入侵檢測技術(shù)是當(dāng)今一種非常重要的動態(tài)安全技術(shù),如果與 “傳統(tǒng) ”的 靜態(tài)防火墻技術(shù)共同使用,將可以大大提高系統(tǒng)的安全防護(hù)水平。
1、入侵檢測的內(nèi)容。關(guān)于入侵檢測的 “定義 ”已有數(shù)種,其中ICSA入侵檢測系統(tǒng)論壇的定義即:通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象(的一種安全技術(shù))。入侵檢測技術(shù)是動態(tài)安全技術(shù)的最核心技術(shù)之一。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù),對網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動的反應(yīng)。
目前,利用最新的可適應(yīng)網(wǎng)絡(luò)安全技術(shù)和P2DR(Policy Protection Detection Response)安全模型,已經(jīng)可以深入地研究入侵事件、入侵手段本身及被入侵目標(biāo)的漏洞等。入侵檢測技術(shù)通過對入侵行為的過程與特征的研究,使安全系統(tǒng)對入侵事件和入侵過程能做出實(shí)時響應(yīng),從理論的分析方式上可分為兩種相異的分析技術(shù):(1)異常發(fā)現(xiàn)技術(shù)。(2)模式發(fā)現(xiàn)技術(shù)。
目前,國際頂尖的入侵檢測系統(tǒng)IDS主要以模式發(fā)現(xiàn)技術(shù)為主,并結(jié)合異常發(fā)現(xiàn)技術(shù)。IDS一般從實(shí)現(xiàn)方式上分為兩種:基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS。一個完備的入侵檢測系統(tǒng)IDS一定是基于主機(jī)和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)。另外,能夠識別的入侵手段的數(shù)量多少,最新入侵手段的更新是否及時也是評價入侵檢測系統(tǒng)的關(guān)鍵指標(biāo)。從具體工作方式上看,絕大多數(shù)入侵檢測系統(tǒng)都采取兩種不同的方式來進(jìn)行入侵檢測:基于網(wǎng)絡(luò)和基于主機(jī)的。不管使用哪一種工作方式,都用不同的方式使用了上述兩種分析技術(shù),都需要查找攻擊簽名(Attack Signature)。所謂攻擊簽名,就是用一種特定的方式來表示已知的攻擊方式。
2.基于網(wǎng)絡(luò)的IDS。基于網(wǎng)絡(luò)的IDS使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行攻擊分析的數(shù)據(jù)源,一般利用一個網(wǎng)絡(luò)適配器來實(shí)時監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ拧R坏z測到攻擊,IDS應(yīng)答模塊通過通知、報警以及中斷連接等方式來對攻擊作出反應(yīng)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點(diǎn)有:(1)成本低。(2)攻擊者轉(zhuǎn)移證據(jù)很困難。(3)實(shí)時檢測和應(yīng)答一旦發(fā)生惡意訪問或攻擊,基于網(wǎng)絡(luò)的IDS檢測可以隨時發(fā)現(xiàn)它們,因此能夠更快地作出反應(yīng)。從而將入侵活動對系統(tǒng)的破壞減到最低。(4)能夠檢測未成功的攻擊企圖。(5)操作系統(tǒng)獨(dú)立。基于網(wǎng)絡(luò)的IDS并不依賴主機(jī)的操作系統(tǒng)作為檢測資源。而基于主機(jī)的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。
3.基于主機(jī)的IDS。基于主機(jī)的IDS一般監(jiān)視Windows NT上的系統(tǒng)、事件、安全日志以及UNIX環(huán)境中的syslog文件。一旦發(fā)現(xiàn)這些文件發(fā)生任何變化,IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配。如果匹配的話,檢測系統(tǒng)就向管理員發(fā)出入侵報警并且發(fā)出采取相應(yīng)的行動。
基于主機(jī)的IDS的主要優(yōu)勢有:(1)非常適用于加密和交換環(huán)境。(2)近實(shí)時的檢測和應(yīng)答。(3)不需要額外的硬件。
4.集成化:IDS的發(fā)展趨勢。基于網(wǎng)絡(luò)和基于主機(jī)的IDS都有各自的優(yōu)勢,兩者相互補(bǔ)充。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。從某個重要服務(wù)器的鍵盤發(fā)出的攻擊并不經(jīng)過網(wǎng)絡(luò),因此就無法通過基于網(wǎng)絡(luò)的IDS檢測到,只能通過使用基于主機(jī)的IDS來檢測。基于網(wǎng)絡(luò)的IDS通過檢查所有的包首標(biāo)(header)來進(jìn)行檢測,而基于主機(jī)的IDS并不查看包首標(biāo)。許多基于IP的拒絕服務(wù)攻擊和碎片攻擊,只能通過查看它們通過網(wǎng)絡(luò)傳輸時的包首標(biāo)才能識別。基于網(wǎng)絡(luò)的IDS可以研究負(fù)載的內(nèi)容,查找特定攻擊中使用的命令或語法,這類攻擊可以被實(shí)時檢查包序列的IDS迅速識別。而基于主機(jī)的系統(tǒng)無法看到負(fù)載,因此也無法識別嵌入式的負(fù)載攻擊。聯(lián)合使用基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測效果。比如基于主機(jī)的IDS使用系統(tǒng)日志作為檢測依據(jù),因此它們在確定攻擊是否已經(jīng)取得成功時與基于網(wǎng)絡(luò)的檢測系統(tǒng)相比具有更大的準(zhǔn)確性。在這方面,基于主機(jī)的IDS對基于網(wǎng)絡(luò)的IDS是一個很好的補(bǔ)充,人們完全可以使用基于網(wǎng)絡(luò)的IDS提供早期報警,而使用基于主機(jī)的IDS來驗證攻擊是否取得成功。
在下一代的入侵檢測系統(tǒng)中,將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測技術(shù)很好地集成起來,提供集成化的攻擊簽名、檢測、報告和事件關(guān)聯(lián)功能。相信未來的集成化的入侵檢測產(chǎn)品不僅功能更加強(qiáng)大,而且部署和使用上也更加靈活方便。
5.選擇合適的IDS。
這幾年有關(guān)入侵檢測的產(chǎn)品發(fā)展比較快,現(xiàn)在比較流行的入侵檢測系統(tǒng)(IDS)也比較多,其中Intruder Alert and Netprowler、Centrax 2.2和Realsecure 3.2采用了集成化的檢測方法。
NetRanger:與路由器結(jié)合。Cisco的NetRanger是當(dāng)前性能最好的IDS之一。NetRanger使用一個引擎/控制模型,它幾乎能夠檢測到當(dāng)前已知的各種攻擊。
