談到網(wǎng)絡(luò)安全,人們第一個想到的是防火墻。但隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)日趨復(fù)雜,傳統(tǒng)防火墻所暴露出來的不足和弱點(diǎn)引出了人們對入侵檢測系統(tǒng)(IDS)技術(shù)的研究和開發(fā)。首先,傳統(tǒng)的防火墻在工作時,就像深宅大院雖有高大的院墻,卻不能擋住小老鼠甚至是家賊的偷襲一樣,因?yàn)槿肭终呖梢哉业椒阑饓Ρ澈罂赡艹ㄩ_的后門。其次,防火墻完全不能阻止來自內(nèi)部的襲擊,而通過調(diào)查發(fā)現(xiàn),50%的攻擊都將來自于內(nèi)部,對于企業(yè)內(nèi)部心懷不滿的員工來說,防火墻形同虛設(shè)。再者,由于性能的限制,防火墻通常不能提供實(shí)時的入侵檢測能力,而這一點(diǎn),對于現(xiàn)在層出不窮的攻擊技術(shù)來說是至關(guān)重要的。第四,防火墻對于病毒也束手無策。因此,以為在Internet入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實(shí)際的。
入侵檢測系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。
IDS概念解析
入侵檢測系統(tǒng)全稱為Intrusion Detective System,它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門。IDS主要執(zhí)行如下任務(wù):
1.監(jiān)視、分析用戶及系統(tǒng)活動。
2.系統(tǒng)構(gòu)造和弱點(diǎn)的審計。
3.識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警。
4.異常行為模式的統(tǒng)計分析。
5.評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。
6.操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。
一個成功的入侵檢測系統(tǒng),不僅可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更,還能給網(wǎng)絡(luò)安全策略的制訂提供依據(jù)。它應(yīng)該管理配置簡單,使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,會及時作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。IDS系統(tǒng)工作方式如圖1所示。
IDS分類
入侵檢測通過對入侵行為的過程與特征進(jìn)行研究,使安全系統(tǒng)對入侵事件和入侵過程作出實(shí)時響應(yīng)。
一般來講,入侵檢測系統(tǒng)采用如下兩項(xiàng)技術(shù):
一是異常發(fā)現(xiàn)技術(shù)。假定所有入侵行為都是與正常行為不同的。如果建立系統(tǒng)正常行為的軌跡,那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對于異常閥值與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。比如,通過流量統(tǒng)計分析將異常時間的異常網(wǎng)絡(luò)流量視為可疑。異常發(fā)現(xiàn)技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常,而且系統(tǒng)的軌跡難于計算和更新。
二是模式發(fā)現(xiàn)技術(shù)。假定所有入侵行為和手段(及其變種)都能夠表達(dá)為一種模式或特征,那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式,把真正的入侵與正常行為區(qū)分開來。模式發(fā)現(xiàn)的優(yōu)點(diǎn)是誤報少,局限是它只能發(fā)現(xiàn)已知的攻擊,對未知的攻擊無能為力。
入侵檢測系統(tǒng)按其輸入數(shù)據(jù)的來源來看,可以分為3類:
1. 基于主機(jī)的入侵檢測系統(tǒng):其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志,一般只能檢測該主機(jī)上發(fā)生的入侵。
2. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng):其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流,能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。
3. 采用上述兩種數(shù)據(jù)來源的分布式入侵檢測系統(tǒng); 能夠同時分析來自主機(jī)系統(tǒng)審計日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng),一般為分布式結(jié)構(gòu),由多個部件組成。
基于行為的檢測方法主要有:概率統(tǒng)計法與神經(jīng)網(wǎng)絡(luò)法。
目前的方法雖然能夠在某些方面有很好的效果,但從總體來看都各有不足,孤立地去評估都是不可取的。因而現(xiàn)在越來越多的入侵檢測系統(tǒng)都同時具有這幾方面的技術(shù),互相補(bǔ)充不足,共同完成檢測任務(wù)。
IDS結(jié)構(gòu)
總體來講,入侵檢測系統(tǒng)的功能有:
1.監(jiān)視用戶和系統(tǒng)的運(yùn)行狀況,查找非法用戶和合法用戶的越權(quán)操作。
2.檢測系統(tǒng)配置的正確性和安全漏洞,并提示管理員修補(bǔ)漏洞。
3.對用戶的非正常活動進(jìn)行統(tǒng)計分析,發(fā)現(xiàn)入侵行為的規(guī)律。
4.檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。如計算和比較文件系統(tǒng)的校驗(yàn)和能夠?qū)崟r對檢測到的入侵行為進(jìn)行反應(yīng)。
根據(jù)以上入侵檢測系統(tǒng)的功能,可以把它的功能結(jié)構(gòu)分為兩大部分:中心檢測平臺和代理服務(wù)器。代理服務(wù)器是負(fù)責(zé)從各個操作系統(tǒng)中采集審計數(shù)據(jù),并把審計數(shù)據(jù)轉(zhuǎn)換成與平臺無關(guān)的格式后傳送到中心檢測平臺,或者把中心平臺的審計數(shù)據(jù)需求傳送到各個操作系統(tǒng)中。而中心檢測平臺由專家系統(tǒng)、知識庫和管理員組成,其功能是根據(jù)代理服務(wù)器采集來的審計數(shù)據(jù)進(jìn)行專家系統(tǒng)分析,產(chǎn)生系統(tǒng)安全報告。管理員可以向各個主機(jī)提供安全管理功能,根據(jù)專家系統(tǒng)的分析向各個代理服務(wù)器發(fā)出審計數(shù)據(jù)的需求。另外,在中心檢測平臺和代理服務(wù)器之間通過安全的RPC進(jìn)行通信。IDS結(jié)構(gòu)如圖2所示。
IDS展望
入侵技術(shù)研究包括三個部分:
1. 密切跟蹤分析國際上入侵技術(shù)的發(fā)展,不斷獲得最新的攻擊方法。通過分析這些已知的攻擊方法,豐富預(yù)警系統(tǒng)的檢測能力。
2. 加強(qiáng)并利用預(yù)警系統(tǒng)的審計、跟蹤和現(xiàn)場記錄功能,記錄并反饋異常事件。通過實(shí)例分析提取可疑的網(wǎng)絡(luò)活動特征,擴(kuò)充系統(tǒng)的檢測范圍,使系統(tǒng)能夠應(yīng)對未知的入侵活動。
3. 利用攻擊技術(shù)的研究成果,創(chuàng)造新的入侵方法,并應(yīng)用于檢測技術(shù)。
入侵檢測作為一種積極主動的安全防護(hù)技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā),入侵檢測受到了人們的高度重視。國內(nèi)的現(xiàn)狀是入侵檢測僅僅停留在研究和實(shí)驗(yàn)樣品(缺乏升級和服務(wù))階段,或者是防火墻中集成較為初級的入侵檢測模塊階段。可見,入侵檢測產(chǎn)品仍具有較大的發(fā)展空間。從技術(shù)上講,除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識別和完整性檢測)外,應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計分析的相關(guān)技術(shù)研究。目前,許多學(xué)者在研究新的檢測方法,如采用自動代理主動防御的方法、將免疫學(xué)原理應(yīng)用到入侵檢測的方法等。
