基本介紹
基本簡介,分類情況,特徵檢測,異常檢測,入侵分類,1)基於主機,2)基於網路,3)分散式,工作步驟,常用術語,Alerts,Anomaly,Appliance,ArachNIDS,Attacks,Automated Response,CERT,CIDF,CIRT,CISL,CVE,Crafting Packets,Desynchronization,Eleet,Enumeration,Evasion,Exploits,False Negatives,FIRST,Fragmentation,Heuristics,Honeynet Project,Honeypot,IDS Categories,IDWG,Incident Handling,Incident Response,Islanding,Promiscuous,Scanners,Script Kiddies,Shunning,Signatures,Stealth,信息收集,系統和網路日誌檔案,目錄和檔案中的不期望的改變,程式執行中的不期望行為,物理形式的入侵信息,信號分析,模式匹配,統計分析,完整性分析,檢測功能,發展歷程,概念提出,模型的發展,技術的進步,廠家,
基本簡介
入侵檢測(Intrusion Detection)是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和回響入侵。因此被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現:監視、分析用戶及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式並向相關人士報警;異常行為模式的統計分析;評估重要系統和數據檔案的完整性;作業系統的審計跟蹤管理,並識別用戶違反安全策略的行為。
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程式、檔案和硬體設備等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出回響,包括切斷網路連線、記錄事件和報警等。
分類情況
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
特徵檢測
特徵檢測(Signature-based detection) 又稱Misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。
異常檢測
異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
入侵分類
1)基於主機
一般主要使用作業系統的審計、跟蹤日誌作為數據源,某些也會主動與主機系統進行互動以獲得不存在於系統日誌中的信息以檢測入侵。這種類型的檢測系統不需要額外的硬體.對網路流量不敏感,效率高,能準確定位入侵併及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊類型受限。不能檢測網路攻擊。
2)基於網路
通過被動地監聽網路上傳輸的原始流量,對獲取的網路數據進行處理,從中提取有用的信息,再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。此類檢測系統不依賴作業系統作為檢測資源,可套用於不同的作業系統平台;配置簡單,不需要任何特殊的審計和登錄機制;可檢測協定攻擊、特定環境的攻擊等多種攻擊。但它只能監視經過本網段的活動,無法得到主機系統的實時狀態,精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統.
3)分散式
這種入侵檢測系統一般為分散式結構,由多個部件組成,在關鍵主機上採用主機入侵檢測,在網路關鍵節點上採用網路入侵檢測,同時分析來自主機系統的審計日誌和來自網路的數據流,判斷被保護系統是否受到攻擊。
工作步驟
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程式、檔案和硬體設備等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出回響,包括切斷網路連線、記錄事件和報警等。
常用術語
隨著IDS(入侵檢測系統)的超速發展,與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語,其中一些是非常基本並相對通用的,而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力,不同的產商可能會用同一個術語表示不同的意義,從而導致某些術語的確切意義出現了混亂。對此,本文會試圖將所有的術語都囊括進來。
Alerts
(警報)
當一個入侵正在發生或者試圖發生時,IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器,alert信息將顯示在監視器上,也可能伴隨著聲音提示。如果是遠程控制台,那么alert將通過IDS系統內置方法(通常是加密的)、SNMP(簡單網路管理協定,通常不加密)、email、SMS(短信息)或者以上幾種方法的混合方式傳遞給管理員。
Anomaly
(異常)
當有某個事件與一個已知攻擊的信號相匹配時,多數IDS都會告警。一個基於anomaly(異常)的IDS會構造一個當時活動的主機或網路的大致輪廓,當有一個在這個輪廓以外的事件發生時,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個用戶突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟發式功能,但一個啟發式的IDS應該在其推理判斷方面具有更多的智慧型。
Appliance
(IDS硬體)
除了那些要安裝到現有系統上去的IDS軟體外,在市場的貨架上還可以買到一些現成的IDS硬體,只需將它們接入網路中就可以套用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。
ArachNIDS
ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫,它是動態更新的,適用於多種基於網路的入侵檢測系統。
ARIS:Attack Registry & Intelligence Service(攻擊事件註冊及智慧型服務)
Attacks
(攻擊)
攻擊類型1-DOS(Denial Of Service attack,拒絕服務攻擊):DOS攻擊不是通過黑客手段破壞一個系統的安全,它只是使系統癱瘓,使系統拒絕向其用戶提供服務。其種類包括緩衝區溢出、通過洪流(flooding)耗盡系統資源等等。
攻擊類型2-DDOS(Distributed Denial of Service,分散式拒絕服務攻擊):一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊,卻無法發出足夠的信息包來達到理想的結果,因此就產生了DDOS,即從多個分散的主機一個目標發動攻擊,耗盡遠程系統的資源,或者使其連線失效。
攻擊類型4-Trojans(特洛伊木馬):Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當木馬運到城裡,士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中,它原本是指那些以合法程式的形式出現,其實包藏了惡意軟體的那些軟體。這樣,當用戶運行合法程式時,在不知情的情況下,惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程式都是遠程控制工具,Trojan這個術語很快就演變為專指這類工具,例如BackOrifice、SubSeven、NetBus等等。
Automated Response
(自動回響)
除了對攻擊發出警報,有些IDS還能自動抵禦這些攻擊。抵禦方式有很多:首先,可以通過重新配置路由器和防火牆,拒絕那些來自同一地址的信息流;其次,通過在網路上傳送reset包切斷連線。但是這兩種方式都有問題,攻擊者可以反過來利用重新配置的設備,其方法是:通過偽裝成一個友方的地址來發動攻擊,然後IDS就會配置路由器和防火牆來拒絕這些地址,這樣實際上就是對“自己人”拒絕服務了。傳送reset包的方法要求有一個活動的網路接口,這樣它將置於攻擊之下,一個補救的辦法是:使活動網路接口位於防火牆內,或者使用專門的發包程式,從而避開標準IP棧需求。
CERT
(Computer Emergency Response Team,計算機應急回響小組)
CIDF
CIRT
(Computer Incident Response Team,計算機事件回響小組)
CIRT是從CERT演變而來的,CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的,而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。
CISL
(Common Intrusion Specification Language,通用入侵規範語言)
CVE
(Common Vulnerabilities and Exposures,通用漏洞披露)
關於漏洞的一個老問題就是在設計掃描程式或應對策略時,不同的廠商對漏洞的稱謂也會完全不同。還有,一些產商會對一個漏洞定義多種特徵並套用到他們的IDS系統中,這樣就給人一種錯覺,好像他們的產品更加有效。MITRE創建了CVE,將漏洞名稱進行標準化,參與的廠商也就順理成章按照這個標準開發IDS產品。
Crafting Packets
(自定義數據包)
建立自定義數據包,就可以避開一些慣用規定的數據包結構,從而製造數據包欺騙,或者使得收到它的計算機不知該如何處理它。
Desynchronization
(同步失效)
Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑,從而導致無法重新構建數據。這一技術在1998年很流行,已經過時了,有些文章把desynchronization這個術語代指其它IDS逃避方法。
Eleet
當黑客編寫漏洞開發程式時,他們通常會留下一個簽名,其中最聲名狼藉的一個就是elite。如果將eleet轉換成數字,它就是31337,而當它是指他們的能力時,elite=eleet,表示精英。31337通常被用做一個連線埠號或序列號。流行的詞是“skillz”。
Enumeration
(列舉)
經過被動研究和社會工程學的工作後,攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於行動不再是被動的,它就有可能被檢測出來。當然為了避免被檢測到,他們會儘可能地悄悄進行。
Evasion
(躲避)
Exploits
(漏洞利用)
漏洞利用:Zero Day Exploit(零時間漏洞利用)
零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用,也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現,很快就會出現針對它的補丁程式,並在IDS中寫入其特徵標識信息,使這個漏洞利用無效,有效地捕獲它。
False Negatives
(漏報)
漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。
False Positives(誤報)
誤報是指實際無害的事件卻被IDS檢測為攻擊事件。
Firewalls(防火牆)
FIRST
(Forum of Incident Response and Security Teams,事件回響和安全團隊論壇)
FIRST是由國際性政府和私人組織聯合起來交換信息並協調回響行動的聯盟,一年一度的FIRST受到高度的重視。
Fragmentation
(分片)
如果一個信息包太大而無法裝載,它就不得不被分成片斷。分片的依據是網路的MTU(Maximum Transmission Units,最大傳輸單元)。例如,靈牌環網(token ring)的MTU是4464,乙太網(Ethernet)的MTU是1500,因此,如果一個信息包要從靈牌環網傳輸到乙太網,它就要被分裂成一些小的片斷,然後再在目的地重建。雖然這樣處理會造成效率降低,但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法,另外還有一些DOS攻擊也使用分片技術。
Heuristics
(啟發)
Heuristics就是指在入侵檢測中使用AI(artificial intelligence,人工智慧)思想。真正使用啟發理論的IDS已經出現大約10年了,但他們還不夠“聰明”,攻擊者可以通過訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵,這樣的IDS必須要不斷地學習什麼是正常事件。一些產商認為這已經是相當“聰明”的IDS了,所以就將它們看做是啟發式IDS。但實際上,真正套用AI技術對輸入數據進行分析的IDS還很少很少。
Honeynet Project
(Honeynet工程)
Honeypot
(蜜罐)
蜜罐是一個包含漏洞的系統,它模擬一個或多個易受攻擊的主機,給黑客提供一個容易攻擊的目標。由於蜜罐沒有其它任務需要完成,因此所有連線的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目標的攻擊,讓攻擊者在蜜罐上浪費時間。與此同時,最初的攻擊目標受到了保護,真正有價值的內容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客蒐集證據,這看起來有“誘捕”的感覺。但是在一些國家中,是不能利用蜜罐收集證據起訴黑客的。
IDS Categories
(IDS分類)
有許多不同類型的IDS,以下分別列出:
IDS分類1-Application IDS(應用程式IDS):應用程式IDS為一些特殊的應用程式發現入侵信號,這些應用程式通常是指那些比較易受攻擊的應用程式,如Web伺服器、資料庫等。有許多原本著眼於作業系統的基於主機的IDS,雖然在默認狀態下並不針對套用程式,但也可以經過訓練,套用於應用程式。例如,KSE(一個基於主機的IDS)可以告訴我們在事件日誌中正在進行的一切,包括事件日誌報告中有關套用程式的輸出內容。套用程式IDS的一個例子是Entercept的Web Server Edition。
IDS分類2-Consoles IDS(控制台IDS):為了使IDS適用於協同環境,分散式IDS代理需要向中心控制台報告信息。許多中心控制台還可以接收其它來源的數據,如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台,並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分類3-File Integrity Checkers(檔案完整性檢查器):當一個系統受到攻擊者的威脅時,它經常會改變某些關鍵檔案來提供持續的訪問和預防檢測。通過為關鍵檔案附加信息摘要(加密的雜亂信號),就可以定時地檢查檔案,查看它們是否被改變,這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化,完整性檢查器就會發出一個警報。而且,當一個系統已經受到攻擊後,系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的檔案檢查器在事件發生好久之後才能將入侵檢測出來,是“事後諸葛亮”,出現的許多產品能在檔案被訪問的同時就進行檢查,可以看做是實時IDS產品了。該類產品有Tripwire和Intact。
IDS分類4-Honeypots(蜜罐):關於蜜罐,前面已經介紹過。蜜罐的例子包括Mantrap和Sting。
IDS分類5-Host-based IDS(基於主機的IDS):這類IDS對多種來源的系統和事件日誌進行監控,發現可疑活動。基於主機的IDS也叫做主機IDS,最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能,主機IDS還對“事件/日誌/時間”進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的,系統的錯誤就可以很快地檢測出來,技術人員和安全人士都非常喜歡它。基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。
IDS分類6-Hybrid IDS(混合IDS):現代交換網路的結構給入侵檢測操作帶來了一些問題。首先,默認狀態下的交換網路不允許網卡以混雜模式工作,這使傳統網路IDS的安裝非常困難。其次,很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS(混合IDS)正是解決這些問題的一個方案,它將IDS提升了一個層次,組合了網路節點IDS和Host IDS(主機IDS)。雖然這種解決方案覆蓋面極大,但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS,實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。
IDS分類7-Network IDS(NIDS,網路IDS):NIDS對所有流經監測代理的網路通信量進行監控,對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器,但是它們變得更加智慧型化,可以破譯協定並維護狀態。NIDS存在基於套用程式的產品,只需要安裝到主機上就可套用。NIDS對每個信息包進行攻擊特徵的分析,但是在網路高負載下,還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。
IDS分類8-Network Node IDS(NNIDS,網路節點IDS):有些網路IDS在高速下是不可靠的,裝載之後它們會丟棄很高比例的網路信息包,而且交換網路經常會妨礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機,從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似,但它們之間還有區別。對於被歸類為NNIDS的個人防火牆,應該對企圖的連線做分析。例如,不像在許多個人防火牆上發現的“試圖連線到連線埠xxx”,一個NNIDS會對任何的探測都做特徵分析。另外,NNIDS還會將主機接收到的事件傳送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。
IDS分類9-Personal Firewall(個人防火牆):個人防火牆安裝在單獨的系統中,防止不受歡迎的連線,無論是進來的還是出去的,從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。
IDS分類10-Target-Based IDS(基於目標的IDS):這是不明確的IDS術語中的一個,對不同的人有不同的意義。可能的一個定義是檔案完整性檢查器,而另一個定義則是網路IDS,後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度,因為它不搜尋那些不必要的攻擊。
IDWG
Incident Handling
(事件處理)
Incident Response
(事件回響)
Islanding
(孤島)
孤島就是把網路從Internet上完全切斷,這幾乎是最後一招了,沒有辦法的辦法。一個組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。
Promiscuous
(混雜模式)
默認狀態下,IDS網路接口只能看到進出主機的信息,也就是所謂的non-promiscuous(非混雜模式)。如果網路接口是混雜模式,就可以看到網段中所有的網路通信量,不管其來源或目的地。這對於網路IDS是必要的,但同時可能被信息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題,在能看到全面通信量的地方,會都許多跨越(span)連線埠。
Routers(路由器)
路由器是用來連線不同子網的中樞,它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路信息包傳輸到它們的目的地。一些路由器還有訪問控制列表(ACLs),允許將不想要的信息包過濾出去。許多路由器都可以將它們的日誌信息注入到IDS系統中,提供有關被阻擋的訪問網路企圖的寶貴信息。
Scanners
(掃描器)
掃描器種類1-NetworkScanners(網路掃描器):網路掃描器在網路上搜尋以找到網路上所有的主機。傳統上它們使用的是ICMP ping技術,但是這種方法很容易被檢測出來。為了變得隱蔽,出現了一些新技術,例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是:不同的作業系統對這些掃描會有不同的反應,從而為攻擊者提供了更多有價值的信息。這種工具的一個例子是nmap。
掃描器種類2-Network Vulnerability Scanners(網路漏洞掃描器):網路漏洞掃描器將網路掃描器向前發展了一步,它能檢測目標主機,並突出一切可以為黑客利用的漏洞。網路漏洞掃描器可以為攻擊者和安全專家使用,但會經常讓IDS系統“緊張”。該類產品有Retina和CyberCop。
掃描器種類3-Host VulnerabilityScanners(主機漏洞掃描器):這類工具就像個有特權的用戶,從內部掃描主機,檢測口令強度、安全策略以及檔案許可等內容。網路IDS,特別是主機IDS可以將它檢測出來。該類產品有SecurityExpressions,它是一個遠程Windows漏洞掃描器,並且能自動修復漏洞。還有如ISS資料庫掃描器,會掃描資料庫中的漏洞。
Script Kiddies
(腳本小子)
有些受到大肆宣揚的Internet安全破壞,如2000年2月份對Yahoo的拒絕服務攻擊,是一些十來歲的中學生乾的,他們幹這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為腳本小子(Script Kiddies)。腳本小子通常都是一些自發的、不太熟練的cracker,他們使用從Internet 上下載的信息、軟體或腳本對目標站點進行破壞。黑客組織或法律實施權威機構都對這些腳本小孩表示輕蔑,因為他們通常都技術不熟練,手上有大把時間可以來搞破壞,他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩,他們不需要懂得彈道理論,也不必能夠製造槍枝,就能成為強大的敵人。因此,無論何時都不能低估他們的實力。
Shunning
(躲避)
躲避是指配置邊界設備以拒絕所有不受歡迎的信息包,有些躲避甚至會拒絕來自某些國家所有IP位址的信息包。
Signatures
(特徵)
IDS的核心是攻擊特徵,它使IDS在事件發生時觸發。特徵信息過短會經常觸發IDS,導致誤報或錯報,過長則會減慢IDS的工作速度。有人將IDS所支持的特徵數視為IDS好壞的標準,但是有的產商用一個特徵涵蓋許多攻擊,而有些產商則會將這些特徵單獨列出,這就會給人一種印象,好像它包含了更多的特徵,是更好的IDS。大家一定要清楚這些。
Stealth
(隱藏)
信息收集
入侵檢測的第一步是信息收集,內容包括系統、網路、數據及用戶活動的狀態和行為。而且,需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息,這除了儘可能擴大檢測範圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然,入侵檢測很大程度上依賴於收集信息的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息,例如替換被程式調用的子程式、庫和其它工具。黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣,而實際上不是。例如,unix系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同於指定檔案的檔案(黑客隱藏了初試檔案並用另一版本代替)。這需要保證用來檢測網路系統的軟體的完整性,特別是入侵檢測系統軟體本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息。
系統和網路日誌檔案
黑客經常在系統日誌檔案中留下他們的蹤跡,因此,充分利用系統和網路日誌檔案信息是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日誌檔案,能夠發現成功的入侵或入侵企圖,並很快地啟動相應的應急回響程式。日誌檔案中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄“用戶活動”類型的日誌,就包含登錄、用戶ID改變、用戶對檔案的訪問、授權和認證信息等內容。很顯然地,對用戶活動來講,不正常的或不期望的行為就是重複登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要檔案等等。
目錄和檔案中的不期望的改變
網路環境中的檔案系統包含很多軟體和數據檔案,包含重要信息的檔案和私有數據檔案經常是黑客修改或破壞的目標。目錄和檔案中的不期望的改變(包括修改、創建和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的檔案,同時為了隱藏系統中他們的表現及活動痕跡,都會盡力去替換系統程式或修改系統日誌檔案。
程式執行中的不期望行為
物理形式的入侵信息
這包括兩個方面的內容,一是未授權的對網路硬體連線;二是對物理資源的未授權訪問。黑客會想方設法去突破網路的周邊防衛,如果他們能夠在物理上訪問內部網,就能安裝他們自己的設備和軟體。依此,黑客就可以知道網上的由用戶加上去的不安全(未授權)設備,然後利用這些設備訪問網路。例如,用戶在家裡可能安裝Modem以訪問遠程辦公室,與此同時黑客正在利用自動工具來識別在公共電話線上的Modem,如果一撥號訪問流量經過??網路安全的後門。黑客就會利用這個後門來訪問內部網,從而越過了內部網路原有的防護措施,然後捕獲網路流量,進而攻擊其它系統,並偷取敏感的私有信息等等。
信號分析
模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字元串匹配以尋找一個簡單的條目或指令),也可以很複雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得許可權)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火牆採用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
統計分析
統計分析方法首先給系統對象(如用戶、檔案、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網路、系統的行為進行比較,任何觀察值在正常值範圍之外時,就認為有入侵發生。例如,統計分析可能標識一個不正常行為,因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為複雜的入侵,缺點是誤報、漏報率高,且不適套用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法,正處於研究熱點和迅速發展之中。
完整性分析
檢測功能
·監督並分析用戶和系統的活動
·檢查關鍵系統和數據檔案的完整性
·識別代表已知攻擊的活動模式
·對反常行為模式的統計分析
·對作業系統的校驗管理,判斷是否有破壞安全的用戶活動。
·提高了信息安全體系其它部分的完整性
·提高了系統的監察能力
·跟蹤用戶從進入到退出的所有活動或影響
·識別並報告數據檔案的改動
·發現系統配置的錯誤,必要時予以更正
·識別特定類型的攻擊,並向相應人員報警,以作出防禦反應
·允許非專家人員從事系統安全工作
·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望:這些產品並不是無所不能的,它們無法彌補力量薄弱的識別和確認機制
·在無人干預的情況下,無法執行對攻擊的檢查
·不能彌補由於系統提供信息的質量或完整性的問題
·它們不能分析網路繁忙時所有事務
·它們不能總是對數據包級的攻擊進行處理
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和回響入侵。從網路安全立體縱深、多層次防禦的角度出發,入侵檢測理應受到人們的高度重視,這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內,隨著上網的關鍵部門、關鍵業務越來越多,迫切需要具有自主著作權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品(缺乏升級和服務)階段,或者是防火牆中集成較為初級的入侵檢測模組。可見,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。
發展歷程
概念提出
1980年4月,JnamesP.Aderson為美國空軍做了一份題為“Computer Security ThreatMonitoring and Surveillance”(計算機安全威脅監控與監視)的技術報告,第一次詳細的闡述了入侵檢測的概念。他提出了一種對計算機系統風險和威脅的分類方法,並將威脅分為了外部滲透、內部滲透和不法行為三種,還提出了利用審計跟蹤數據監視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作。
模型的發展
1988年,SRI/CSL的Teresa Lunt等改進了Denning的入侵檢測模型,並研發出了實際的IDES。
1990年時入侵檢測系統發展史上十分重要的一年。這一年,加州大學戴維斯分校的L.T.Heberlein等開發出了NSM(Network Security Monitor)。該系統第一次直接將網路作為審計數據的來源,因而可以在不將審計數計轉化成統一的格式情況下監控異種主機。同時兩大陣營正式形成:基於網路的IDS和基於主機的IDS。
1988年的莫里斯蠕蟲事件發生後,網路安全才真正引起各方重視。美國空軍、國家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國家實驗室、加州大學戴維斯分校、Haystack實驗室,開展對分散式入侵檢測系統(DIDS)的研究,將基於主機和基於網路的檢測方法集成到一起。
技術的進步
從20世紀90年代到現在,入侵檢測系統的研發呈現出百家爭鳴的繁榮局面,並在智慧型化和分散式兩個方向取得了長足的進展。SRI/CSL、普渡大學、加州戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面代表了當前的最高水平。我國也有多家企業通過最初的技術引進,逐漸發展成自主研發。
廠家
天融信入侵檢測系統
隨著計算機網路與信息化技術的高速發展,越來越多的企業、政府構建了自己的網際網路信息化系統,在網路帶來高效和快捷的同時,網路攻擊的多樣化發展和頻寬的爆發式增長對網路安全產品的處理性能和檢測的精準性提出了更高的要求。天融信公司自主研發的網路衛士入侵檢測系統(以下簡稱TopSentry產品)採用旁路部署方式,能夠實時檢測包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務攻擊、木馬、蠕蟲、系統漏洞等超過3500種網路攻擊行為。TopSentry產品還具有套用協定智慧型識別、P2P流量控制、網路病毒檢測、惡意網站監測和區域網路監控等功能,為用戶提供了完整的立體式網路安全檢測監控。
快速的處理性能是對網關產品的基本要求,特別對處理套用層數據的入侵檢測產品要求更為嚴苛。TopSentry產品全系列採用天融信獨有的專利多核處理硬體平台,基於先進的SmartAMP並行處理架構,內置處理器動態負載均衡專利技術,結合獨創的SecDFA核心加速算法,實現了對網路數據流的高性能實時檢測,使TopSentry滿檢速率達到了10Gbps。
準確的識別網路攻擊行為是入侵檢測產品的核心價值所在。TopSentry產品採用協定分析、模式匹配、流量異常監視等綜合技術手段來判斷網路入侵行為,可以準確地發現各種網路攻擊。天融信公司的安全攻防實驗室(以下簡稱TopLabs)是國家攻擊檢測漏洞庫的創立單位,同時也是國家應急回響支撐服務單位和國家定點博士後工作站, 擁有專業的高素質技術研究人員,通過不斷跟蹤、研究、分析最新發現的安全漏洞,形成具有自主智慧財產權的攻擊檢測規則庫,確保TopSentry產品擁有準確的檢測能力。該規則庫已通過國際權威組織CVE的兼容性認證,並保持至少每周一次的更新頻率。
穩定是入侵檢測產品的基礎。TopSentry產品由天融信公司的防火牆研發團隊研發,採用與防火牆產品相同的多核處理硬體平台和天融信自主智慧財產權的TOS(Topsec Operating System)系統,傳承了天融信公司十六年來不斷積累的網關產品技術經驗;TopSentry在銀行、電信、保險、電力等多行業有大規模部署實例,具備高穩定性和高可靠性,能夠在各種網路環境下持續穩定的識別各種入侵行為,為用戶提供安全防護規劃提供更詳實的依據。