標題:入侵檢測全景圖
時間:2004-06-13
來源:www.pcworld.com.cn
IDS是新近發展起來的一項安全技術,它在網絡安全體系中所發揮的作用是可以檢測到入侵行爲。這裏所說的入侵行爲涵蓋範圍很廣,不僅包括黑客攻擊,還包括各種網絡異常行爲,如內部網絡機密信息泄漏和非法使用網絡資源等等。
爲了保障網絡的安全,要使用很多安全產品,有防病毒產品、防火牆、掃描器、服務器安全加固、加密傳輸和身份認證等等。和它們相比,IDS具有更多的智能特性,能夠判斷出網絡入侵行爲並加以處理。
一、怎樣檢測入侵
1.信息來源
在現實生活中,警察要證明罪犯有罪,必須先收集證據。只有掌握了充足的證據,才能順利破案。IDS也是一樣。一般來說,IDS通過2種方式獲得信息,其中一種是網絡入侵檢測模塊方式。當一篇文章從網絡的一端傳向另一端時,是被封裝成一個個小包(叫做報文)來傳送的。每個包包括了文章中的一段文字,在到達另一端之後,這些包再被組裝起來。因此,我們可以通過檢測網絡中的報文來達到獲得信息的目的。一般來說,檢測方式只能夠檢測到本機的報文,爲了監視其他機器的報文,需要把網卡設置爲混雜模式。通過在網絡中放置一塊入侵檢測模塊,我們可以監視受保護機器的數據報文。在受保護的機器將要受到攻擊之前,入侵檢測模塊可最先發現它。
實際應用中網絡結構千差萬別,用戶只有根據具體情況分別設計實施方案,才能讓網絡入侵檢測模塊檢測到需要保護機器的狀況。同時,網絡入侵檢測模塊得到的只是網絡報文,獲得的信息沒有主機入侵檢測模塊全面,所檢測的結果也沒有主機入侵檢測模塊準確。網絡入侵檢測模塊方式的優點是方便,不增加受保護機器的負擔。在網段中只要安裝一臺網絡入侵檢測模塊即可。
另外一種獲取信息的方式是主機入侵檢測模塊方式。它是在受保護的機器上安裝了主機入侵檢測模塊,專門收集受保護機器上的信息。其信息來源可以是系統日誌和特定應用程序日誌,也可以是捕獲特定的進程和系統調用等等。
採用主機入侵檢測模塊方式的缺點是依賴特定的系統平臺。用戶必須針對不同的操作系統開發相應的模塊。由於一個網絡中有多種不同的操作系統,很難保證每個操作系統都有對應的主機入侵檢測模塊,而一個主機入侵檢測模塊只能保護本機,所以在使用上有很大的侷限性。此外,它要求在每個機器上安裝,如果裝機數量大時,對用戶來說,是一筆很大的投入。不過,這種模式不受網絡結構的限制,在使用中還能夠利用操作系統的資源,以更精確地判斷出入侵行爲。
在具體應用中,以上2種獲得信息的方式是互爲補充的。
2.檢測辦法
當收集到證據後,用戶如何判斷它是否就是入侵呢?一般來說,IDS有一個知識庫,知識庫記錄了特定的安全策略。IDS獲得信息後,與知識庫中的安全策略進行比較,進而發現違反規定的安全策略的行爲。
定義知識庫有很多種方式,最普遍的做法是檢測報文中是否含有攻擊特徵。知識庫給出何種報文是攻擊的定義。這種方式的實現由簡單到複雜分了幾個層次,主要差別在於檢測的準確性和效率上。簡單的實現方法是把攻擊特徵和報文的數據進行了字符串比較,發現匹配即報警。這種做法使準確性和工作效率大爲降低。爲此,開發人員還有很多工作要做,如進行校驗和檢查,進行IP碎片重組或TCP重組,實現協議解碼等等。
構建知識庫的多種方法只是手段,目的是準確定義入侵行爲,這是IDS的核心,也是IDS和普通的網上行爲管理軟件的差別所在。雖然它們都能監視網絡行爲,但是IDS增加了記錄攻擊特徵的知識庫,所以比網上行爲管理軟件提高了一個層次。而定義攻擊特徵是一項專業性很強的工作,需要具有豐富安全背景的專家從衆多的攻擊行爲中提煉出通用的攻擊特徵,攻擊特徵的準確性直接決定了IDS檢測的準確性。
二、框架與構建
IDS發展的時間還很短暫,目前並沒有統一的結構模型,公共入侵檢測框架(Common Intrusion Detection Framework,CIDF)是目前引用較多的結構模型,在這個模型中,IDS分爲事件收集單元、事件分析單元、數據單元、響應單元和服務單元等多個單元。
IDS結構在具體產品中的體現沒有模型框架那麼細緻。產品由多個模塊組成,採用分佈式結構佈置。事件收集單元和事件分析單元做成一個模塊,負責發現入侵行爲。通常稱其爲探測器。網絡入侵檢測模塊和主機入侵檢測模塊就是網絡探測器和主機探測器。雖然它們在網絡中所處的位置不同,但功能都是一樣的。告警信息發給遠端的控制檯。控制檯像Client/Server模式中的Server,接收各個探測器發過來的告警信息,並能遠程控制各個探測器。數據庫單元放在控制檯,使用信息分析模塊分析報告上來的告警信息。控制檯和探測器之間的通訊使用加密認證機制,確保信息的安全性和防止欺騙性。這樣在網絡的不同地方佈置上探測器,由控制檯集中監控,達到輕鬆掌握整個網絡安全狀況的目的。
IDS和衆多的安全產品共同協作,可以構成一個立體的安全體系。如果把整個網絡比成一個大廈,服務器是大廈的房間,連接服務器的網絡是大廈的通道和走廊。IDS就是大廈中的監控系統,探測器就是攝像頭,裝在大廈的各個位置,有的裝在通道和走廊,是網絡探測器,有的裝在房間裏,是主機探測器。目的都是爲了發現罪犯。控制檯是大廈保安部門的監視器,集中監控整個大廈的情況。而防火牆像大廈的大門,有保安判斷檢查進入者的身份,如果被別人混進去,防火牆將無能爲力,監視進入者的行爲就落到IDS上。
IDS是分佈式產品,通常會在網絡中心安裝控制檯,便於網絡管理員管理(如附圖所示)。在網絡中的其他位置根據不同需求放置探測器: 在服務器上安裝主機探測器,在要監視的重要網段放置網絡探測器。如網絡和互聯網的接口處,服務器所在的網段等網絡的重要位置。網絡探測器是一臺單獨的機器,運行入侵檢測軟件,收集網段中的信息並發現入侵。有的產品已經把網絡探測器做成硬件,提高了效率,且不用佔用一臺單獨的機器。
三、選型技術分析
在國內的安全投資中,防火牆和防病毒產品佔了投資的很大比例,畢竟這些是網絡安全的第一道屏障。在實施完防火牆和防病毒產品之後,用戶有了深入瞭解自己網絡安全狀況的需求,有了更安全地保障自己網絡暢通運行的需求,IDS作爲一個很好的智能入侵檢測和安全管理產品,正成爲用戶進一步安全投資的首選。
事實上,根據不同用戶多種個性化的需要,入侵檢測產品有很多種分類,也就是說產品有多種表現形式。因爲用戶的需求有區別,爲了適應用戶不同層次的需求,產品在價格和結構上都會做相應的調整。那麼,代表性的產品技術有哪些?又分別適用於什麼樣的用戶?
一種類型的產品是探測器和控制檯裝在不同的機器上,控制檯可以對探測器遠程管理。這種產品比較適合探測器佈置分散,跨樓層跨地區的大型網絡或具有多個網絡的企業用戶,他們非常需要具備遠程管理功能的衆多探測器,以便全方位地掌握整個網絡的安全情況。
不同IDS產品中的控制檯對探測器的遠程管理方式是有所不同的。其中有一類產品是使用自己開發的控制檯軟件,通過自己定義的傳輸協議,傳輸控制臺和探測器之間的數據。目前,絕大多數IDS安全廠商提供的都是這類產品。還有一類產品是在探測器端安裝Web服務器,並開發基於Web的管理界面,通過Web界面,控制和管理探測器。採用這種形式也能進行遠程管理。像中科網威公司的IDS產品。
另一種類型的產品是探測器和控制檯以軟件形式安裝在一臺機器上,雖然操作簡單,但不能進行遠程管理。這類產品比較適合小型企業環境,這些企業的特徵是需要保護的機器數量很少,用戶的投資也相對少些。在這類產品中,有一種常見的應用表現是主機探測器和控制檯一起以軟件形式安裝在服務器上,通過主機探測器的保護功能保護服務器不被非法者入侵。這樣,主機探測器變成了單獨的服務器防護軟件。目前這種服務器防護軟件已經能夠做到具有主機防火牆功能,並能夠對特定文件和進程進行保護,還能夠針對易受攻擊的特定服務(如Web服務)進行保護,非常適合對服務器安全性要求高的應用。像CA的eTrust和中聯綠盟的HIDS等等均可實現這一功能。
值得注意的是,網絡探測器的實現形式各有不同,有的網絡探測器以軟件形式出現,安裝在特定的操作系統上,像安氏、賽門鐵克和CA等廠商都提供這種軟件產品。有的網絡探測器和操作系統捆綁在一起,安裝網絡探測器的同時也安裝了特定的操作系統,美國NFR公司提供這種軟件產品。這種產品的優勢是操作系統做了相應優化,有利於網絡探測器的高效工作。還有的網絡探測器做成專用的硬件裝置,像防火牆一樣,Cisco、Nokia和中聯綠盟等提供這種產品。這種產品的優點是安裝配置簡便,工作效率高,軟件產品的成本較低,價格也相對便宜; 缺點是爲了保障IDS本身的安全性,作爲載體的操作系統需要另做安全配置,一方面,它加大了工作量,另一方面由於安全配置水平的高低,制約了IDS本身的安全性。網絡探測器和操作系統捆綁解決了這個問題。用戶不用操心繫統本身的安全性。硬件裝置產品解決了軟件產品暴露出的這些問題,運行的穩定性和工作效率也得到了保障,缺點是價格高。對用戶來說,是在價格和性能之間的權衡,根據自身的業務重要程度做出選擇。
