入侵檢測技術綜述

標題：入侵檢測技術綜述 時間：2004-06-13 來源：安全培訓基地 作者：不詳 系統風險與入侵檢測 　 計算機網絡的安全是一個國際化的問題，每年全球因計算機網絡的安全系統被破壞而造成的經濟損失達數百億美元。進入新世紀之後，上述損失將達2000億美元以上。 　　政府、銀行、大企業等機構都有自己的內網資源。從這些組織的網絡辦公環境可以看出，行政結構是金字塔型，但是局域網的網絡管理卻是平面型的，從網絡安全的角度看，當公司的內部系統被入侵、破壞與泄密是一個嚴重的問題，以及由此引出的更多有關網絡安全的問題都應該引起我們的重視。據統計，全球80%以上的入侵來自於內部。此外，不太自律的員工對網絡資源無節制的濫用對企業可能造成巨大的損失。 　　當商戶、銀行與其他商業與金融機構在電子商務熱潮中紛紛進入Internet，以政府上網爲標誌的數字政府使國家機關與Internet互聯。通過Internet 實現包括個人、企業與政府的全社會信息共享已逐步成爲現實。隨着網絡應用範圍的不斷擴大，對網絡的各類攻擊與破壞也與日俱增。無論政府、商務，還是金融、媒體的網站都在不同程度上受到入侵與破壞。網絡安全已成爲國家與國防安全的重要組成部分，同時也是國家網絡經濟發展的關鍵。 　　據統計：信息竊賊在過去5年中以250%速度增長，99%的大公司都發生過大的入侵事件。世界著名的商業網站，如Yahoo、Buy、EBay、Amazon、CNN都曾被黑客入侵，造成巨大的經濟損失。甚至連專門從事網絡安全的RSA網站也受到黑客的攻擊。 　　對入侵攻擊的檢測與防範、保障計算機系統、網絡系統及整個信息基礎設施的安全已經成爲刻不容緩的重要課題。 　　網絡安全是一個系統的概念，有效的安全策略或方案的制定，是網絡信息安全的首要目標。 網絡安全技術主要有，認證授權、數據加密、訪問控制、安全審計等。本文着重討論的入侵檢測技術是安全審計中的核心技術之一，是網絡安全防護的重要組成部分。 　　入侵檢測技術是爲保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網絡中違反安全策略行爲的技術。違反安全策略的行爲有：入侵—非法用戶的違規行爲；濫用—用戶的違規行爲。 　　利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。入侵檢測系統的應用，能使在入侵攻擊對系統發生危害前，檢測到入侵攻擊，並利用報警與防護系統驅逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊後，收集入侵攻擊的相關信息，作爲防範系統的知識，添加入知識庫內，以增強系統的防範能力。 入侵檢測產品分析 1． 入侵檢測產品 　　經過幾年的發展，入侵檢測產品開始步入快速的成長期。一個入侵檢測產品通常由兩部分組成：傳感器(Sensor)與控制檯(Console)。傳感器負責採集數據(網絡包、系統日誌等)、分析數據並生成安全事件。控制檯主要起到中央管理的作用，商品化的產品通常提供圖形界面的控制檯，這些控制檯基本上都支持Windows NT平臺。 　　從技術上看，這些產品基本上分爲以下幾類：基於網絡的產品和基於主機的產品。混合的入侵檢測系統可以彌補一些基於網絡與基於主機的片面性缺陷。此外，文件的完整性檢查工具也可看作是一類入侵檢測產品。 2. 基於網絡的入侵檢測 　　基於網絡的入侵檢測產品（NIDS）放置在比較重要的網段內，不停地監視網段中的各種數據包。對每一個數據包或可疑的數據包進行特徵分析。如果數據包與產品內置的某些規則吻合，入侵檢測系統就會發出警報甚至直接切斷網絡連接。目前，大部分入侵檢測產品是基於網絡的。值得一提的是，在網絡入侵檢測系統中，有多個久負盛名的開放源碼軟件，它們是Snort、NFR、Shadow等，其中Snort 的社區(http://www.snort.org)非常活躍，其入侵特徵更新速度與研發的進展已超過了大部分商品化產品。 　　網絡入侵檢測系統的優點： 　　網絡入侵檢測系統能夠檢測那些來自網絡的攻擊，它能夠檢測到超過授權的非法訪問。 　　一個網絡入侵檢測系統不需要改變服務器等主機的配置。由於它不會在業務系統的主機中安裝額外的軟件，從而不會影響這些機器的CPU、I/O與磁盤等資源的使用，不會影響業務系統的性能。 　　由於網絡入侵檢測系統不像路由器、防火牆等關鍵設備方式工作，它不會成爲系統中的關鍵路徑。網絡入侵檢測系統發生故障不會影響正常業務的運行。佈署一個網絡入侵檢測系統的風險比主機入侵檢測系統的風險少得多。 　　網絡入侵檢測系統近年內有向專門的設備發展的趨勢，安裝這樣的一個網絡入侵檢測系統非常方便，只需將定製的設備接上電源，做很少一些配置，將其連到網絡上即可。 　　網絡入侵檢測系統的弱點： 　　網絡入侵檢測系統只檢查它直接連接網段的通信，不能檢測在不同網段的網絡包。在使用交換以太網的環境中就會出現監測範圍的侷限。而安裝多臺網絡入侵檢測系統的傳感器會使佈署整個系統的成本大大增加。 　　網絡入侵檢測系統爲了性能目標通常採用特徵檢測的方法，它可以檢測出普通的一些攻擊，而很難實現一些複雜的需要大量計算與分析時間的攻擊檢測。 　　網絡入侵檢測系統可能會將大量的數據傳回分析系統中。在一些系統中監聽特定的數據包會產生大量的分析數據流量。一些系統在實現時採用一定方法來減少回傳的數據量，對入侵判斷的決策由傳感器實現，而中央控制檯成爲狀態顯示與通信中心，不再作爲入侵行爲分析器。這樣的系統中的傳感器協同工作能力較弱。 　　網絡入侵檢測系統處理加密的會話過程較困難，目前通過加密通道的攻擊尚不多，但隨着IPv6的普及，這個問題會越來越突出。 3． 基於主機的入侵檢測 　　基於主機的入侵檢測產品（HIDS）通常是安裝在被重點檢測的主機之上，主要是對該主機的網絡實時連接以及系統審計日誌進行智能分析和判斷。如果其中主體活動十分可疑(特徵或違反統計規律)，入侵檢測系統就會採取相應措施。 　　主機入侵檢測系統的優點： 　　主機入侵檢測系統對分析“可能的攻擊行爲”非常有用。舉例來說，有時候它除了指出入侵者試圖執行一些“危險的命令”之外，還能分辨出入侵者幹了什麼事：他們運行了什麼程序、打開了哪些文件、執行了哪些系統調用。主機入侵檢測系統與網絡入侵檢測系統相比通常能夠提供更詳盡的相關信息。 　　主機入侵檢測系統通常情況下比網絡入侵檢測系統誤報率要低，因爲檢測在主機上運行的命令序列比檢測網絡流更簡單，系統的複雜性也少得多。 　　主機入侵檢測系統可佈署在那些不需要廣泛的入侵檢測、傳感器與控制檯之間的通信帶寬不足的情況下。主機入侵檢測系統在不使用諸如“停止服務” 、“註銷用戶”等響應方法時風險較少。 　　主機入侵檢測系統的弱點： 　　主機入侵檢測系統安裝在我們需要保護的設備上。舉例來說，當一個數據庫服務器要保護時，就要在服務器本身上安裝入侵檢測系統。這會降低應用系統的效率。此外，它也會帶來一些額外的安全問題，安裝了主機入侵檢測系統後，將本不允許安全管理員有權力訪問的服務器變成他可以訪問的了。 　　主機入侵檢測系統的另一個問題是它依賴於服務器固有的日誌與監視能力。如果服務器沒有配置日誌功能，則必需重新配置，這將會給運行中的業務系統帶來不可預見的性能影響。 　　全面佈署主機入侵檢測系統代價較大，企業中很難將所有主機用主機入侵檢測系統保護，只能選擇部分主機保護。那些未安裝主機入侵檢測系統的機器將成爲保護的盲點，入侵者可利用這些機器達到攻擊目標。 　　主機入侵檢測系統除了監測自身的主機以外，根本不監測網絡上的情況。對入侵行爲的分析的工作量將隨着主機數目增加而增加。 入侵檢測技術分析 1.技術分類 　　入侵檢測系統所採用的技術可分爲特徵檢測與異常檢測兩種。 特徵檢測 　　特徵檢測(Signature-based detection)又稱Misuse detection，這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能爲力。其難點在於如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。 異常檢測 　　異常檢測(Anomaly detection)的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統計規律時，認爲該活動可能是“入侵”行爲。異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計算法，從而不把正常的操作作爲“入侵”或忽略真正的“入侵”行爲。 2.常用檢測方法 　　入侵檢測系統常用的檢測方法有特徵檢測、統計檢測與專家系統。據公安部計算機信息系統安全產品質量監督檢驗中心的報告，國內送檢的入侵檢測產品中95％是屬於使用入侵模板進行模式匹配的特徵檢測產品，其他5％是採用概率統計的統計檢測產品與基於日誌的專家知識庫系產品。 特徵檢測 　　特徵檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與專家系統相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基於對包特徵描述的模式匹配應用較爲廣泛。 　　該方法預報檢測的準確率較高，但對於無經驗知識的入侵與攻擊行爲無能爲力。 統計檢測 　　統計模型常用異常檢測，在統計模型中常用的測量參數包括：審計事件的數量、間隔時間、資源消耗情況等。常用的入侵檢測5種統計模型爲： 　　● 操作模型，該模型假設異常可通過測量結果與一些固定指標相比較得到，固定指標可以根據經驗值或一段時間內的統計平均得到，舉例來說，在短時間內的多次失敗的登錄很有可能是口令嘗試攻擊； 　　● 方差，計算參數的方差，設定其置信區間，當測量值超過置信區間的範圍時表明有可能是異常； 　　● 多元模型，操作模型的擴展，通過同時分析多個參數實現檢測； 　　● 馬爾柯夫過程模型，將每種類型的事件定義爲系統狀態，用狀態轉移矩陣來表示狀態的變化，當一個事件發生時，或狀態矩陣該轉移的概率較小則可能是異常事件； 　　● 時間序列分析，將事件計數與資源耗用根據時間排成序列，如果一個新事件在該時間發生的概率較低，則該事件可能是入侵。 　　統計方法的最大優點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統計規律，從而透過入侵檢測系統。 專家系統 　　用專家系統對入侵進行檢測，經常是針對有特徵入侵行爲。所謂的規則，即是知識，不同的系統與設置具有不同的規則，且規則之間往往無通用性。專家系統的建立依賴於知識庫的完備性，知識庫的完備性又取決於審計記錄的完備性與實時性。入侵的特徵抽取與表達，是入侵檢測專家系統的關鍵。在系統實現中，將有關入侵的知識轉化爲if-then結構（也可以是複合結構），條件部分爲入侵特徵，then部分是系統防範措施。運用專家系統防範有特徵入侵行爲的有效性完全取決於專家系統知識庫的完備性。 入侵檢測產品選擇要點 　　當您選擇入侵檢測系統時，要考慮的要點有： 1. 系統的價格 　　當然，價格是必需考慮的要點，不過，性能價格比、以及要保護系統的價值可是更重要的因素。 2. 特徵庫升級與維護的費用 　　象反病毒軟件一樣，入侵檢測的特徵庫需要不斷更新才能檢測出新出現的攻擊方法。 3. 對於網絡入侵檢測系統，最大可處理流量(包/秒 PPS)是多少 　　首先，要分析網絡入侵檢測系統所佈署的網絡環境，如果在512K或2M專線上佈署網絡入侵檢測系統，則不需要高速的入侵檢測引擎，而在負荷較高的環境中，性能是一個非常重要的指標。 4. 該產品容易被躲避嗎 　　有些常用的躲開入侵檢測的方法，如：分片、TTL欺騙、異常TCP分段、慢掃描、協同攻擊等。 5. 產品的可伸縮性 　　系統支持的傳感器數目、最大數據庫大小、傳感器與控制檯之間通信帶寬和對審計日誌溢出的處理。 6. 運行與維護系統的開銷 　　產品報表結構、處理誤報的方便程度、事件與事志查詢的方便程度以及使用該系統所需的技術人員數量。 7. 產品支持的入侵特徵數 　　不同廠商對檢測特徵庫大小的計算方法都不一樣，所以不能偏聽一面之辭。 8. 產品有哪些響應方法 　　要從本地、遠程等多個角度考察。自動更改防火牆配置是一個聽上去很“酷”的功能，但是，自動配置防火牆可是一個極爲危險的舉動。 9. 是否通過了國家權威機構的評測 　　主要的權威測評機構有：國家信息安全測評認證中心、公安部計算機信息系統安全產品質量監督檢驗中心。 入侵檢測技術發展方向 　　無論從規模與方法上入侵技術近年來都發生了變化。入侵的手段與技術也有了“進步與發展”。入侵技術的發展與演化主要反映在下列幾個方面： 　　入侵或攻擊的綜合化與複雜化。入侵的手段有多種，入侵者往往採取一種攻擊手段。由於網絡防範技術的多重化，攻擊的難度增加，使得入侵者在實施入侵或攻擊時往往同時採取多種入侵的手段，以保證入侵的成功機率，並可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。 　　入侵主體對象的間接化，即實施入侵與攻擊的主體的隱蔽化。通過一定的技術，可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術後，對於被攻擊對象攻擊的主體是無法直接確定的。 　　入侵或攻擊的規模擴大。對於網絡的入侵與攻擊，在其初期往往是針對於某公司或一個網站，其攻擊的目的可能爲某些網絡技術愛好者的獵奇行爲，也不排除商業的盜竊與破壞行爲。由於戰爭對電子技術與網絡技術的依賴性越來越大，隨之產生、發展、逐步升級到電子戰與信息戰。對於信息戰，無論其規模與技術都與一般意義上的計算機網絡的入侵與攻擊都不可相提並論。信息戰的成敗與國家主幹通信網絡的安全是與任何主權國家領土安全一樣的國家安全。 　　入侵或攻擊技術的分佈化。以往常用的入侵與攻擊行爲往往由單機執行。由於防範技術的發展使得此類行爲不能奏效。所謂的分佈式拒絕服務（DDoS）在很短時間內可造成被攻擊主機的癱瘓。且此類分佈式攻擊的單機信息模式與正常通信無差異，所以往往在攻擊發動的初期不易被確認。分佈式攻擊是近期最常用的攻擊手段。 　　攻擊對象的轉移。入侵與攻擊常以網絡爲侵犯的主體，但近期來的攻擊行爲卻發生了策略性的改變，由攻擊網絡改爲攻擊網絡的防護系統，且有愈演愈烈的趨勢。現已有專門針對IDS作攻擊的報道。攻擊者詳細地分析了IDS的審計方式、特徵描述、通信模式找出IDS的弱點，然後加以攻擊。 　　今後的入侵檢測技術大致可朝下述三個方向發展。 　　分佈式入侵檢測：第一層含義，即針對分佈式網絡攻擊的檢測方法；第二層含義即使用分佈式的方法來檢測分佈式的攻擊，其中的關鍵技術爲檢測信息的協同處理與入侵攻擊的全局信息的提取。 　　智能化入侵檢測：即使用智能化的方法與手段來進行入侵檢測。所謂的智能化方法，現階段常用的有神經網絡、遺傳算法、模糊技術、免疫原理等方法，這些方法常用於入侵特徵的辨識與泛化。利用專家系統的思想來構建入侵檢測系統也是常用的方法之一。特別是具有自學習能力的專家系統，實現了知識庫的不斷更新與擴展，使設計的入侵檢測系統的防範能力不斷增強，應具有更廣泛的應用前景。應用智能體的概念來進行入侵檢測的嘗試也已有報道。較爲一致的解決方案應爲高效常規意義下的入侵檢測系統與具有智能檢測功能的檢測軟件或模塊的結合使用。 　　全面的安全防禦方案：即使用安全工程風險管理的思想與方法來處理網絡安全問題，將網絡安全作爲一個整體工程來處理。從管理、網絡結構、加密通道、防火牆、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估，然後提出可行的全面解決方案。