合使用多種檢測技術,而不只是依靠傳統的統計分析和模式匹配技術。另外,規則庫是否及時更新也和檢測的準確程度相關。
第二,內容恢復和網絡審計功能的引入。內容恢復即在協議分析的基礎上,對網絡中發生的行爲加以完整地重組和記錄。網絡審計即對網絡中所有的連接事件進行記錄。入侵檢測的接入方式決定入侵檢測系統中的網絡審計不僅類似防火牆可以記錄網絡進出信息,還可以記錄網絡內部連接狀況,此功能對內容恢復無法恢復的加密連接尤其有用。
內容恢復和網絡審計讓管理員看到網絡的真正運行狀況,但使用此功能的同時需注意對用戶隱私的保護。
第三,集成網絡分析和管理功能。入侵檢測可以收到網絡中的所有數據,對網絡的故障分析和健康管理也可起到重大作用。當管理員發現某臺主機有問題時,也希望能馬上對其進行管理。入侵檢測也不應只採用被動分析方法,最好能和主動分析結合。所以,入侵檢測產品集成網管功能,掃描器(Scanner),嗅探器(Sniffer)等功能是以後發展的方向。
第四,安全性和易用性的提高。入侵檢測是個安全產品,自身安全極爲重要。因此,目前的入侵檢測產品大多采用硬件結構、黑洞式接入,免除自身安全問題。同時,對易用性的要求也日益增強,例如:全中文的圖形界面、自動的數據庫維護、多樣的報表輸出。這些都是優秀入侵產品的特性和以後繼續發展細化的趨勢。
第五,改進對大數據量網絡的處理方法。隨着對大數據量處理的要求,入侵檢測的性能要求也逐步提高,出現了千兆入侵檢測等產品。但如果入侵檢測產品不僅具備攻擊分析,同時具備內容恢復和網絡審計功能,則其存儲系統也很難完全工作在千兆環境下。這種情況下,網絡數據分流也是一個很好的解決方案,性價比也較好。這也是國際上較通用的一種作法。
第六,防火牆聯動功能。入侵檢測發現攻擊,自動發送給防火牆,防火牆加載動態規則攔截入侵,稱爲防火牆聯動功能。目前主要的應用對象是自動傳播的攻擊,如Nimda等,聯動只在這種場合有一定的作用。無限制的使用聯動,如未經充分測試,對防火期的穩定性和網絡應用會造成負面影響。但隨着入侵檢測產品檢測準確度的提高,聯動功能日益趨向實用化。
