入侵檢測系統(Intrusion Detect System),目前基本上分為以下兩種:主機入侵檢測系統(HIDS);網絡入侵檢測系統(NIDS)。主機入侵檢測系統分析對象為主機審計日志,所以需 要在主機上安裝軟件,針對不同的系統、不同的版本需安裝不同的主機引擎,安裝配置較為復雜,同時對系統的運行和穩定性造成影響,目前在國內應用較少。網絡入侵監測分析對象為網絡數據流,只需安裝在網絡的監聽端口上,對網絡的運行無任何影響,目前國內使用較為廣泛。
一、IDS存在的問題
1、誤/漏報率高
IDS常用的檢測方法有特征檢測、異常檢測、狀態檢測、協議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統計方法來進行檢測,而統計方法中的閾值難以有效確定,太小的值會產生大量的誤報,太大的值又會產生大量的漏報。而在協議分析的檢測方式中,一般的IDS只簡單地處理了常用的如HTTP、FTP、SMTP等,其余大量的協議報文完全可能造成IDS漏報,如果考慮支持盡量多的協議類型分析,網絡的成本將無法承受。
2、沒有主動防御能力
IDS技術采用了一種預設置式、特征分析式工作原理,所以檢測規則的更新總是落后于攻擊手段的更新。
3、缺乏準確定位和處理機制
IDS僅能識別IP地址,無法定位IP地址,不能識別數據來源。IDS系統在發現攻擊事件的時候,只能關閉網絡出口和服務器等少數端口,但這樣關閉同時會影響其他正常用戶的使用。因而其缺乏更有效的響應處理機制。
4、性能普遍不足
現在市場上的IDS產品大多采用的是特征檢測技術,這種IDS產品已不能適應交換技術和高帶寬環境的發展,在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包,形成DoS攻擊。
二、入侵檢測技術的發展趨勢
(1).分析技術的改進
入侵檢測誤報和漏報的解決最終依靠分析技術的改進。目前入侵檢測分析方法主要有:統計分析、模式匹配、數據重組、協議分析、行為分析等。
統計分析是統計網絡中相關事件發生的次數,達到判別攻擊的目的。模式匹配利用對攻擊的特征字符進行匹配完成對攻擊的檢測。數據重組是對網絡連接的數據流進行重組再加以分析,而不僅僅分析單個數據包。
協議分析技術是在對網絡數據流進行重組的基礎上,理解應用協議,再利用模式匹配和統計分析的技術來判明攻擊。例如:某個基于HTTP協議的攻擊含有ABC特征,如果此數據分散在若干個數據包中,如:一個數據包含A,另外一個包含B,另外一個包含C,則單純的模式匹配就無法檢測,只有基于數據流重組才能完整檢測。而利用協議分析。則只在符合的協議(HTTP)檢測到此事件才會報警。假設此特征出現在Mail里,因為不符合協議,就不會報警。利用此技術,有效的降低了誤報和漏報。
行為分析技術不僅簡單分析單次攻擊事件,還根據前后發生的事件確認是否確有攻擊發生,攻擊行為是否生效,是入侵檢測分析技術的最高境界。但目前由于算法處理和規則制定的難度很大,目前還不是非常成熟,但卻是入侵檢測技術發展的趨勢。目前最好綜合使用多種檢測技術,而不只是依靠傳統的統計分析和模式匹配技術。另外,規則庫是否及時更新也和檢測的準確程度相關。
2).內容恢復和網絡審計功能的引入
前面已經提到,入侵檢測的最高境界是行為分析。但行為分析前還不是很成熟,因此,個別優秀的入侵檢測產品引入了內容恢復和網絡審計功能。
內容恢復即在協議分析的基礎上,對網絡中發生的應為加以完整的重組和記錄,網絡中發生的任何行為都逃不過它的監視。網絡審計即對網絡中所有的連接事件進行記錄。入侵檢測的接入方式決定入侵檢測系統中的網絡審計不僅類似防火墻可以記錄網絡進出信息,還可以記錄網絡內部連接狀況,此功能對內容恢復無法恢復的加密連接尤其有用。
內容恢復和網絡審計讓管理員看到網絡的真正運行狀況,其實就是調動管理員參與行為分析過程。此功能不僅能使管理員看到孤立的攻擊事件的報警,還可以看到整個攻擊過程,了解攻擊確實發生與否,查看攻擊著的操作過程,了解攻擊造成的危害。不但發現已知攻擊,同時發現未知攻擊。不當發現外部攻擊者的攻擊,也發現內部用戶的惡意行為。畢竟管理員是最了解其網絡的,管理員通過此功能的使用,很好的達成了行為分析的目的。但使用此功能的同時需注意對用戶隱私的保護。
(3).集成網絡分析和管理功能
入侵檢測不但對網絡攻擊是一個檢測。同時,侵檢測可以收到網絡中的所有數據,對網絡的故障分析和健康管理也可起到重大作用。當管理員發現某臺主機有問題時,也希望能馬上對其進行管理。入侵檢測也不應只采用被動分析方法,最好能和主動分析結合。所以,入侵檢測產品集成網管功能,掃描器(Scanner),嗅探器(Sniffer)等功能是以后發展的方向。
(4).安全性和易用性的提高
入侵檢測是個安全產品,自身安全極為重要。因此,目前的入侵檢測產品大多采用硬件結構,黑洞式接入,免除自身安全問題。同時,對易用性的要求也日益增強,例如:全中文的圖形界面,自動的數據庫維護,多樣的報表輸出。這些都是優秀入侵產品的特性和以后繼續發展細化的趨勢。
(5).改進對大數據量網絡的處理方法
隨著對大數據量處理的要求,入侵檢測的性能要求也逐步提高,出現了千兆入侵檢測等產品。但如果入侵檢測檢測產品不僅具備攻擊分析,同時具備內容恢復和網絡審計功能,則其存儲系統也很難完全工作在千兆環境下。這種情況下,網絡數據分流也是一個很好的解決方案,性價比也較好。這也是國際上較通用的一種作法。
(6).防火墻聯動功能
入侵檢測發現攻擊,自動發送給放火墻,防火墻加載動態規則攔截入侵,稱為防火墻聯動功能。目前此功能還沒有到完全實用的階段,主要是一種概念。隨便使用會導致很多問題。目前主要的應用對象是自動傳播的攻擊,如Nimda等,聯動只在這種場合有一定的作用。無限制的使用聯動。如未經充分測試,對防火期的穩定性和網絡應用會造成負面影響。但隨著入侵檢測產品檢測準確度的提高,聯動功能日益趨向實用化。
