談到網(wǎng)絡(luò)安全,人們第一個(gè)想到的是防火墻。但隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)日趨復(fù)雜,傳統(tǒng)防火墻所暴露出來(lái)的不足和弱點(diǎn)引出了人們對(duì)入侵檢測(cè)系統(tǒng)(IDS)技術(shù)的研究和開(kāi)發(fā)。首先,傳統(tǒng)的防火墻在工作時(shí),就像深宅大院雖有高大的院墻,卻不能擋住小老鼠甚至是家賊的偷襲一樣,因?yàn)槿肭终呖梢哉业椒阑饓Ρ澈罂赡艹ㄩ_(kāi)的后門(mén)。其次,防火墻完全不能阻止來(lái)自?xún)?nèi)部的襲擊,而通過(guò)調(diào)查發(fā)現(xiàn),50%的攻擊都將來(lái)自于內(nèi)部,對(duì)于企業(yè)內(nèi)部心懷不滿(mǎn)的員工來(lái)說(shuō),防火墻形同虛設(shè)。再者,由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力,而這一點(diǎn),對(duì)于現(xiàn)在層出不窮的攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的。第四,防火墻對(duì)于病毒也束手無(wú)策。因此,以為在Internet入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實(shí)際的。
入侵檢測(cè)系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等。
IDS概念解析
入侵檢測(cè)系統(tǒng)全稱(chēng)為Intrusion Detective System,它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)。IDS主要執(zhí)行如下任務(wù):
1.監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng)。
2.系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。
3.識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。
4.異常行為模式的統(tǒng)計(jì)分析。
5.評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。
6.操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶(hù)違反安全策略的行為。
一個(gè)成功的入侵檢測(cè)系統(tǒng),不僅可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更,還能給網(wǎng)絡(luò)安全策略的制訂提供依據(jù)。它應(yīng)該管理配置簡(jiǎn)單,使非專(zhuān)業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后,會(huì)及時(shí)作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。IDS系統(tǒng)工作方式如圖1所示。
IDS分類(lèi)
入侵檢測(cè)通過(guò)對(duì)入侵行為的過(guò)程與特征進(jìn)行研究,使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程作出實(shí)時(shí)響應(yīng)。
一般來(lái)講,入侵檢測(cè)系統(tǒng)采用如下兩項(xiàng)技術(shù):
一是異常發(fā)現(xiàn)技術(shù)。假定所有入侵行為都是與正常行為不同的。如果建立系統(tǒng)正常行為的軌跡,那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對(duì)于異常閥值與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。比如,通過(guò)流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常發(fā)現(xiàn)技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常,而且系統(tǒng)的軌跡難于計(jì)算和更新。
二是模式發(fā)現(xiàn)技術(shù)。假定所有入侵行為和手段(及其變種)都能夠表達(dá)為一種模式或特征,那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式,把真正的入侵與正常行為區(qū)分開(kāi)來(lái)。模式發(fā)現(xiàn)的優(yōu)點(diǎn)是誤報(bào)少,局限是它只能發(fā)現(xiàn)已知的攻擊,對(duì)未知的攻擊無(wú)能為力。
入侵檢測(cè)系統(tǒng)按其輸入數(shù)據(jù)的來(lái)源來(lái)看,可以分為3類(lèi):
1. 基于主機(jī)的入侵檢測(cè)系統(tǒng):其輸入數(shù)據(jù)來(lái)源于系統(tǒng)的審計(jì)日志,一般只能檢測(cè)該主機(jī)上發(fā)生的入侵。
2. 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng):其輸入數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)的信息流,能夠檢測(cè)該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。
3. 采用上述兩種數(shù)據(jù)來(lái)源的分布式入侵檢測(cè)系統(tǒng); 能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng),一般為分布式結(jié)構(gòu),由多個(gè)部件組成。
基于行為的檢測(cè)方法主要有:概率統(tǒng)計(jì)法與神經(jīng)網(wǎng)絡(luò)法。
目前的方法雖然能夠在某些方面有很好的效果,但從總體來(lái)看都各有不足,孤立地去評(píng)估都是不可取的。因而現(xiàn)在越來(lái)越多的入侵檢測(cè)系統(tǒng)都同時(shí)具有這幾方面的技術(shù),互相補(bǔ)充不足,共同完成檢測(cè)任務(wù)。
IDS結(jié)構(gòu)
總體來(lái)講,入侵檢測(cè)系統(tǒng)的功能有:
1.監(jiān)視用戶(hù)和系統(tǒng)的運(yùn)行狀況,查找非法用戶(hù)和合法用戶(hù)的越權(quán)操作。
2.檢測(cè)系統(tǒng)配置的正確性和安全漏洞,并提示管理員修補(bǔ)漏洞。
3.對(duì)用戶(hù)的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析,發(fā)現(xiàn)入侵行為的規(guī)律。
4.檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。如計(jì)算和比較文件系統(tǒng)的校驗(yàn)和能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)。
根據(jù)以上入侵檢測(cè)系統(tǒng)的功能,可以把它的功能結(jié)構(gòu)分為兩大部分:中心檢測(cè)平臺(tái)和代理服務(wù)器。代理服務(wù)器是負(fù)責(zé)從各個(gè)操作系統(tǒng)中采集審計(jì)數(shù)據(jù),并把審計(jì)數(shù)據(jù)轉(zhuǎn)換成與平臺(tái)無(wú)關(guān)的格式后傳送到中心檢測(cè)平臺(tái),或者把中心平臺(tái)的審計(jì)數(shù)據(jù)需求傳送到各個(gè)操作系統(tǒng)中。而中心檢測(cè)平臺(tái)由專(zhuān)家系統(tǒng)、知識(shí)庫(kù)和管理員組成,其功能是根據(jù)代理服務(wù)器采集來(lái)的審計(jì)數(shù)據(jù)進(jìn)行專(zhuān)家系統(tǒng)分析,產(chǎn)生系統(tǒng)安全報(bào)告。管理員可以向各個(gè)主機(jī)提供安全管理功能,根據(jù)專(zhuān)家系統(tǒng)的分析向各個(gè)代理服務(wù)器發(fā)出審計(jì)數(shù)據(jù)的需求。另外,在中心檢測(cè)平臺(tái)和代理服務(wù)器之間通過(guò)安全的RPC進(jìn)行通信。IDS結(jié)構(gòu)如圖2所示。
IDS展望
入侵技術(shù)研究包括三個(gè)部分:
1. 密切跟蹤分析國(guó)際上入侵技術(shù)的發(fā)展,不斷獲得最新的攻擊方法。通過(guò)分析這些已知的攻擊方法,豐富預(yù)警系統(tǒng)的檢測(cè)能力。
2. 加強(qiáng)并利用預(yù)警系統(tǒng)的審計(jì)、跟蹤和現(xiàn)場(chǎng)記錄功能,記錄并反饋異常事件。通過(guò)實(shí)例分析提取可疑的網(wǎng)絡(luò)活動(dòng)特征,擴(kuò)充系統(tǒng)的檢測(cè)范圍,使系統(tǒng)能夠應(yīng)對(duì)未知的入侵活動(dòng)。
3. 利用攻擊技術(shù)的研究成果,創(chuàng)造新的入侵方法,并應(yīng)用于檢測(cè)技術(shù)。
入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā),入侵檢測(cè)受到了人們的高度重視。國(guó)內(nèi)的現(xiàn)狀是入侵檢測(cè)僅僅停留在研究和實(shí)驗(yàn)樣品(缺乏升級(jí)和服務(wù))階段,或者是防火墻中集成較為初級(jí)的入侵檢測(cè)模塊階段。可見(jiàn),入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間。從技術(shù)上講,除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識(shí)別和完整性檢測(cè))外,應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。目前,許多學(xué)者在研究新的檢測(cè)方法,如采用自動(dòng)代理主動(dòng)防御的方法、將免疫學(xué)原理應(yīng)用到入侵檢測(cè)的方法等。
