|
1樓
大 中
小 發表於 2006-10-18 22:39
『轉貼』入侵檢測概念、過程分析和佈署
摘要:隨著網路安全技術的發展,入侵檢測系統(IDS)在網路環境中的應用越來越普遍。文章簡要介紹了入侵檢測技術的基本概念和入侵檢測系統的發展歷史,對入侵檢測系統模型和入侵檢測過程進行了分析,介紹了入侵檢測系統的部署實例,並對入侵檢測技術的發展趨勢進行了描述。
1、入侵檢測的基本概念
入侵檢測是指「通過對行為、安全日誌或審計資料或其他網路上可以獲得的資訊進行操作,檢測到對系統的闖入或闖入的企圖」(參見國標GB/T18336)。入侵檢測是檢測和回應電腦誤用的學科,其作用包括威懾、檢測、回應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證電腦系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測電腦網路中違反安全策略行為的技術。進行入侵檢測的軟體與硬體的組合便是入侵檢測系統(Intrusion Detection System,簡稱IDS)。
2、入侵檢測系統的發展歷史
1980年JamesP.Anderson在給一個保密客戶寫的一份題為《電腦安全威脅監控與監視》的技術報告中指出,審計記錄可以用於識別電腦誤用,他給威脅進行了分類,第一次詳細闡述了入侵檢測的概念。1984年到1986年喬治敦大學的DorothyDenning和SRI公司電腦科學實驗室的PeterNeumann研究出了一個即時入侵檢測系統模型- IDES(Intrusion Detection Expert Systems入侵檢測專家系統),是第一個在一個應用中運用了統計和基於規則兩種技術的系統,是入侵檢測研究中最有影響的一個系統。1989年,加州大學大衛斯分校的Todd Heberlein寫了一篇論文《A Network SecurityMonitor》,該監控器用於捕獲TCP/IP分組,第一次直接將網路流作為審計資料來源,因而可以在不將審計資料轉換成統一格式的情況下監控異種主機,網路入侵檢測從此誕生。
3、系統模型
為解決入侵檢測系統之間的互操作性,國際上的一些研究組織開展了標準化工作,目前對IDS進行標準化工作的有兩個組織:IETF的Intrusion Detection Working Group(IDWG)和Common Intrusion Detection Framework(CIDF)。CIDF早期由美國國防部高級研究計劃局贊助研究,現在由CIDF工作組負責,是一個開放組織。
CIDF闡述了一個入侵檢測系統(IDS)的通用模型。它將一個入侵檢測系統分為以下元件:事件產生器(Event generators),用E盒表示;事件分析器(Event analyzers),用A盒表示;回應單元(Responseunits),用R盒表示;事件資料庫(Event databases),用D盒表示。
圖1 CIDF模型結構圖
CIDF模型的結構如下:E盒通過感測器收集事件資料,並將資訊傳送給A盒,A盒檢測誤用模式;D盒存儲來自A、E盒的資料,並為額外的分析提供資訊;R盒從A、E盒中提取資料,D盒啟動適當的回應。A、E、D及R盒之間的通信都基於GIDO(generalized Intrusion detection objects,通用入侵檢測物件)和CISL(common intrusion specification language,通用入侵規範語言)。如果想在不同種類的A、E、D及R盒之間實現互操作,需要對GIDO實現標準化並使用CISL。
4、分類
4.1 按照檢測類型劃分
從技術上劃分,入侵檢測有兩種檢測模型:
(1)異常檢測模型(Anomaly Detection):檢測與可接受行為之間的偏差。如果可以定義每項可接受的行為,那麼每項不可接受的行為就應該是入侵。首先總結正常操作應該具有的特徵(用戶輪廓),當用戶活動與正常行為有重大偏離時即被認為是入侵。這種檢測模型漏報率低,誤報率高。因為不需要對每種入侵行為進行定義,所以能有效檢測未知的入侵。
(2)誤用檢測模型(Misuse Detection):檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為,那麼每種能夠與之匹配的行為都會引起告警。收集非正常操作的行為特徵,建立相關的特徵庫,當監測的用戶或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。這種檢測模型誤報率低、漏報率高。對於已知的攻擊,它可以詳細、準確地報告出攻擊類型,但是對未知攻擊卻效果有限,而且特徵庫必須不斷更新。
4.2 按照檢測物件劃分
基於主機:系統分析的資料是電腦作業系統的事件日誌、應用程式的事件日誌、系統調用、埠調用和安全審計記錄。主機型入侵檢測系統保護的一般是所在的主機系統。是由代理(agent)來實現的,代理是運行在目標主機上的小的可執行程式,它們與命令控制台(console)通信。
基於網路:系統分析的資料是網路上的資料包。網路型入侵檢測系統擔負著保護整個網段的任務,基於網路的入侵檢測系統由遍及網路的感測器(sensor)組成,感測器是一台將乙太網卡置於混雜模式的電腦,用於嗅探網路上的資料包。
混合型:基於網路和基於主機的入侵檢測系統都有不足之處,會造成防禦體系的不全面,綜合了基於網路和基於主機的混合型入侵檢測系統既可以發現網路中的攻擊資訊,也可以從系統日誌中發現異常情況。
5、入侵檢測過程分析
過程分為三部分:資訊收集、資訊分析和結果處理。
(1)資訊收集:入侵檢測的第一步是資訊收集,收集內容包括系統、網路、資料及用戶活動的狀態和行為。由放置在不同網段的感測器或不同主機的代理來收集資訊,包括系統和網路日誌檔、網路流量、非正常的目錄和檔改變、非正常的程式執行。
(2)資訊分析:收集到的有關係統、網路、資料及用戶活動的狀態和行為等資訊,被送到檢測引擎,檢測引擎駐留在感測器中,一般通過三種技術手段進行分析:模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時,產生一個告警並發送給控制台。
(3)結果處理:控制台按照告警產生預先定義的響應採取相應措施,可以是重新配置路由器或防火牆、終止進程、切斷連接、改變檔屬性,也可以只是簡單的告警。
6、IDS部署實例
圖2 RealSecure的部署圖
圖2為ISS(Internet Security Systems)RealSecure的部署圖,RealSecure是一種混合型的入侵檢測系統,提供基於網路和基於主機的即時入侵檢測。其控制台運行在Windows 2000上。RealSecure的感測器是自治的,能被許多控制台控制。各部分的功能如下:
(1)ReaISecure控制台:對多台網路感測器和伺服器代理進行管理;對被管理感測器進行遠端的配置和控制;各個監控器發現的安全事件即時地報告控制台。
(2)Network Sensor(網路引擎):對網路進行監聽並自動對可疑行為進行回應,最大程度保護網路安全;運行在特定的主機上,監聽並解析所有的網路資訊,及時發現具有攻擊特徵的資訊包;檢測本地網段,查找每一資料包內隱藏的惡意入侵,對發現的入侵做出及時的回應。當檢測到攻擊時,網路引擎能即刻做出回應,進行告警/通知(向控制台告警、向安全管理員發E-mail、SNMP trap、查看即時會話和通報其他控制台),記錄現場(記錄事件日誌及整個會話),採取安全回應行動(終止入侵連接、調整網路設備配置,如防火牆、執行特定的用戶回應程式)。
(3)Server Sensor(伺服器代理,安裝在各個伺服器上):對主機的核心級事件、系統日誌以及網路活動實現即時入侵檢測;具有包攔截、智慧報警以及阻塞通信的能力,能夠在入侵到達作業系統或應用之前主動阻止入侵;自動重新配置網路引擎和選擇防火牆阻止駭客的進一步攻擊。
7、發展趨勢
對分析技術加以改進:採用當前的分析技術和模型,會產生大量的誤報和漏報,難以確定真正的入侵行為。採用協議分析和行為分析等新的分析技術後,可極大地提高檢測效率和準確性,從而對真正的攻擊做出反應。協議分析是目前最先進的檢測技術,通過對資料包進行結構化協定分析來識別入侵企圖和行為,這種技術比模式匹配檢測效率更高,並能對一些未知的攻擊特徵進行識別,具有一定的免疫功能;行為分析技術不僅簡單分析單次攻擊事件,還根據前後發生的事件確認是否確有攻擊發生、攻擊行為是否生效,是入侵檢測技術發展的趨勢。
增進對大流量網路的處理能力:隨著網路流量的不斷增長,對獲得的資料進行即時分析的難度加大,這導致對所在入侵檢測系統的要求越來越高。入侵檢測產品能否高效處理網路中的資料是衡量入侵檢測產品的重要依據。
向高度可集成性發展:集成網路監控和網路管理的相關功能。入侵檢測可以檢測網路中的資料包,當發現某台設備出現問題時,可立即對該設備進行相應的管理。未來的入侵檢測系統將會結合其他網路管理軟體,形成入侵檢測、網路管理、網路監控三位一體的工具。
作者:新華通訊社 張彬 貴州省電信公司 胡茜
|
