标题:入侵检测系统亟待发展
时间:2004-06-13
来源:计算机产品与流通
入侵检测系统(Intrusion Detect System)目前基本上分为以下两种:主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。网络入侵检测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。本文分析的为目前使用广泛的网络入侵检测系统。
入侵检测产品和防火墙一起才能构成完整的网络安全解决方案。首先,防火墙虽然可以对应用层面的数据进行分析,但是其分析的数据只是局限在进出网络的数据,而对于网络内部则无能为力。其次,防火墙一般处在网关的位置,其主要功能的限制导致它不可能对进出的攻击作太多判断,否则会严重影响网络性能。
入侵检测则弥补了防火墙的不足:通过旁路监听的方式不间断地收取网络数据,对网络的运行和性能无任何影响;同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。
入侵检测系统六大矛盾
但不可否认,目前大多数入侵检测系统或多或少地存在着问题,影响着它们更广泛地推广。这些问题总结起来有6点。
第一,误报和漏报的矛盾。入侵检测系统对网络上所有的数据进行分析,如果攻击者对系统进行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么这一次攻击是否需要报警,这就是一个需要管理员判断的问题。因为这也代表了一种攻击的企图。但大量的报警事件会分散管理员的精力,反而无法对真正的攻击作出反映。和误报相对应的是漏报,随着攻击的方法不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
第二,隐私和安全的矛盾。入侵检测系统可以收到网络的所有数据,同时可以对其进行分析和记录,这对网络安极其重要,但难免对用户的隐私构成一定风险,这就要看具体的入侵检测产品是否能提供相应的功能以供管理员进行取舍。
第三,被动分析与主动发现的矛盾。入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问题。
第四,海量信息与分析代价的矛盾。随着网络数据流量的不断增长,入侵检测产品能否高效处理网络中的数据也是衡量入侵检测产品的重要依据。
第五,功能性和可管理性的矛盾。随着入侵检测产品功能的增加,可否在功能增加的同时,不增大管理的难度?例如,入侵检测系统的所有信息都储存在数据库中,此数据库能否自动维护和备份而不需管理员的干预?另外,入侵检测系统自身安全性如何?是否易于部署?采用何种报警方式?也都是需要考虑的因素。
第六,单一的产品与复杂的网络应用的矛盾。入侵检测产品最初的目的是为了检测网络的攻击,但仅仅检测网络中的攻击远远无法满足目前复杂的网应用需求。通常,管理员难以分清网络问题:是由于攻击引起的还是网络故障。入侵检测检测出的攻击事件又如何处理,可否和目前网络中的其他安全产品进行配合。
入侵检测技术六大发展趋势
针对上文提及到的入侵检测系统的六大矛盾,业内相关人士同样拿出了相关的应对方法。
第一,分析技术的改进。入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。
统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明攻击。例如:某个基于HTTP协议的攻击含有ABC特征,如果此数据分散在若干个数据包中,如:一个数据包含A,另外一个包含B,另外一个包含C,则单纯的模式匹配就无法检测,只有基于数据流重组才能完整检测。而利用协议分析,则只在符合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里,因为不符合协议,就不会报警。利用此技术,有效地降低了误报和漏报。
行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生、攻击行为是否生效、是入侵检测分析技术的最高境界。但目前由于算法处理和规则制定的难度很大,还不是非常成熟,但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术,而不只是依靠传统的统计分析和模式匹配技术。另外,规则库是否及时更新也和检测的准确程度相关。
第二,内容恢复和网络审计功能的引入。内容恢复即在协议分析的基础上,对网络中发生的行为加以完整地重组和记录。网络审计即对网络中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用。
内容恢复和网络审计让管理员看到网络的真正运行状况,但使用此功能的同时需注意对用户隐私的保护。
第三,集成网络分析和管理功能。入侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的方向。
第四,安全性和易用性的提高。入侵检测是个安全产品,自身安全极为重要。因此,目前的入侵检测产品大多采用硬件结构、黑洞式接入,免除自身安全问题。同时,对易用性的要求也日益增强,例如:全中文的图形界面、自动的数据库维护、多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。
第五,改进对大数据量网络的处理方法。随着对大数据量处理的要求,入侵检测的性能要求也逐步提高,出现了千兆入侵检测等产品。但如果入侵检测产品不仅具备攻击分析,同时具备内容恢复和网络审计功能,则其存储系统也很难完全工作在千兆环境下。这种情况下,网络数据分流也是一个很好的解决方案,性价比也较好。这也是国际上较通用的一种作法。
第六,防火墙联动功能。入侵检测发现攻击,自动发送给防火墙,防火墙加载动态规则拦截入侵,称为防火墙联动功能。目前主要的应用对象是自动传播的攻击,如Nimda等,联动只在这种场合有一定的作用。无限制的使用联动,如未经充分测试,对防火期的稳定性和网络应用会造成负面影响。但随着入侵检测产品检测准确度的提高,联动功能日益趋向实用化。