目前,絕大多數(shù)IDS(入侵檢測(cè)系統(tǒng))的檢測(cè)機(jī)制還停留在:基本的數(shù)據(jù)包捕獲加以非智能模式匹配與特征搜索技術(shù)來探測(cè)攻擊。而協(xié)議分析能夠智能地“理解”協(xié)議,利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在,從而避免了模式匹配所做的大量無用功——導(dǎo)致所需計(jì)算的大量減少。
特征模式匹配技術(shù)的流程
模式匹配技術(shù)按照以下方式進(jìn)行操作:
網(wǎng)絡(luò)上每一個(gè)數(shù)據(jù)包都被檢查,尋找攻擊特征;
與攻擊特征相同長(zhǎng)度的一組字節(jié)從可疑數(shù)據(jù)包首部取出,并對(duì)兩組字節(jié)進(jìn)行比較;
如果兩組字節(jié)一樣,攻擊特征即被檢測(cè)出來;
如果兩組字節(jié)不一樣,攻擊特征“前移一個(gè)字節(jié)”,重復(fù)比較流程;
第二次檢測(cè)時(shí),特征與數(shù)據(jù)包中第二位開始的字節(jié)進(jìn)行比較;
該流程被重復(fù),每次的比較起始位置都增加一個(gè)字節(jié),直到所有的數(shù)據(jù)字節(jié)都與攻擊特征進(jìn)行比較。
特征模式匹配技術(shù)的兩個(gè)缺陷
特征模式匹配技術(shù)有兩個(gè)最根本的缺陷:
計(jì)算的負(fù)載——持續(xù)該運(yùn)算法則所需的計(jì)算量極其巨大,對(duì)于滿負(fù)載的100Mbps以太網(wǎng),需要的計(jì)算量將是:(攻擊特征字節(jié)數(shù))×(數(shù)據(jù)包字節(jié)數(shù))×(每秒的數(shù)據(jù)包數(shù))×(數(shù)據(jù)庫的攻擊特征數(shù))。假設(shè)一個(gè)攻擊特征有20字節(jié),平均數(shù)據(jù)包大小為300字節(jié),每秒30000個(gè)數(shù)據(jù)包,數(shù)據(jù)庫有2000個(gè)攻擊特征,我們每秒就需要有360000000000字節(jié)的計(jì)算量。這樣的計(jì)算速率遠(yuǎn)遠(yuǎn)超過當(dāng)今技術(shù)允許的范圍。折中的方法就是通過在發(fā)現(xiàn)一個(gè)字節(jié)不匹配時(shí)就放棄繼續(xù)對(duì)比,認(rèn)為該數(shù)據(jù)包安全,這樣可以構(gòu)造出一個(gè)所謂部分覆蓋的IDS。因?yàn)檫@種系統(tǒng)有性能問題困擾,因此容易被黑客利用。
探測(cè)準(zhǔn)確性——第二個(gè)根本的缺陷是模式匹配/特征搜索技術(shù)使用固定的特征模式來探測(cè)攻擊。使用固定的特征模式就只能探測(cè)出明確的、唯一的攻擊特征,即便是最輕微變換的攻擊串都會(huì)被忽略。
特征模式匹配IDS的根本問題
一個(gè)基于模式匹配的IDS系統(tǒng)不能智能地判斷看似不同字符串/命令串的真實(shí)含義和最終效果。在模式匹配系統(tǒng)中,每一個(gè)這樣的變化都要求攻擊特征數(shù)據(jù)庫增加一個(gè)特征記錄。這種技術(shù)運(yùn)算規(guī)則的內(nèi)在缺陷使得所謂的龐大特征庫實(shí)際上是徒勞的,最后的結(jié)果往往是付出更高的計(jì)算負(fù)載,而導(dǎo)致更多的丟包率,也就產(chǎn)生遺漏更多攻擊的可能,黑客們往往利用這種缺陷進(jìn)行攻擊。
基于模式匹配技術(shù)的IDS的根本問題在于它把數(shù)據(jù)包作為一系列隨機(jī)變換的字節(jié)流,它假設(shè)數(shù)據(jù)包的結(jié)構(gòu)不可知。當(dāng)模式匹配被用來從大量隨機(jī)變化數(shù)據(jù),如一個(gè)數(shù)據(jù)影像或一個(gè)音頻流中搜索特征模式時(shí),可以說是一個(gè)正確明智的方法。模式匹配軟件最初就是為分析數(shù)據(jù)影像和音頻信息而開發(fā)的。但很明顯,分析數(shù)據(jù)影像和分析網(wǎng)絡(luò)通信協(xié)議是截然不同的。模式匹配軟件可以在入侵檢測(cè)系統(tǒng)中使用,但它絕不是理想的,因?yàn)樗旧砭筒皇潜辉O(shè)計(jì)來完成這種任務(wù)的。