入侵檢測系統發展現狀
北京理工大學
鄧惠平
(
hpd9902@yahoo.com.cn
)
1.? IDS
發展現狀
入侵檢測系統
(Intrusion Detect System
,
IDS
)
,目前基本上分為以下兩種:主機入侵檢測系統
(HIDS,
主機基
)
;網絡入侵檢測系統
(NIDS
,網絡基
)
。
主機入侵檢測系統分析對象為主機審計日志,所以需要在主機上安裝軟件,針對不同的系統、不同的版本需安裝不同的主機引擎,安裝配置較為復雜,同時對系統的
運行和穩定性造成影響,目前在國內應用較少。網絡入侵監測分析對象為網絡數據流,只需安裝在網絡的監聽端口上,對網絡的運行無任何影響,目前國內使用較為
廣泛。本文分析的為目前使用廣泛的網絡入侵監測系統。
入侵檢測(
IDS
)是一個籠統的名字。入侵檢測常常包括對非法使用系統資源活動的檢測,也包括對濫用系統資源行為的檢測。安全產品市場銷售的入侵檢測產品往往專注于前一目標,而許多科研機構往往對后一目標更感興趣。在網絡安全產品市場
(
特別是國外市場
)
上防火墻產品已漸趨飽和的今天,入侵檢測產品的銷售有強勁的上升勢頭,無怪乎國內、外的安全產品廠家都迅速地將目光轉到這一產品上來。
入侵檢測系統使用兩種基本的檢測技術。一是對網絡上的數據進行
流量分析
,找出表現異常的網絡行為。二是對網上流動的數據進行
內容分析
,找出“黑客”攻擊的表征。功能簡單的入侵檢測系統可能只使用這兩種技術中的一種。
流
量截獲分析是一種對進入系統的信息只讀“信封”,不讀信內容的做法。盛放網上信息的“信封”除地址之外還包括其他一些內容。通過對信封上信息的分析可以發
現與入侵行為相關的某些特征。在這些特征當中,只有很小一部分可以使分析人員立即得出確定的結論,其他則需要對大量數據進行相關分析。特別是對網絡中不同
時間點,不同空間點上的數據進行相關分析。這樣做起來有相當的難度。
表
征分析的辦法是在網上傳遞的信息內容中尋找特定的關鍵字,這些關鍵字是在已知的入侵實例中使用過的。注意到,在互聯網上信息的傳播是通過尺寸很小的數據
“碎片”來實現的。就是說,一個文件往往被分割成許多小塊兒數據發送到網上,而每個小數據塊兒獨立地在網上旅行,不考慮它與其他數據塊兒的時間次序或其他
關系。僅當到達了目的地之后,這些小數據塊才被重新裝配起來。出于對處理效率和開銷的考慮,目前網絡安全產品市場出售的大多數入侵檢測產品都不做“碎片裝
配”的工作,這不能不使這些產品尋找攻擊表征的能力受到一些限制。
入
侵檢測系統面臨的最主要挑戰有兩個:一個是虛警率太高,一個是檢測速度太慢。美國克林頓政府去年曾宣布利用國家科學基金會的資金資助學術界對虛警問題的研
究,足見問題之嚴重。在檢測速度方面的形勢也很嚴峻。目前大多數入侵檢測系統在不犧牲檢測質量的前題下尚不能處理百兆位網絡滿負荷時的數據量,而千兆位則
還是個不可企及的目標。
?
2.
為什么需要入侵檢測系統?
在網絡安全方面,國內的用戶對防火墻已經有了很高的認知程度,而對入侵檢測系統的作用大多不是非常了解。防火墻在網絡安全中起到大門警衛的作用,對進出
的數據依照預先設定的規則進行匹配,符合規則的就予以放行,起訪問控制的作用,是網絡安全的第一道閘門。優秀的防火墻甚至對高層的應用協議進行動態分析,
保護進出數據應用層的安全。但防火墻的功能也有局限性。防火墻只能對進出網絡的數據進行分析,對網絡內部發生的事件完全無能為力。
同時
,
由
于防火墻處于網關的位置,不可能對進出攻擊作太多判斷,否則會嚴重影響網絡性能.如果把放火防火墻比作大門警衛的話,入侵檢測就是網絡中不間斷的攝像機,
入侵檢測通過旁路監聽的方式不間斷的收取網絡數據,對網絡的運行和性能無任何影響,同時判斷其中是否含有攻擊的企圖,通過各種手段向管理員報警。不但可以
發現從外部的攻擊,也可以發現內部的惡意行為。所以說入侵檢測是網絡安全的第二道閘門,是防火墻的必要補充,構成完整的網絡安全解決方案。
3.
入侵檢測系統目前存在的問題
入侵檢測系統有如此重大的作用,但在國內的應用遠遠談不到普及,一方面是由于用戶的認知程度較底,另一方面是由于入侵檢測是一門比較新的技術,還存在一些技術上的困難,不是所有廠商都有研發入侵檢測產品的實力。目前的入侵檢測產品大多存在這樣一些問題:
(1).
誤報和漏報的矛盾
入侵檢測系統對網絡上所有的數據進行分析,如果攻擊者對系統進行攻擊嘗試,而系統相應服務開放,只是漏洞已經修補,那么這一次攻擊是否需要報警,這就是
一個需要管理員判斷的問題。因為這也代表了一種攻擊的企圖。但大量的報警事件會分散管理員的精力,反而無法對真正的攻擊作出反映。和誤報相對應的是漏報,
隨著攻擊的方法不斷更新,入侵檢測系統是否能報出網絡中所有的攻擊也是一個問題。
(2).
隱私和安全的矛盾
入侵檢測系統可以收到網路的所有數據,同時可以對其進行分析和記錄,這對網絡安極其重要,但難免對用戶的隱私構成一定風險,這就要看具體的入侵檢測產品是否能提供相應功能以供管理員進行取舍。
(3).
被動分析與主動發現的矛盾
入侵檢測系統是采取被動監聽的方式發現網絡問題,無法主動發現網絡中的安全隱患和故障。如何解決這個問題也是入侵檢測產品面臨的問題。
(4).
海量信息與分析代價的矛盾
隨著網路數據流量的不斷增長,入侵檢測產品能否處理高效處理網路中的數據也是衡量入侵檢測產品的重要依據。
(5).
功能性和可管理性的矛盾
隨著入侵檢測產品功能的增加,可否在功能增加的同時,不增大管理的難度。例如,入侵檢測系統的所有信息都儲存在數據庫中,此數據庫能否自動維護和備份而不需管理員的干預?另外
,
入侵檢測系統自身安全性如何?是否易于部署?采用何種報警方式?也都是需要考慮的因素。
?(6).
單一的產品與復雜的網絡應用的矛盾
入侵檢測產品最出的目的是為了檢測網絡的攻擊,但僅僅檢測網絡中的攻擊遠遠無法滿足目前復雜的網應用需求.通常,管理員難以分清網路問題:是由于攻擊引起的還是網絡故障。入侵檢測檢測出的攻擊事件又如何處理,可否和目前網絡中的其他安全產品進行配合。
4
.入侵檢測技術發展趨勢
(1).分析技術的改進
入侵檢測誤報和漏報的解決最終依靠分析技術的改進。目前入侵檢測分析方法主要有:統計分析、模式匹配、數據重組、協議分析、行為分析等。
統計分析是統計網絡中相關事件發生的次數,達到判別攻擊的目的。模式匹配利用對攻擊的特征字符進行匹配完成對攻擊的檢測。數據重組是對網絡連接的數據流進行重組再加以分析,而不僅僅分析單個數據包。
協議分析技術是在對網絡數據流進行重組的基礎上,理解應用協議,再利用模式匹配和統計分析的技術來判明攻擊。例如:某個基于
HTTP
協議的攻擊含有
ABC
特征,如果此數據分散在若干個數據包中,如:一個數據包含
A
,另外一個包含
B
,另外一個包含
C
,則單純的模式匹配就無法檢測,只有基于數據流重組才能完整檢測。而利用協議分析。則只在符合的協議
(HTTP)
檢測到此事件才會報警。假設此特征出現在
Mail
里,因為不符合協議,就不會報警。利用此技術,有效的降低了誤報和漏報。
行為分析技術不僅簡單分析單次攻擊事件,還根據前后發生的事件確認是否確有攻擊發生,攻擊行為是否生效,是入侵檢測分析技術的最高境界。但目前由于算法
處理和規則制定的難度很大,目前還不是非常成熟,但卻是入侵檢測技術發展的趨勢。目前最好綜合使用多種檢測技術,而不只是依靠傳統的統計分析和模式匹配技
術。另外,規則庫是否及時更新也和檢測的準確程度相關。
(2).內容恢復和網絡審計功能的引入
前面已經提到,入侵檢測的最高境界是行為分析。但行為分析前還不是很成熟,因此,個別優秀的入侵檢測產品引入了內容恢復和網絡審計功能。
內容恢復即在協議分析的基礎上,對網絡中發生的應為加以完整的重組和記錄,網絡中發生的任何行為都逃不過它的監視。網絡審計即對網絡中所有的連接事件進
行記錄。入侵檢測的接入方式決定入侵檢測系統中的網絡審計不僅類似防火墻可以記錄網絡進出信息,還可以記錄網絡內部連接狀況,此功能對內容恢復無法恢復的
加密連接尤其有用。
內容恢復和網絡審計讓管理員看到網絡的真正運行狀況,其實就是調動管理員參與行為分析過程。此功能不僅能使管理員看到孤立的攻擊事件的報警,還可以看到
整個攻擊過程,了解攻擊確實發生與否,查看攻擊著的操作過程,了解攻擊造成的危害。不但發現已知攻擊,同時發現未知攻擊。不當發現外部攻擊者的攻擊,也發
現內部用戶的惡意行為。畢竟管理員是最了解其網絡的,管理員通過此功能的使用,很好的達成了行為分析的目的。但使用此功能的同時需注意對用戶隱私的保護。
(3).集成網絡分析和管理功能
入侵檢測不但對網絡攻擊是一個檢測。同時,侵檢測可以收到網絡中的所有數據,對網絡的故障分析和健康管理也可起到重大作用。當管理員發現某臺主機有問題
時,也希望能馬上對其進行管理。入侵檢測也不應只采用被動分析方法,最好能和主動分析結合。所以,入侵檢測產品集成網管功能,掃描器
(Scanner)
,嗅探器
(Sniffer)
等功能是以后發展的方向。
(4).安全性和易用性的提高
入侵檢測是個安全產品,自身安全極為重要。因此,目前的入侵檢測產品大多采用硬件結構,黑洞式接入,免除自身安全問題。同時,對易用性的要求也日益增
強,例如:全中文的圖形界面,自動的數據庫維護,多樣的報表輸出。這些都是優秀入侵產品的特性和以后繼續發展細化的趨勢。
(5).改進對大數據量網絡的處理方法
隨著對大數據量處理的要求,入侵檢測的性能要求也逐步提高,出現了千兆入侵檢測等產品。但如果入侵檢測檢測產品不僅具備攻擊分析,同時具備內容恢復和網
絡審計功能,則其存儲系統也很難完全工作在千兆環境下。這種情況下,網絡數據分流也是一個很好的解決方案,性價比也較好。這也是國際上較通用的一種作法。
(6).防火墻聯動功能
入侵檢測發現攻擊,自動發送給放火墻,防火墻加載動態規則攔截入侵,稱為防火墻聯動功能。目前此功能還沒有到完全實用的階段,主要是一種概念。隨便使用會導致很多問題。目前主要的應用對象是自動傳播的攻擊,如
Nimda
等,聯動只在這種場合有一定的作用。無限制的使用聯動。如未經充分測試,對防火期的穩定性和網絡應用會造成負面影響。但隨著入侵檢測產品檢測準確度的提高,聯動功能日益趨向實用化。
5.結論
目前入侵檢測是一項全新的技術,對網絡的安全起著重大的作用,但也有一些技術問題需要解決或正在解決,入侵檢測的應用也會日益廣泛。
以下是評價目前評價一個入侵檢測產品是否優秀的標準:
1
.
高效的數據截取
2
.
智能的數據流重組
3
.
強大的入侵識別
4
.
全面的內容恢復
5
.
完整的網絡審計
6
.
實時的網絡監控
7
.
集成的網絡管理
8
.
簡便的接入
9
.
易用的管理
10
.靈活的部署
11
.豐富的報警方法
12
.多樣的輸出結果
13
.嚴格的自身安全
14.
高度的可集成性
總之,入侵檢測產品的目標是成為“全面的網絡健康分析管理平臺”。
?
現有的入侵檢測系統還有其技術上的致命弱點。
幾年前,美國一家公司的兩個研究人員發現了一種躲避入侵檢測系統的技術(注:這里談到的是基于網絡的入侵檢測系統
NIDS
)。這種技術主要基于以下思想:在計算機世界里面,不同廠家生產的機器對網上數據的處理可能有一些細微的區別。特別是對一些不規范的數據,工業界使用的標準中并不規定對這些不大可能出現的情況的處理方式,于是各廠家的處理便略有不同。
如果一個被入侵檢測的網絡存在著多于一種型號的機器,或者型號雖然相同,機上軟件的版本號不完全一致,對同一個數據,不同機器
(
系統
)
的的表現行為可能有細微的差別。注意到,入侵檢測系統必須與被檢測機器有完全一致的行為,才能可靠的分辨攻擊表征
。
但在這種網絡組成比較復雜的情況下,入侵檢測系統不能不顧此失彼。于是經過巧妙設計的攻擊表征便有可能影響目標系統,而不為入侵檢測系統察覺。目前在安全
產品市場上,只有極個別的產品具有抵御這種攻擊的能力。雖然在實踐中到目前為止這還不是個嚴重問題,但也不能不令人感覺遺憾。與防火墻技術比較,入侵檢測
技術目前還很不成熟,今后幾年內應當有比較大的發展。
附錄:
國內入侵檢測系統
(
產品
)
部分開發商名單
|
No:
|
安全企業名稱
|
產品名稱
|
|
1
|
北京理工先河科技發展有限公司
|
“金海豚”網絡安全動態防護系統
|
|
2
|
深圳安絡科技有限公司
|
安絡網警
NetsentryII
|
|
3
|
東軟集團有限公司
|
東軟
NetEye IDS
|
|
4
|
北京海信數碼科技有限公司
|
海信眼鏡蛇入侵檢測系統
|
|
5
|
上海金諾網絡安全技術發展股份有限公司(原屬于公安部一所)
|
金諾網安
KIDS
|
|
6
|
北京啟明星辰信息技術有限公司
|
天闐黑客入侵檢測與預警系統
|
|
7
|
遠東網安科技有限公司(
上市公司:遠東股份 的控股公司
)
|
遠東科技黑客煞星
|
|
8
|
北京中科網威信息技術有限公司
(協作伙伴:中國科學院網絡安全重點實驗室)
|
中科網威
“
天眼
”
入侵偵測系統
|
|
9
|
北京冠群金辰科技有限公司
|
CA eTrust Intrusion Detection
|
|
10
|
北京清華紫光網聯科技有限公司
|
UnisIDS
|
|
11
|
北京天融信網絡安全技術有限公司
|
信息審計系統
|
|
12
|
北京東方龍馬系統集成有限公司
|
東方龍馬網絡漏洞掃描系統
|
?
?
?2005.10.25? 于 北京中關村南大街 理工大廈12層