目前,在安全市場上,最普遍的兩種入侵檢測產(chǎn)品是基于網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)和基于主機的主機入侵檢測系統(tǒng)(HIDS)。那么,NIDS與HIDS到底區(qū)別在哪里?用戶在使用時該如何選擇呢?
先來回顧一下IDS的定義:所謂入侵檢測,就是通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象,并對此做出適當(dāng)反應(yīng)的過程。而入侵檢測系統(tǒng)則是實現(xiàn)這些功能的系統(tǒng)。
這個定義是ICSA入侵檢測系統(tǒng)論壇給出的。不難看出,IDS應(yīng)該是包含了收集信息、分析信息、給出結(jié)論、做出反應(yīng)四個過程。在IDS發(fā)展初期,想要全部實現(xiàn)這些功能在技術(shù)上是很難辦到的,所以大家都從不同的出發(fā)點,開發(fā)了不同的IDS。
一般情況下,我們都按照“審計來源”將IDS分成基于網(wǎng)絡(luò)的NIDS和基于主機的HIDS,這也是目前應(yīng)用最普遍的兩種IDS,尤以NIDS應(yīng)用最為廣泛。大部分IDS都采用“信息收集系統(tǒng)-分析控制系統(tǒng)”結(jié)構(gòu),即由安裝在被監(jiān)控信息源的探頭(或代理)來收集相關(guān)的信息,然后按照一定方式傳輸給分析機,經(jīng)過對相關(guān)信息的分析,按照事先設(shè)定的規(guī)則、策略等給出反應(yīng)。
核心技術(shù)有差別
HIDS將探頭(代理)安裝在受保護(hù)系統(tǒng)中,它要求與操作系統(tǒng)內(nèi)核和服務(wù)緊密捆綁在一起,監(jiān)控各種系統(tǒng)事件,如對內(nèi)核或API的調(diào)用,以此來防御攻擊并對這些事件進(jìn)行日志;還可以監(jiān)測特定的系統(tǒng)文件和可執(zhí)行文件調(diào)用,以及Windows NT下的安全記錄和Unix環(huán)境下的系統(tǒng)記錄。對于特別設(shè)定的關(guān)鍵文件和文件夾也可以進(jìn)行適時輪詢的監(jiān)控。HIDS能對檢測的入侵行為、事件給予積極的反應(yīng),比如斷開連接、封掉用戶賬號、殺死進(jìn)程、提交警報等等。如果某用戶在系統(tǒng)中植入了一個未知的木馬病毒,可能所有的殺病毒軟件、IDS等等的病毒庫、攻擊庫中都沒有記載,但只要這個木馬程序開始工作,如提升用戶權(quán)限、非法修改系統(tǒng)文件、調(diào)用被監(jiān)控文件和文件夾等,就會立即被HIDS的發(fā)現(xiàn),并采取殺死進(jìn)程、封掉賬號,甚至斷開網(wǎng)絡(luò)連接。現(xiàn)在的某些HIDS甚至吸取了部分網(wǎng)管、訪問控制等方面的技術(shù),能夠很好地與系統(tǒng),甚至系統(tǒng)上的應(yīng)用緊密結(jié)合。
HIDS技術(shù)要求非常高,要求開發(fā)HIDS的企業(yè)對相關(guān)的操作系統(tǒng)非常了解,而且安裝在主機上的探頭(代理)必須非常可靠,系統(tǒng)占用小,自身安全性要好,否則將會對系統(tǒng)產(chǎn)生負(fù)面影響。HIDS關(guān)注的是到達(dá)主機的各種安全威脅,并不關(guān)注網(wǎng)絡(luò)的安全。
因為HIDS與操作系統(tǒng)緊密相聯(lián),美國等發(fā)達(dá)國家對于HIDS技術(shù)都是嚴(yán)格控制的,而獨自進(jìn)行有關(guān)HIDS系統(tǒng)的研發(fā),成本非常高,所以國內(nèi)專業(yè)從事HIDS的企業(yè)非常少。國內(nèi)市場上能見到的HIDS產(chǎn)品只有:理工先河的“金海豚”、CA的eTrust(包含類似于HIDS的功能模塊)、東方龍馬HIDS(純軟件的)、曙光GodEye等屈指可數(shù)的幾個產(chǎn)品,而且能支持的操作系統(tǒng)也基本上都是Solaris、Linux、Wondows 2000非常少的幾個。
NIDS則是以網(wǎng)絡(luò)包作為分析數(shù)據(jù)源。它通常利用一個工作在混雜模式下的網(wǎng)卡來實時監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流,其分析模塊通常使用模式匹配、統(tǒng)計分析等技術(shù)來識別攻擊行為。一旦檢測到了攻擊行為,IDS的響應(yīng)模塊就作出適當(dāng)?shù)捻憫?yīng),比如報警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。與SCANER收集網(wǎng)絡(luò)中的漏洞不同,NIDS收集的是網(wǎng)絡(luò)中的動態(tài)流量信息。因此,攻擊特征庫數(shù)目多少以及數(shù)據(jù)處理能力,就決定了NIDS識別入侵行為的能力。大部分NIDS的處理能力還是100兆級的,部分NIDS已經(jīng)達(dá)到1000兆級。NIDS設(shè)在防火墻后一個流動崗哨,能夠適時發(fā)覺在網(wǎng)絡(luò)中的攻擊行為,并采取相應(yīng)的響應(yīng)措施。
目前市場上最常見的入侵檢測系統(tǒng),絕大多數(shù)大都是NIDS,比如東軟NetEye、聯(lián)想網(wǎng)御、上海金諾KIDS、啟明星辰天闐、NAI McAfee IntruShied、安氏LinkTrust等等。
HIDS與NIDS雖然基本原理一樣,但實現(xiàn)入侵檢測的方法、過程和起到的作用都是不相同的,他們區(qū)別主要如上表所示。
性能和效能標(biāo)準(zhǔn)不同
在衡量IDS性能和效能的有關(guān)標(biāo)準(zhǔn)方面,HIDS和NIDS也有很大的不同。
HIDS由于采取的是對事件和系統(tǒng)調(diào)用的監(jiān)控,衡量它的技術(shù)指標(biāo)非常少,一般用戶需要考慮的是,該HIDS能夠同時支持的操作系統(tǒng)數(shù)、能夠同時監(jiān)控的主機數(shù)、探頭(代理)對主機系統(tǒng)的資源占用率、可以分析的協(xié)議數(shù),另外更需要關(guān)注的是分析能力、數(shù)據(jù)傳輸方式、主機事件類的數(shù)目、響應(yīng)的方式和速度、自身的抗攻擊性、日志能力等等,一般我們采購HIDS需要看的是研發(fā)企業(yè)的背景、該產(chǎn)品的應(yīng)用情況和實際的攻擊測試。
而NIDS就相對比較簡單。NIDS采取的基本上都是模式匹配的形式,所以衡量NIDS的技術(shù)指標(biāo)可以數(shù)量化。對于NIDS,我們要考察的是:支持的網(wǎng)絡(luò)類型、IP碎片重組能力、可以分析的協(xié)議數(shù)、攻擊特征庫的數(shù)目、特征庫的更新頻率、日志能力、數(shù)據(jù)處理能力、自身抗攻擊性等等。尤其要關(guān)注的是數(shù)據(jù)處理能力,一般的企業(yè)100兆級的足以應(yīng)付;還有攻擊特征庫和更新頻率,國內(nèi)市場常見的NIDS的攻擊特征數(shù)大概都在1200個以上,更新也基本上都是每月,甚至每周更新。采購NIDS需要注意的是漏報和誤報,這是NIDS應(yīng)用的大敵,也會因各開發(fā)企業(yè)的技術(shù)不同有所不同,所以,在采購時最好要做實際的洪水攻擊測試。
HIDS和NIDS這兩個系統(tǒng)在很大程度上是互補的,許多機構(gòu)的網(wǎng)絡(luò)安全解決方案都同時采用了基于主機和基于網(wǎng)絡(luò)的兩種入侵檢測系統(tǒng)。實際上,許多用戶在使用IDS時都配置了基于網(wǎng)絡(luò)的入侵檢測,但不能保證檢測并能防止所有的攻擊,特別是一些加密包的攻擊,而網(wǎng)絡(luò)中的DNS、Email和Web服務(wù)器經(jīng)常是攻擊的目標(biāo),但是,它們又必須與外部網(wǎng)絡(luò)交互,不可能對其進(jìn)行全部屏蔽,所以,應(yīng)當(dāng)在各個服務(wù)器上安裝基于主機的入侵檢測系統(tǒng)。因此,即便是小規(guī)模的網(wǎng)絡(luò)結(jié)構(gòu),也常常需要基于主機和基于網(wǎng)絡(luò)的兩種入侵檢測能力。
應(yīng)用領(lǐng)域分化明顯
在應(yīng)用領(lǐng)域上,HIDS和NIDS有明顯的分化。NIDS的應(yīng)用行業(yè)比較廣,現(xiàn)在的電信、銀行、金融、電子政務(wù)等領(lǐng)域應(yīng)用得最好。由于我國的主要電信骨干網(wǎng)都部署了NIDS,所以2002年的大規(guī)模DoS攻擊時,我們的骨干網(wǎng)并沒有遭到破壞,而且以此為契機,NIDS迅速地推廣到各個應(yīng)用領(lǐng)域,甚至可以說,“2004年NIDS的應(yīng)用是沿著防火墻走的”。
但在NIDS的應(yīng)用過程中,最大的敵人就是誤警和漏警。漏警不影響應(yīng)用環(huán)境的可用性,只是用戶的投資失誤;而誤警則有可能導(dǎo)致警報異常、網(wǎng)絡(luò)紊亂,甚至應(yīng)用的癱瘓。誤警很多時候是設(shè)置不當(dāng)造成的,許多用戶簡單把這些都?xì)w結(jié)為檢測錯誤率(False Positives),這是不正確的。由于技術(shù)的發(fā)展,NIDS的檢測錯誤率實際上已經(jīng)很低了,我們要努力做的是與用戶一起,深入理解應(yīng)用,科學(xué)的配置,這才能有效減少誤警率。所有說,應(yīng)用不僅是NIDS廠商的事情,真正的主角應(yīng)該是用戶。
HIDS的應(yīng)用,遠(yuǎn)比NIDS要復(fù)雜的多。由于HIDS不像NIDS有許多可以數(shù)據(jù)化的技術(shù)指標(biāo),而且又要在被監(jiān)控的主機上安裝探頭(代理),使得應(yīng)用對它都有一定的擔(dān)憂。所以對于系統(tǒng)穩(wěn)定性比較高的一些行業(yè)像銀行、電信等對其應(yīng)用,都非常謹(jǐn)慎。而對于國防、軍工、機要保密等領(lǐng)域,對系統(tǒng)的安全、特別是信息安全要求比較高,而對系統(tǒng)的穩(wěn)定性不是太敏感,而且更關(guān)注來自內(nèi)部的攻擊(一般這些領(lǐng)域的信息系統(tǒng)是不與公網(wǎng)相連的),所以對HIDS的應(yīng)用比較容易接受,反而NIDS不是很看重。實際上,目前中國的HIDS市場也主要在這些領(lǐng)域。
由于技術(shù)進(jìn)步和信息安全威脅的增加,從2003年下半年開始,HIDS在其他領(lǐng)域的應(yīng)用也慢慢多起來了。大型商業(yè)企業(yè)、數(shù)據(jù)中心企業(yè)以及電子政務(wù)系統(tǒng)也都將HIDS納入了基本的安全架構(gòu)當(dāng)中。
