入侵檢測系統(簡稱IDS)。計算機網絡的安全是一個國際化的問題,每年全球因計算機網絡的安全系統被破壞而造成的經濟損失達數百億美元。進入新世紀之后, 政府、銀行、各大企業等機構都有自己的內網資源。從這些組織的網絡辦公環境可以看出,行政結構是金字塔型,但是局域網的網絡管理卻是平面型的,從網絡安全的角度看,當公司的內部系統被入侵、破壞與泄密是一個嚴重的問題,以及由此引出的更多有關網絡安全的問題都應該引起我們的重視。據統計,全球80%以上的入侵來自于內部。此外,不太自律的員工對網絡資源無節制的濫用對企業可能造成巨大的損失。當商戶、銀行與其他商業與金融機構在電子商務熱潮中紛紛進入Internet,以政府上網為標志的數字政府使國家機關與Internet互聯。通過Internet 實現包括個人、企業與政府的全社會信息共享已逐步成為現實。隨著網絡應用范圍的不斷擴大,對網絡的各類攻擊與破壞也與日俱增。無論政府、商務,還是金融、媒體的網站都在不同程度上受到入侵與破壞。網絡安全已成為國家與國防安全的重要組成部分,同時也是國家網絡經濟發展的關鍵。
對入侵攻擊的檢測與防范、保障計算機系統、網絡系統及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
網絡安全是一個系統的概念,有效的安全策略或方案的制定,是網絡信息安全的首要目標。網絡安全技術主要有,認證授權、數據加密、訪問控制、安全審計等。入侵檢測技術是安全審計中的核心技術之一,是網絡安全防護的最后一道防線。
2. 天一入侵檢測系統簡介
格方天一網絡入侵檢測系統(IDS),是北京格方天一網絡安全技術有限公司針對目前網絡系統嚴重的安全隱患而開發的安全產品。該產品是一款技術先進、性能優越、功能強大的防黑客入侵并實時報警響應和自動防范危害行為的入侵檢測系統,它從計算機網絡系統中的關鍵點收集信息,并分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到攻擊的跡象。在內部局域網的主機和服務器遭受破壞之前阻止入侵行為,保證企業網絡的安全運行。系統采用引擎/控制臺結構,網絡引擎部署于網絡中的各個關鍵點,通過網絡和中央控制臺交換信息。入侵檢測引擎為專用硬件設備,可以安裝在標準的機架上,一個檢測引擎可以保護一個網段。管理控制臺是對檢測引擎進行配置、管理和數據查詢的軟件程序,它可以安裝在內網的管理員主機(Windows 2000/NT操作系統)上。
格方天一入侵檢測系統處于防火墻之后對網絡活動進行實時檢測。許多情況下,由于可以記錄和禁止網絡活動,所以格方天一入侵監測系統可以說是防火墻的延續。它們可以和防火墻和路由器配合工作。例如,格方天一入侵檢測系統可以重新配置來禁止從防火墻外部進入的惡意流量。格方天一入侵檢測系統作為一種主動保護自己免受攻擊的一種網絡安全技術產品是作為防火墻的合理補充,能夠幫助系統對付網絡的攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應),提高了信息安全基礎結構的完整性,被認為是防火墻之后的第二道安全閘門。
天一入侵檢測系統功能是針對入侵行為、違規活動等網絡行為進行檢測、預警與響應工作,它能夠有效地防止攻擊事件的發生。它不僅能夠防止來自外部的攻擊行為,而且能夠防止防止內部發起的入侵行為,同時它是實時的,是信息與網絡系統安全實施的主要領域。任何具有一定規模的網絡系統均對此系統有較大的需求。
3. 天一入侵監測系統的組成
天一入侵檢測系統由兩部分組成,控制中心和探測引擎.
3.1. 控制中心
控制中心是整個網絡預警系統的集中顯示和控制軟件系統.它負責接收分布在TCP/IP網絡上的探測引擎傳送的網絡預警信息,處理這些信息,并提供報警顯示(根據控制中心制定的策略),同時它還要負責控制探測器系統的運行狀態,提供對預警信息的記錄和檢索、統計功能。
3.2. 探測引擎
探測引擎實際是天一入侵檢測系統運行的核心,它監聽該引擎所在的物理網絡上的所有通信信息,分析這些網絡通信信息,將分析結果與探測引擎上運行的策略集相匹配,依照匹配結果對網絡信息的交換執行報警、阻斷、日志等功能。同時它還需要完成對控制中心指令的接收和響應工作。探測引擎是由策略驅動的網絡監聽和分析系統。
Libpcap
虛擬機
過濾器
記錄器
告警器
數 據 庫
磁盤管理器
CGI程序
WEB服務器
配置管理進程
引擎
實時告警數據
智能分析模塊
攻擊特征庫
4.天一入侵監測系統檢測功能
天一入侵檢測系統可以同時對敏感網段實現監測,并實現集中管理,符合企業用戶的需求。天一入侵檢測系統是網絡攻擊和違規行為識別與響應系統。它運行于有敏感數據需要保護的網絡上,通過實時監視網絡上的數據流,分析網絡通訊會話軌跡,尋找網絡攻擊模式和其它違規網絡活動。當檢測到網絡攻擊和違規網絡活動時, 天一入侵檢測系統能夠按用戶安全策略自動進行攻擊響應。
4.1.天一入侵監測系統的主要功能
▼ 實時網絡數據流跟蹤:
天一入侵檢測系統運行于有敏感數據需要保護的網絡上。系統監視網絡上的數據流,分析網絡通訊會話軌跡。
▼ 實時系統審計信息分析跟蹤:
天一入侵檢測系統運行于重要的網絡服務器上。實時監視系統活動,對敏感事件和用戶關注的事件實時報警。
▼ 網絡攻擊模式識別:
天一入侵檢測系統內置已知網絡攻擊模式數據庫,能夠根據網絡數據流和網絡通訊會話軌跡,尋找網絡攻擊模式。
▼ 網絡安全違規活動捕獲:
網絡安全策略對網絡活動進行檢查,用戶可以根據要檢查的實際系統制定相應的策略, 捕獲網絡安全違規活動。
▼ 網絡安全事件報警:
天一入侵檢測系統夠根據所發生的網絡安全事件,以不同的事件等級產生控制臺報警。
▼ 網絡安全事件的自動響應:
天一入侵檢測系統能夠根據系統策略自動響應網絡安全事件,包括記錄網絡事件發生的日期和時間,事件的源與目的IP地址,也可以和其它網絡安全設備(如:防火墻)制定互動規則,實時阻斷非法事件的連接等。
▼ 記錄網絡攻擊的內容:
記錄網絡攻擊的內容,以多種文檔格式顯示,并提示系統安全管理員應該采取什么樣的安全措施。
▼ 提供智能化網絡安全審計方案:
天一入侵檢測系統能夠對大量的網絡數據進行分析處理和過濾,生成按用戶策略篩選的網絡日志,大大減少了需要人工處理的日志數據,使系統更有效。
4.2.天一入侵檢測系統防范的典型的攻擊方式
▼ 探測攻擊:
尋找攻擊目標并收集相關信息及漏洞,如Ping Sweeps, TCP/UDP scan, SATAN, IPHalfScan, Port Scan等;
▼ 拒絕服務攻擊:
搶占目標系統資源阻止合法用戶使用系統或使系統崩潰,如Ping of Death ,SYN Flood, TearDrop, UDPBomb, Land, Trinoo, TFN2K, Stacheldraht等。
▼ 緩沖區溢出攻擊:
利用系統應用程序中存在的錯誤,執行特定的代碼以獲取系統的超級權限,如DNS overflow, statd overflow等。
▼ WEB攻擊:
利用CGI、WEB服務器和瀏覽器中存在的安全漏洞,損害系統安全或導致系統崩潰。例如URL, HTTP, HTML, JavaScript, Frames, Java, and ActiveX等攻擊。
▼ 非授權訪問:
越權訪問文件、執行無權操作,如Admind, EvilFTP Backdoor, Finger_perl, FTP_Root, FTP_PrivilegedBounce, BackOrifice等。
▼ 網絡服務缺陷攻擊:
利用NFS,NIS,FTP等服務存在的漏洞,進行攻擊和非法訪問,如NfsGuess, NfsMknod, MmapMnt等。
▼ 利用型攻擊:
利用多種協議、多種手段依次進行的探測、攻擊行為,如口令掃描、木馬程序等等。
5. 天一入侵檢測系統的管理功能
天一入侵檢測系統網絡入侵偵測系統其主要的管理功能描述如下:
5.1. 警報信息查詢功能
警報查詢功能為用戶提供了對警報信息的簡單、實用的查詢和處理能力。用戶可以根據各種可選條件,例如網絡引擎的IP地址、源IP地址、目的IP地址、源端口號、目的端口號、警報產生的時間、危險級別等等,使用單一條件或者復合條件進行查詢,當警報信息數量大、信息來源廣泛的時候,網絡管理員可以很輕松的對警報信息進行分類,從而突出顯示網絡管理員需要的信息。同時,警報查詢功能還提供了對于警報信息的處理能力,可以使網絡管理員在經過有條件查詢后對查詢結果進行處理,包括保存為本地文件、生成格式報表和刪除。
5.2.引擎管理功能
引擎管理功能使用戶可以一次性管理多個網絡引擎,查詢各個網段的安全狀況,針對不同的情況及時的修改安全策略。
網絡管理員對引擎的管理包括:啟動網絡引擎、停止網絡引擎、查看引擎的運行狀態、本地警報信息的同步、網絡引擎的運行環境的配置、應用于網絡引擎的安全策略的定制、本地網絡日志的離線分析等等。
5.3.規則管理功能
規則管理功能為用戶提供了一個根據不同網段的危險程度靈活的配置安全策略的工具。網絡管理員可以利用規則管理功能,輕松的針對特定的網絡引擎定制策略,以滿足不同的網段對網絡安全的要求。一次定制可以應用于多個網絡引擎。同時,規則管理功能還向用戶提供了入侵偵測規則的擴充能力,網絡管理員可以根據自己需要,定制入侵偵測規則,直接應用于網絡引擎,可以很快實現網絡管理員的安全意圖。
策略管理窗口
策略管理窗口4-3
5.4. 警報信息的統計和報表功能
天一入侵檢測系統提供了非常簡便的入侵警報統計和報表工具。通過管理員,可以使用限制條件,對入侵警報進行過慮,并進行統計或報表。其統計結果包括文字和圖形兩種方式。
5.5.用戶管理功能
用戶管理功能可以對系統的訪問權限進行全面的控制,不僅可以阻止非法用戶使用天一入侵檢測系統,而且對合法用戶的權限也進行了嚴格的分配,有效的保護了系統數據的安全性。用戶管理功能提供了口令修改、添加用戶、刪除用戶、用戶權限配置等等功能。
6.天一入侵檢測系統的主要特點
6.1 方便、簡單的控制端操作界面
天一入侵檢測系統控制臺提供了友好的視窗界面,操作簡單、容易掌握、易于管理。
6.2 豐富、強大的入侵偵測特征庫
擁有一個內容豐富、準確的入侵偵測特征庫,是天一入侵檢測系統可以偵測多種入侵行為,包括:拒絕服務攻擊、溢出攻擊、未受權訪問、網絡資源濫用、涉密信息傳輸、病毒傳輸等的可靠保證。
6.3 支持多平臺
天一入侵檢測系統可以滿足不同用戶選用不同的操作系統的需求,在系統設計過程中采用了大量的跨平臺技術和。同時對通訊進行加密,保證自身信息傳輸的可靠性.
6.4靈活、多變的應用方式
天一入侵檢測系統分為網絡引擎和控制臺兩個完全獨立的部分。網絡管理員可以根據所需保護網絡的具體情況和安全策略,靈活的布置網絡引擎,實現對網絡的立體式,多層監控與保護。并且通過一個控制臺就可以控制所有網絡引擎,達到了分布式安裝、集中管理,管理員可以高效的完成對大型網絡的安全管理的任務,提高工作效率。
6.5 實現大型網絡的分層、分級管理
天一入侵檢測系統使用了嚴格的用戶身份認證與控制機制,根據用戶的權限賦予該用戶對系統功能的使用能力。例如:規則定制與應用、警報結果查詢與刪除、用戶的管理、網絡引擎的管理、入侵行為的響應動作定制等等,使不同級別的網絡管理員具備不同的對整個網絡的管理能力。實現對大型網絡的分層、分級管理。
6.6 提供多種入侵響應技術
天一入侵檢測系統提供了多種入侵行為響應技術,用戶可以根據網絡的安全策略進行選擇。包括:記錄現場數據、發送郵件、阻斷連接、分級上報等功能。分級上報又分為向上級數據庫記錄現場數據和向上級管理員發送警報郵件兩種形式。
7.天一入侵檢測系統的安裝
7.1.探測器的安裝
探測器的工作原理依賴于以太網的物理特性,因此探測器應連接在集線器的一個端口上。若網絡環境中只有交換設備,可以將探測器連接在交換設備的監視(Probe)端口上或在交換機上定義一個VLAN使其包含該交換機上所有需要監視的端口,或特意地構造一個局部的共享總線式的以太網環境,使應被監視的主機或網絡能夠與探測器處于一個共享的以太網環境內,否則探測器無法接收到網上的所有數據流。
7.2.控制中心的安裝
控制中心原則上可以連接在網絡的任何部位。但由于安全控制中心擔負著重要的管理任務,應將其放置在網絡中的安全部位。控制中心通過與探測器的通信來控制它們的運行,加載安全規則、接收報警信息。因此,網絡中必須存在安全控制中心到各探測器的物理網絡通路。
8.天一入侵監測系統的接入結構
結構圖:
9.天一入侵監測系統的性能特點
9.1 策略設置
9.1.1 最大事策略集:報告策略庫中所有的事件.
9.1.2 用戶自定義策略:根據所保護的對象的不同定義不同的策略.
9.1.3 最小策略集:報告極重要的事件.
9.2 信息收集與分析
9.2.1 信息的收集與分析是在探測器端進行,當發現異常行徑時才與控制端進行通信,只占用很小的網絡帶寬.信息的收集與分析同步進行,快速反應.
9.3 實時的檢測與追蹤
9.3.1 當發現可疑信息, 天一入侵檢測系統可以準確的顯示可疑數據的來源,及時向管理員報告,便于及時調整.
9.4 實時記錄檢測結果
9.4.1 實時的記錄收集與分析的結果并存儲,便于進一步的統計與分析.
9.5 離線報警
9.5.1 天一入侵檢測系統可以自動將報警信息發送到通信工具.
9.6 人性化報告
9.6.1 通過調用保存的日志文件,形成方便易懂的用戶報告.
10. 天一入侵監測系統主要技術參數
主要技術參數
功能測試
攻擊檢測預警能力
支持
保護 IDS 防止 IP Desync
支持
重復制止攻擊能力
支持
過濾器自定義能力
支持
實施阻斷能力
支持
報警能力
支持
日志能力
支持
報告能力
支持
分布式設計方案
支持
性能測試
引擎速度
100Mb之60%流量測試,系統正常工作
包重組
支持
過濾器效率
支持
解碼能力
支持
安全策略的定義
支持
產品可用性
界面可用性
GUI/Console,黑盒子/Sensor
支持的操作系統與應用
Windows NT/2000 Console
產品的完善性
成熟的產品
產品的安全性
安全可靠
11. 天一入侵監測系統涉及的技術
11.1. 天一入侵監測系統技術分析
天一入侵檢測系統所采用的技術可分為特征檢測與異常檢測兩種。
11.1.1.1 特征檢測:
特征檢測這一檢測是假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。
11.1.1.2 異常檢測:
異常檢測是假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
11.2. 常用檢測方法
天一入侵檢測系統常用的檢測方法有特征檢測、統計檢測與專家系統。據公安部計算機信息系統安全產品質量監督檢驗中心的報告,國內送檢的入侵檢測產品中95%是屬于使用入侵模板進行模式匹配的特征檢測產品,其他5%是采用概率統計的統計檢測產品與基于日志的專家知識庫系產品。
11.2.1 特征檢測:
特征檢測對已知的攻擊或入侵的方式作出確定性的描述,形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時,即報警。原理上與專家系統相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高,但對于無經驗知識的入侵與攻擊行為無能為力。
11.2.2統計檢測:
統計模型常用異常檢測,在統計模型中常用的測量參數包括:審計事件的數量
間隔時間、資源消耗情況等。常用的入侵檢測5種統計模型為:
11.2.2.1 操作模型,該模型假設異常可通過測量結果與一些固定指標相比較得到,固定指標可以根據經驗值或一段時間內的統計平均得到,舉例來說,在短時間內的多次失敗的登錄很有可能是口令嘗試攻擊;
11.2.2.2 方差,計算參數的方差,設定其置信區間,當測量值超過置信區間的范圍時表明有可能是異常;
11.2.2.3 多元模型,操作模型的擴展,通過同時分析多個參數實現檢測;
11.2.2.4 馬爾柯夫過程模型,將每種類型的事件定義為系統狀態,用狀態轉移矩陣來表示狀態的變化,當一個事件發生時,或狀態矩陣該轉移的概率較小則可能是異常事件;
11.2.2.5 時間序列分析,將事件計數與資源耗用根據時間排成序列,如果一個新事件在該時間發生的概率較低,則該事件可能是入侵。
總之,統計方法的最大優點是它可以“學習”用戶的使用習慣,從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者以機會通過逐步“訓練”使入侵事件符合正常操作的統計規律,從而透過入侵檢測系統。
11.2.3專家系統
用專家系統對入侵進行檢測,經常是針對有特征入侵行為。所謂的規則,即是知識,不同的系統與設置具有不同的規則,且規則之間往往無通用性。專家系統的建立依賴于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達,是入侵檢測專家系統的關鍵。在系統實現中,將有關入侵的知識轉化為if-then結構(也可以是復合結構),條件部分為入侵特征,then部分是系統防范措施。運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性。
12. 攻擊特征的發展方向
無論從規模與方法上入侵技術近年來都發生了變化。入侵的手段與技術也有了“進步與發展”。入侵技術的發展與演化主要反映在下列幾個方面:
12.1. 入侵或攻擊的綜合化與復雜化
入侵的手段有多種,入侵者往往采取一種攻擊手段。由于網絡防范技術的多重化,攻擊的難度增加,使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段,以保證入侵的成功幾率,并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。
12.2. 入侵主體對象的間接化
入侵主體對象的間接化(即實施入侵與攻擊的主體的隱蔽化),通過一定的技術,可掩蓋攻擊主體的源地址及主機位置。即使用了隱蔽技術后,對于被攻擊對象攻擊的主體是無法直接確定的。
12.3. 入侵或攻擊的規模擴大
對于網絡的入侵與攻擊,在其初期往往是針對于某公司或一個網站,其攻擊的目的可能為某些網絡技術愛好者的獵奇行為,也不排除商業的盜竊與破壞行為。由于戰爭對電子技術與網絡技術的依賴性越來越大,隨之產生、發展、逐步升級到電子戰與信息戰。對于信息戰,無論其規模與技術都與一般意義上的計算機網絡的入侵與攻擊都不可相提并論。信息戰的成敗與國家主干通信網絡的安全是與任何主權國家領土安全一樣的國家安全。
12.4. 入侵或攻擊技術的分布化
以往常用的入侵與攻擊行為往往由單機執行。由于防范技術的發展使得此類行為不能奏效。所謂的分布式拒絕服務(DDoS)在很短時間內可造成被攻擊主機的癱瘓。且此類分布式攻擊的單機信息模式與正常通信無差異,所以往往在攻擊發動的初期不易被確認。分布式攻擊是近期最常用的攻擊手段。
12.5. 攻擊對象的轉移
入侵與攻擊常以網絡為侵犯的主體,但近期來的攻擊行為卻發生了策略性的改變,由攻擊網絡改為攻擊網絡的防護系統。
13. 入侵檢測技術的發展方向
13.1. 分布式入侵檢測
第一層含義,即針對分布式網絡攻擊的檢測方法;第二層含義即使用分布式的方法來檢測分布式的攻擊,其中的關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。
13.2. 智能化入侵檢測
即使用智能化的方法與手段來進行入侵檢測。所謂的智能化方法,現階段常用的有神經網絡、遺傳算法、模糊技術、免疫原理等方法,這些方法常用于入侵特征的辨識與泛化。利用專家系統的思想來構建入侵檢測系統也是常用的方法之一。特別是具有自學習能力的專家系統,實現了知識庫的不斷更新與擴展,使設計的入侵檢測系統的防范能力不斷增強,應具有更廣泛的應用前景。應用智能體的概念來進行入侵檢測的嘗試也已有報道。較為一致的解決方案應為高效常規意義下的入侵檢測系統與具有智能檢測功能的檢測軟件或模塊的結合使用。
13.3. 全面的安全防御方案
即使用安全工程風險管理的思想與方法來處理網絡安全問題,將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估,然后提出可行的全面解決方案。
