系統風險與入侵檢測
計算機網絡的安全是一個國際化的問題,每年全球因計算機網絡的安全系統被破壞而造成的經濟損失達數百億美元。進入新世紀之后,上述損失將達2000億美元以上。
政府、銀行、大企業等機構都有自己的內網資源。從這些組織的網絡辦公環境可以看出,行政結構是金字塔型,但是局域網的網絡管理卻是平面型的,從網絡安全的角度看,當公司的內部系統被入侵、破壞與泄密是一個嚴重的問題,以及由此引出的更多有關網絡安全的問題都應該引起我們的重視。據統計,全球80%以上的入侵來自于內部。此外,不太自律的員工對網絡資源無節制的濫用對企業可能造成巨大的損失。
當商戶、銀行與其他商業與金融機構在電子商務熱潮中紛紛進入Internet,以政府上網為標志的數字政府使國家機關與Internet互聯。通過Internet 實現包括個人、企業與政府的全社會信息共享已逐步成為現實。隨著網絡應用范圍的不斷擴大,對網絡的各類攻擊與破壞也與日俱增。無論政府、商務,還是金融、媒體的網站都在不同程度上受到入侵與破壞。網絡安全已成為國家與國防安全的重要組成部分,同時也是國家網絡經濟發展的關鍵。
據統計:信息竊賊在過去5年中以250%速度增長,99%的大公司都發生過大的入侵事件。世界著名的商業網站,如Yahoo、Buy、EBay、Amazon、CNN都曾被黑客入侵,造成巨大的經濟損失。甚至連專門從事網絡安全的RSA網站也受到黑客的攻擊。
對入侵攻擊的檢測與防范、保障計算機系統、網絡系統及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
網絡安全是一個系統的概念,有效的安全策略或方案的制定,是網絡信息安全的首要目標。 網絡安全技術主要有,認證授權、數據加密、訪問控制、安全審計等。本文著重討論的入侵檢測技術是安全審計中的核心技術之一,是網絡安全防護的重要組成部分。
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。違反安全策略的行為有:入侵—非法用戶的違規行為;濫用—用戶的違規行為。
利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。入侵檢測系統的應用,能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊。在入侵攻擊過程中,能減少入侵攻擊所造成的損失。在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統的知識,添加入知識庫內,以增強系統的防范能力。
入侵檢測產品分析
1. 入侵檢測產品
經過幾年的發展,入侵檢測產品開始步入快速的成長期。一個入侵檢測產品通常由兩部分組成:傳感器(Sensor)與控制臺(Console)。傳感器負責采集數據(網絡包、系統日志等)、分析數據并生成安全事件。控制臺主要起到中央管理的作用,商品化的產品通常提供圖形界面的控制臺,這些控制臺基本上都支持Windows NT平臺。
從技術上看,這些產品基本上分為以下幾類:基于網絡的產品和基于主機的產品。混合的入侵檢測系統可以彌補一些基于網絡與基于主機的片面性缺陷。此外,文件的完整性檢查工具也可看作是一類入侵檢測產品。
2. 基于網絡的入侵檢測
基于網絡的入侵檢測產品(NIDS)放置在比較重要的網段內,不停地監視網段中的各種數據包。對每一個數據包或可疑的數據包進行特征分析。如果數據包與產品內置的某些規則吻合,入侵檢測系統就會發出警報甚至直接切斷網絡連接。目前,大部分入侵檢測產品是基于網絡的。值得一提的是,在網絡入侵檢測系統中,有多個久負盛名的開放源碼軟件,它們是Snort、NFR、Shadow等,其中Snort 的社區(http://www.snort.org)非常活躍,其入侵特征更新速度與研發的進展已超過了大部分商品化產品。
網絡入侵檢測系統的優點:
網絡入侵檢測系統能夠檢測那些來自網絡的攻擊,它能夠檢測到超過授權的非法訪問。
一個網絡入侵檢測系統不需要改變服務器等主機的配置。由于它不會在業務系統的主機中安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用,不會影響業務系統的性能。
由于網絡入侵檢測系統不像路由器、防火墻等關鍵設備方式工作,它不會成為系統中的關鍵路徑。網絡入侵檢測系統發生故障不會影響正常業務的運行。布署一個網絡入侵檢測系統的風險比主機入侵檢測系統的風險少得多。
網絡入侵檢測系統近年內有向專門的設備發展的趨勢,安裝這樣的一個網絡入侵檢測系統非常方便,只需將定制的設備接上電源,做很少一些配置,將其連到網絡上即可。
網絡入侵檢測系統的弱點:
網絡入侵檢測系統只檢查它直接連接網段的通信,不能檢測在不同網段的網絡包。在使用交換以太網的環境中就會出現監測范圍的局限。而安裝多臺網絡入侵檢測系統的傳感器會使布署整個系統的成本大大增加。
網絡入侵檢測系統為了性能目標通常采用特征檢測的方法,它可以檢測出普通的一些攻擊,而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。
網絡入侵檢測系統可能會將大量的數據傳回分析系統中。在一些系統中監聽特定的數據包會產生大量的分析數據流量。一些系統在實現時采用一定方法來減少回傳的數據量,對入侵判斷的決策由傳感器實現,而中央控制臺成為狀態顯示與通信中心,不再作為入侵行為分析器。這樣的系統中的傳感器協同工作能力較弱。
網絡入侵檢測系統處理加密的會話過程較困難,目前通過加密通道的攻擊尚不多,但隨著IPv6的普及,這個問題會越來越突出。
3. 基于主機的入侵檢測
基于主機的入侵檢測產品(HIDS)通常是安裝在被重點檢測的主機之上,主要是對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統計規律),入侵檢測系統就會采取相應措施。
主機入侵檢測系統的優點:
主機入侵檢測系統對分析“可能的攻擊行為”非常有用。舉例來說,有時候它除了指出入侵者試圖執行一些“危險的命令”之外,還能分辨出入侵者干了什么事:他們運行了什么程序、打開了哪些文件、執行了哪些系統調用。主機入侵檢測系統與網絡入侵檢測系統相比通常能夠提供更詳盡的相關信息。
主機入侵檢測系統通常情況下比網絡入侵檢測系統誤報率要低,因為檢測在主機上運行的命令序列比檢測網絡流更簡單,系統的復雜性也少得多。
主機入侵檢測系統可布署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。主機入侵檢測系統在不使用諸如“停止服務” 、“注銷用戶”等響應方法時風險較少。
主機入侵檢測系統的弱點:
主機入侵檢測系統安裝在我們需要保護的設備上。舉例來說,當一個數據庫服務器要保護時,就要在服務器本身上安裝入侵檢測系統。這會降低應用系統的效率。此外,它也會帶來一些額外的安全問題,安裝了主機入侵檢測系統后,將本不允許安全管理員有權力訪問的服務器變成他可以訪問的了。
主機入侵檢測系統的另一個問題是它依賴于服務器固有的日志與監視能力。如果服務器沒有配置日志功能,則必需重新配置,這將會給運行中的業務系統帶來不可預見的性能影響。
全面布署主機入侵檢測系統代價較大,企業中很難將所有主機用主機入侵檢測系統保護,只能選擇部分主機保護。那些未安裝主機入侵檢測系統的機器將成為保護的盲點,入侵者可利用這些機器達到攻擊目標。
主機入侵檢測系統除了監測自身的主機以外,根本不監測網絡上的情況。對入侵行為的分析的工作量將隨著主機數目增加而增加。
4. 混合入侵檢測
基于網絡的入侵檢測產品和基于主機的入侵檢測產品都有不足之處,單純使用一類產品會造成主動防御體系不全面。但是,它們的缺憾是互補的。如果這兩類產品能夠無縫結合起來部署在網絡內,則會構架成一套完整立體的主動防御體系,綜合了基于網絡和基于主機兩種結構特點的入侵檢測系統,既可發現網絡中的攻擊信息,也可從系統日志中發現異常情況。
5. 文件完整性檢查
文件完整性檢查系統檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統保存有每個文件的數字文摘數據庫,每次檢查時,它重新計算文件的數字文摘并將它與數據庫中的值相比較,如不同,則文件已被修改,若相同,文件則未發生變化。
文件的數字文摘通過Hash函數計算得到。不管文件長度如何,它的Hash函數計算結果是一個固定長度的數字。與加密算法不同,Hash算法是一個不可逆的單向函數。采用安全性高的Hash算法,如MD5、SHA時,兩個不同的文件幾乎不可能得到相同的Hash結果。從而,當文件一被修改,就可檢測出來。在文件完整性檢查中功能最全面的當屬Tripwire,其開放源代碼的版本可從www.tripwire.org中獲得。
文件完整性檢查系統的優點:
從數學上分析,攻克文件完整性檢查系統,無論是時間上還是空間上都是不可能的。文件完整性檢查系統是非常強勁的檢測文件被修改的工具。實際上,文件完整性檢查系統是一個檢測系統被非法使用的最重要的工具之一。
文件完整性檢查系統具有相當的靈活性,可以配置成為監測系統中所有文件或某些重要文件。
