入侵檢測(cè)系統(tǒng)(Intrusion Detect System),目前基本上分為以下兩種:主機(jī)入侵檢測(cè)系統(tǒng)(HIDS);網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)。主機(jī)入侵檢測(cè)系統(tǒng)分析對(duì)象為主機(jī)審計(jì)日志,所以需 要在主機(jī)上安裝軟件,針對(duì)不同的系統(tǒng)、不同的版本需安裝不同的主機(jī)引擎,安裝配置較為復(fù)雜,同時(shí)對(duì)系統(tǒng)的運(yùn)行和穩(wěn)定性造成影響,目前在國(guó)內(nèi)應(yīng)用較少。網(wǎng)絡(luò)入侵監(jiān)測(cè)分析對(duì)象為網(wǎng)絡(luò)數(shù)據(jù)流,只需安裝在網(wǎng)絡(luò)的監(jiān)聽(tīng)端口上,對(duì)網(wǎng)絡(luò)的運(yùn)行無(wú)任何影響,目前國(guó)內(nèi)使用較為廣泛。
一、IDS存在的問(wèn)題
1、誤/漏報(bào)率高
IDS常用的檢測(cè)方法有特征檢測(cè)、異常檢測(cè)、狀態(tài)檢測(cè)、協(xié)議分析等。而這些檢測(cè)方式都存在缺陷。比如異常檢測(cè)通常采用統(tǒng)計(jì)方法來(lái)進(jìn)行檢測(cè),而統(tǒng)計(jì)方法中的閾值難以有效確定,太小的值會(huì)產(chǎn)生大量的誤報(bào),太大的值又會(huì)產(chǎn)生大量的漏報(bào)。而在協(xié)議分析的檢測(cè)方式中,一般的IDS只簡(jiǎn)單地處理了常用的如HTTP、FTP、SMTP等,其余大量的協(xié)議報(bào)文完全可能造成IDS漏報(bào),如果考慮支持盡量多的協(xié)議類(lèi)型分析,網(wǎng)絡(luò)的成本將無(wú)法承受。
2、沒(méi)有主動(dòng)防御能力
IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理,所以檢測(cè)規(guī)則的更新總是落后于攻擊手段的更新。
3、缺乏準(zhǔn)確定位和處理機(jī)制
IDS僅能識(shí)別IP地址,無(wú)法定位IP地址,不能識(shí)別數(shù)據(jù)來(lái)源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時(shí)候,只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口,但這樣關(guān)閉同時(shí)會(huì)影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機(jī)制。
4、性能普遍不足
現(xiàn)在市場(chǎng)上的IDS產(chǎn)品大多采用的是特征檢測(cè)技術(shù),這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展,在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包,形成DoS攻擊。
二、入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)
(1).分析技術(shù)的改進(jìn)
入侵檢測(cè)誤報(bào)和漏報(bào)的解決最終依靠分析技術(shù)的改進(jìn)。目前入侵檢測(cè)分析方法主要有:統(tǒng)計(jì)分析、模式匹配、數(shù)據(jù)重組、協(xié)議分析、行為分析等。
統(tǒng)計(jì)分析是統(tǒng)計(jì)網(wǎng)絡(luò)中相關(guān)事件發(fā)生的次數(shù),達(dá)到判別攻擊的目的。模式匹配利用對(duì)攻擊的特征字符進(jìn)行匹配完成對(duì)攻擊的檢測(cè)。數(shù)據(jù)重組是對(duì)網(wǎng)絡(luò)連接的數(shù)據(jù)流進(jìn)行重組再加以分析,而不僅僅分析單個(gè)數(shù)據(jù)包。
協(xié)議分析技術(shù)是在對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行重組的基礎(chǔ)上,理解應(yīng)用協(xié)議,再利用模式匹配和統(tǒng)計(jì)分析的技術(shù)來(lái)判明攻擊。例如:某個(gè)基于HTTP協(xié)議的攻擊含有ABC特征,如果此數(shù)據(jù)分散在若干個(gè)數(shù)據(jù)包中,如:一個(gè)數(shù)據(jù)包含A,另外一個(gè)包含B,另外一個(gè)包含C,則單純的模式匹配就無(wú)法檢測(cè),只有基于數(shù)據(jù)流重組才能完整檢測(cè)。而利用協(xié)議分析。則只在符合的協(xié)議(HTTP)檢測(cè)到此事件才會(huì)報(bào)警。假設(shè)此特征出現(xiàn)在Mail里,因?yàn)椴环蠀f(xié)議,就不會(huì)報(bào)警。利用此技術(shù),有效的降低了誤報(bào)和漏報(bào)。
行為分析技術(shù)不僅簡(jiǎn)單分析單次攻擊事件,還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生,攻擊行為是否生效,是入侵檢測(cè)分析技術(shù)的最高境界。但目前由于算法處理和規(guī)則制定的難度很大,目前還不是非常成熟,但卻是入侵檢測(cè)技術(shù)發(fā)展的趨勢(shì)。目前最好綜合使用多種檢測(cè)技術(shù),而不只是依靠傳統(tǒng)的統(tǒng)計(jì)分析和模式匹配技術(shù)。另外,規(guī)則庫(kù)是否及時(shí)更新也和檢測(cè)的準(zhǔn)確程度相關(guān)。
2).內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計(jì)功能的引入
前面已經(jīng)提到,入侵檢測(cè)的最高境界是行為分析。但行為分析前還不是很成熟,因此,個(gè)別優(yōu)秀的入侵檢測(cè)產(chǎn)品引入了內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計(jì)功能。
內(nèi)容恢復(fù)即在協(xié)議分析的基礎(chǔ)上,對(duì)網(wǎng)絡(luò)中發(fā)生的應(yīng)為加以完整的重組和記錄,網(wǎng)絡(luò)中發(fā)生的任何行為都逃不過(guò)它的監(jiān)視。網(wǎng)絡(luò)審計(jì)即對(duì)網(wǎng)絡(luò)中所有的連接事件進(jìn)行記錄。入侵檢測(cè)的接入方式?jīng)Q定入侵檢測(cè)系統(tǒng)中的網(wǎng)絡(luò)審計(jì)不僅類(lèi)似防火墻可以記錄網(wǎng)絡(luò)進(jìn)出信息,還可以記錄網(wǎng)絡(luò)內(nèi)部連接狀況,此功能對(duì)內(nèi)容恢復(fù)無(wú)法恢復(fù)的加密連接尤其有用。
內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計(jì)讓管理員看到網(wǎng)絡(luò)的真正運(yùn)行狀況,其實(shí)就是調(diào)動(dòng)管理員參與行為分析過(guò)程。此功能不僅能使管理員看到孤立的攻擊事件的報(bào)警,還可以看到整個(gè)攻擊過(guò)程,了解攻擊確實(shí)發(fā)生與否,查看攻擊著的操作過(guò)程,了解攻擊造成的危害。不但發(fā)現(xiàn)已知攻擊,同時(shí)發(fā)現(xiàn)未知攻擊。不當(dāng)發(fā)現(xiàn)外部攻擊者的攻擊,也發(fā)現(xiàn)內(nèi)部用戶的惡意行為。畢竟管理員是最了解其網(wǎng)絡(luò)的,管理員通過(guò)此功能的使用,很好的達(dá)成了行為分析的目的。但使用此功能的同時(shí)需注意對(duì)用戶隱私的保護(hù)。
(3).集成網(wǎng)絡(luò)分析和管理功能
入侵檢測(cè)不但對(duì)網(wǎng)絡(luò)攻擊是一個(gè)檢測(cè)。同時(shí),侵檢測(cè)可以收到網(wǎng)絡(luò)中的所有數(shù)據(jù),對(duì)網(wǎng)絡(luò)的故障分析和健康管理也可起到重大作用。當(dāng)管理員發(fā)現(xiàn)某臺(tái)主機(jī)有問(wèn)題時(shí),也希望能馬上對(duì)其進(jìn)行管理。入侵檢測(cè)也不應(yīng)只采用被動(dòng)分析方法,最好能和主動(dòng)分析結(jié)合。所以,入侵檢測(cè)產(chǎn)品集成網(wǎng)管功能,掃描器(Scanner),嗅探器(Sniffer)等功能是以后發(fā)展的方向。
(4).安全性和易用性的提高
入侵檢測(cè)是個(gè)安全產(chǎn)品,自身安全極為重要。因此,目前的入侵檢測(cè)產(chǎn)品大多采用硬件結(jié)構(gòu),黑洞式接入,免除自身安全問(wèn)題。同時(shí),對(duì)易用性的要求也日益增強(qiáng),例如:全中文的圖形界面,自動(dòng)的數(shù)據(jù)庫(kù)維護(hù),多樣的報(bào)表輸出。這些都是優(yōu)秀入侵產(chǎn)品的特性和以后繼續(xù)發(fā)展細(xì)化的趨勢(shì)。
(5).改進(jìn)對(duì)大數(shù)據(jù)量網(wǎng)絡(luò)的處理方法
隨著對(duì)大數(shù)據(jù)量處理的要求,入侵檢測(cè)的性能要求也逐步提高,出現(xiàn)了千兆入侵檢測(cè)等產(chǎn)品。但如果入侵檢測(cè)檢測(cè)產(chǎn)品不僅具備攻擊分析,同時(shí)具備內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計(jì)功能,則其存儲(chǔ)系統(tǒng)也很難完全工作在千兆環(huán)境下。這種情況下,網(wǎng)絡(luò)數(shù)據(jù)分流也是一個(gè)很好的解決方案,性價(jià)比也較好。這也是國(guó)際上較通用的一種作法。
(6).防火墻聯(lián)動(dòng)功能
入侵檢測(cè)發(fā)現(xiàn)攻擊,自動(dòng)發(fā)送給放火墻,防火墻加載動(dòng)態(tài)規(guī)則攔截入侵,稱為防火墻聯(lián)動(dòng)功能。目前此功能還沒(méi)有到完全實(shí)用的階段,主要是一種概念。隨便使用會(huì)導(dǎo)致很多問(wèn)題。目前主要的應(yīng)用對(duì)象是自動(dòng)傳播的攻擊,如Nimda等,聯(lián)動(dòng)只在這種場(chǎng)合有一定的作用。無(wú)限制的使用聯(lián)動(dòng)。如未經(jīng)充分測(cè)試,對(duì)防火期的穩(wěn)定性和網(wǎng)絡(luò)應(yīng)用會(huì)造成負(fù)面影響。但隨著入侵檢測(cè)產(chǎn)品檢測(cè)準(zhǔn)確度的提高,聯(lián)動(dòng)功能日益趨向?qū)嵱没?/p>
