论文部分内容阅读
摘 要:本文首先介绍了网络的安全现状,指出网络的安全形式并没有随着技术的发展而有所缓和,相反却更为严峻,因此有必要研究网络安全问题和开发入侵检测系统。随后介绍了入侵检测系统的基本概念、常用检测方法,并对入侵检测系统的分类进行了阐述。最后提出了目前的入侵检测系统所存在的问题。
关键词:入侵检测系统、网络安全、HIDS、NIDS、IDS攻击
中图分类号:TP393.08
一、入侵检测系统提出的背景
随着计算机网络和Internet的发展,网络安全越来越受到人们的注重和关注。网络中存在的越来越多的攻击行为严重影响了网络性能并威胁着个人隐私的安全。入侵检测系统正是在这种应用背景下快速发展起来的,它是指对所有企图穿越被保护系统安全边界行为的识别并提供可能响应功能的系统。
入侵检测系统(IDS:Intrusion Detection System)作为一种重要的安全部件,是网络与信息安全防护体系的重要组成部分,是传统计算机安全机制的重要补充。IDS通常指入侵保护系统(Intrusion Protection System)或者入侵预防系统(Intrusion Prevention System)。
二、入侵检测的方法
IDS系统的检测方法主要有三种:基于异常的IDS、基于特征的IDS、基于策略的IDS。
1.基于异常的IDS(Anomaly-Based)
异常入侵检测系统记录用户在系统上的活动,并且根据这些记录创建活动的统计报告,如果报告表明它与正常用户的活动有明显的不同,那么检测系统就会将这种活动视为入侵。但如何定义正常的网络流量模式是棘手的。例如,正常情况下一个路由选择更新分组通常源自于网络路由器,但如果来源于一个用户就被视为异常。这种技术在黑客世界被称为欺骗。基于异常的IDS有两种类型:统计异常检测和非统计异常检测。统计异常检测方法在一个时间段内进行交互式流量模式学习。非统计方法中,IDS需要有一个预先定义的配置,定义可接受的或正常的流量模式。
2.基于特征的IDS(Signature-Based)
特征入侵检测是事先对已知的入侵方式进行定义(即定义入侵方式的特征),并且将这些方式写进系统中,将网络上检测到的攻击与系统中定义的已知入侵方式进行对比,如果两者相同,则认为发生了入侵。这些特征确定了哪些流量和活动是恶意的。基于特征的IDS一般有三种类型:简单模式匹配和有状态模式匹配、协议解码分析、启发式分析。
3.基于策略的IDS(Policy-Based)
基于策略的IDS通常是主机IDS,当检测到违反配置的策略时,触发相应的事件告警,这个预先配置的策略应该代表安全策略,这种类型的IDS部署灵活,可根据企业的网络需求进行定制,可以准确地确定什么行为是允许地,什么行为被禁止。而基于特征地IDS依赖于厂商的说明和默认配置。
三、入侵检测系统的分类
上面内容概述了IDS的几种检测方法,一个成功的IDS通常继承了多种不同的技术。主机IDS和网络IDS是目前应用最广泛的IDS分析方法。
1.基于主机的IDS(Host-based IDS,HIDS)
基于主机的IDS指基于服务器/工作站主机的所有类型的入侵检测系统。下面分别简要介绍:
Cisco安全代理(Cisco Secure Agent):Cisco安全代理是一个软件包,可以运行在独立服务器或工作站中,用于保护主机预防攻击。其中,基于加密安全技術的Cisco IDS检测器提供了对入侵的实时分析和响应。主机IDS可以处理和分析针对操作系统应用程序接口的每个请求,在必要时采取主动的保护措施。
主机检测代理紧邻操作系统,以保护操作系统本身。不仅可以防止通过网络产生的对主机的攻击,而且可以防止登陆系统用户所产生的攻击或恶意行为。规则引擎由控制台规则、代理规则、通用规则、操作系统规则、Web规则和FTP规则等组成。数据库中存放安全策略参数、用户自定义的例外情况和被隔离的应用列表。例如,若某个攻击尝试破坏Web服务器的IIS,代理核心使用FTP规则评估进入的数据,应用相应的规则和例外参数。如果检测到恶意行为,采取相应的反应措施。这些措施可以是记录日志、发送SNMP捕获消息等。
Cisco安全代理管理器:Cisco安全代理管理器负责管理安全代理并与之通信,它以集中管理的方式管理所有的代理。
2.基于网络的IDS( Network IDS,NIDS)
网络IDS在网络架构的关键部位部署实时的检测器,称为网络检测器,用于分析数据流、检测非授权行为及恶意行为,对包含攻击特征或者可疑的异常行为做出反应。传统上,NIDS是具有IDS特征过滤器的混杂模式包嗅探器,然而今天的NIDS具有更高的智能性,能够进行协议分析和状态保持。监视接口与需被监视的目标位于同一网段,如邮件服务器、Web服务器等。命令和控制接口,负责向管理平台发送触发(告警)消息。与主机IDS的Cisco安全代理管理器类似,这个管理平台用于配置网络检测器、对告警信息进行记录和显示或者根据要求产生报告。下图说明了网络IDS的组成。
下面步骤列出了攻击及阻止攻击的过程:
(1) 黑客通过Internet向邮件服务器发起攻击。
(2) 数据分组通过网络到达目标-邮件服务器,网络检测器的监视端口同时捕获到这些分组。
(3) 如果数据分组中存在分片,则需要对分片数据进行重装。重装工作由数据分组的目的(邮件服务器)进行,网络检测器进行同样的重装处理工作。
(4) 网络检测器将数据和已配置的规则集合进行比较。 (5) 对所有检测的攻击,网络检测器产生一个日志并通知网络管理平台。
(6) 网络管理平台发送事件告警信息、产生日志,并产生针对攻击的响应。
3.主机IDS和网络IDS的比较
主机IDS和网络IDS可以相互补充,互不各自的缺陷。下表列出了这两种方式的优缺点:
表2 主机IDS和网络IDS的比较
通常来说,最有效的IDS部署方法是首先使用IDS,它易于扩展、有较广的网络覆盖范围。此外,不需要过多的机构内部协调,对网络和主机基本没有影响或者影响很小。如果只有少量的服务器需要防护,可采用主机IDS。
四、入侵检测系统的所面临的问题
1.漏报和误报:
IDS的主要目标是,当发现某个数据分组或一系列数据分组表现出可以的违反安全策略的行为时,触发相应的时间告警。IDS手段主要分为两个大类:IDS逃避技术:通过各种工具和手法对真正的攻击包进行处理,使IDS很难通过简单的模式匹配识别出来,从而出现致命的漏报现象;IDS欺骗技术:通过一些特定的工具触发IDS系统大量报警(不是真正的攻击),使管理员疲于应付误报,从而遗漏真正的攻击。因此,网络管理员必须合理地配置IDS以减少漏报(false negative)和误报(false positive)的数量,这是非常重要的。
误报是指正常的数据流和活动触发了某个IDS特征,从而产生了不必要的事件告警。而漏报是指当恶意流量出現时,未触发相应的IDS特征告警。漏报时,IDS检测器没有检测到恶意活动,也不产生时间报告,这对网络的运行来说可能是灾难性的。因此,减少漏报具有更高的优先级。通常,有两种原因会导致漏报:
(1) IDS检测器没有采用最新的特征库,所谓特征库即在一个协议分组中可识别的事件和模式的集合,这个集合确定了网络中数据出现这种特征时会触发告警。
(2) IDS检测器的软件故障。
因此,当发现新的漏洞和黑客技术时,必须随时更新IDS的配置以适应情况的变化。误报时,IDS通常把正常的数据看作是异常数据的行为,误报往往导致对事件的不必要的分析和判断。显然,网络管理员应尽力避免这种情况的发生,因为大量的误报会明显地消耗系统资源,而用于对之进行分析和判断所需地专业技术需要更高的开销。CISCO为安全专业人员开发了一个交互式安全漏洞信息数据库,这是一个集中式的安全只是数据仓库,被命名为Cisco IPS Alert Center,Cisco入侵防御系统事件中心。
事实上,IDS系统不可能完全避免漏报和误报,因此更新IDS的配置是一个连续的过程。例如,一个企业中部署了一个新的应用,可能就需要调整IDS检测器以减少误报。大部分的检测器都提供了灵活的在线调整能力,因此不需要停止系统的工作。
2.IDS攻击
和其他系统一样,IDS本身也往往存在安全漏洞。若对IDS攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。因此IDS首先必须保证自己的安全性。IDS本身的抗攻击能力也就是IDS的可靠性,用于衡量IDS对那些经过特别设计直接以IDS为攻击目标的攻击的抵抗能力。它主要体现在两个方面:一是程序本身在各种网络环境下能够正常工作;二是程序各个模块之间的通信能够不被破坏,不可仿冒。此外要特别考虑抵御拒绝服务攻击的能力。如果IDS本身不能正常运行,也就失去了它的保护意义。
五、小结
入侵检测是一种非常强有力的技术,如果企业没有对攻击进行检测和响应的能力,那么恶意的攻击者就很有可能成功地危害这些企业。然而,入侵检测技术目前还远远不成熟,很难确定那种IDS技术是最好的,IDS技术的选择取决于网络管理员要达到什么目标。各个厂商的IDS技术都在不断的更新,各企业在选择IDS产品时,应该仔细考虑各种需求、所需的文档,并充分考虑到以后各种操作系统的兼容等问题。IDS系统并不是非常完善的解决方案,但可以通过一些智能的配置提高其实性。多个研究机构都在IDS领域不断研究和跟踪最新的发展,不断采用新技术使得IDS更加有效、实用和经济。
参考文献:
1、 Gert De Laet,Gert Schauwers著,网络安全基础,人民邮电出版社
2、 Stuart Mc Clure,Joel Scambray,George Kurtz著,黑客大曝光,清华大学出版社
关键词:入侵检测系统、网络安全、HIDS、NIDS、IDS攻击
中图分类号:TP393.08
一、入侵检测系统提出的背景
随着计算机网络和Internet的发展,网络安全越来越受到人们的注重和关注。网络中存在的越来越多的攻击行为严重影响了网络性能并威胁着个人隐私的安全。入侵检测系统正是在这种应用背景下快速发展起来的,它是指对所有企图穿越被保护系统安全边界行为的识别并提供可能响应功能的系统。
入侵检测系统(IDS:Intrusion Detection System)作为一种重要的安全部件,是网络与信息安全防护体系的重要组成部分,是传统计算机安全机制的重要补充。IDS通常指入侵保护系统(Intrusion Protection System)或者入侵预防系统(Intrusion Prevention System)。
二、入侵检测的方法
IDS系统的检测方法主要有三种:基于异常的IDS、基于特征的IDS、基于策略的IDS。
1.基于异常的IDS(Anomaly-Based)
异常入侵检测系统记录用户在系统上的活动,并且根据这些记录创建活动的统计报告,如果报告表明它与正常用户的活动有明显的不同,那么检测系统就会将这种活动视为入侵。但如何定义正常的网络流量模式是棘手的。例如,正常情况下一个路由选择更新分组通常源自于网络路由器,但如果来源于一个用户就被视为异常。这种技术在黑客世界被称为欺骗。基于异常的IDS有两种类型:统计异常检测和非统计异常检测。统计异常检测方法在一个时间段内进行交互式流量模式学习。非统计方法中,IDS需要有一个预先定义的配置,定义可接受的或正常的流量模式。
2.基于特征的IDS(Signature-Based)
特征入侵检测是事先对已知的入侵方式进行定义(即定义入侵方式的特征),并且将这些方式写进系统中,将网络上检测到的攻击与系统中定义的已知入侵方式进行对比,如果两者相同,则认为发生了入侵。这些特征确定了哪些流量和活动是恶意的。基于特征的IDS一般有三种类型:简单模式匹配和有状态模式匹配、协议解码分析、启发式分析。
3.基于策略的IDS(Policy-Based)
基于策略的IDS通常是主机IDS,当检测到违反配置的策略时,触发相应的事件告警,这个预先配置的策略应该代表安全策略,这种类型的IDS部署灵活,可根据企业的网络需求进行定制,可以准确地确定什么行为是允许地,什么行为被禁止。而基于特征地IDS依赖于厂商的说明和默认配置。
三、入侵检测系统的分类
上面内容概述了IDS的几种检测方法,一个成功的IDS通常继承了多种不同的技术。主机IDS和网络IDS是目前应用最广泛的IDS分析方法。
1.基于主机的IDS(Host-based IDS,HIDS)
基于主机的IDS指基于服务器/工作站主机的所有类型的入侵检测系统。下面分别简要介绍:
Cisco安全代理(Cisco Secure Agent):Cisco安全代理是一个软件包,可以运行在独立服务器或工作站中,用于保护主机预防攻击。其中,基于加密安全技術的Cisco IDS检测器提供了对入侵的实时分析和响应。主机IDS可以处理和分析针对操作系统应用程序接口的每个请求,在必要时采取主动的保护措施。
主机检测代理紧邻操作系统,以保护操作系统本身。不仅可以防止通过网络产生的对主机的攻击,而且可以防止登陆系统用户所产生的攻击或恶意行为。规则引擎由控制台规则、代理规则、通用规则、操作系统规则、Web规则和FTP规则等组成。数据库中存放安全策略参数、用户自定义的例外情况和被隔离的应用列表。例如,若某个攻击尝试破坏Web服务器的IIS,代理核心使用FTP规则评估进入的数据,应用相应的规则和例外参数。如果检测到恶意行为,采取相应的反应措施。这些措施可以是记录日志、发送SNMP捕获消息等。
Cisco安全代理管理器:Cisco安全代理管理器负责管理安全代理并与之通信,它以集中管理的方式管理所有的代理。
2.基于网络的IDS( Network IDS,NIDS)
网络IDS在网络架构的关键部位部署实时的检测器,称为网络检测器,用于分析数据流、检测非授权行为及恶意行为,对包含攻击特征或者可疑的异常行为做出反应。传统上,NIDS是具有IDS特征过滤器的混杂模式包嗅探器,然而今天的NIDS具有更高的智能性,能够进行协议分析和状态保持。监视接口与需被监视的目标位于同一网段,如邮件服务器、Web服务器等。命令和控制接口,负责向管理平台发送触发(告警)消息。与主机IDS的Cisco安全代理管理器类似,这个管理平台用于配置网络检测器、对告警信息进行记录和显示或者根据要求产生报告。下图说明了网络IDS的组成。
下面步骤列出了攻击及阻止攻击的过程:
(1) 黑客通过Internet向邮件服务器发起攻击。
(2) 数据分组通过网络到达目标-邮件服务器,网络检测器的监视端口同时捕获到这些分组。
(3) 如果数据分组中存在分片,则需要对分片数据进行重装。重装工作由数据分组的目的(邮件服务器)进行,网络检测器进行同样的重装处理工作。
(4) 网络检测器将数据和已配置的规则集合进行比较。 (5) 对所有检测的攻击,网络检测器产生一个日志并通知网络管理平台。
(6) 网络管理平台发送事件告警信息、产生日志,并产生针对攻击的响应。
3.主机IDS和网络IDS的比较
主机IDS和网络IDS可以相互补充,互不各自的缺陷。下表列出了这两种方式的优缺点:
表2 主机IDS和网络IDS的比较
通常来说,最有效的IDS部署方法是首先使用IDS,它易于扩展、有较广的网络覆盖范围。此外,不需要过多的机构内部协调,对网络和主机基本没有影响或者影响很小。如果只有少量的服务器需要防护,可采用主机IDS。
四、入侵检测系统的所面临的问题
1.漏报和误报:
IDS的主要目标是,当发现某个数据分组或一系列数据分组表现出可以的违反安全策略的行为时,触发相应的时间告警。IDS手段主要分为两个大类:IDS逃避技术:通过各种工具和手法对真正的攻击包进行处理,使IDS很难通过简单的模式匹配识别出来,从而出现致命的漏报现象;IDS欺骗技术:通过一些特定的工具触发IDS系统大量报警(不是真正的攻击),使管理员疲于应付误报,从而遗漏真正的攻击。因此,网络管理员必须合理地配置IDS以减少漏报(false negative)和误报(false positive)的数量,这是非常重要的。
误报是指正常的数据流和活动触发了某个IDS特征,从而产生了不必要的事件告警。而漏报是指当恶意流量出現时,未触发相应的IDS特征告警。漏报时,IDS检测器没有检测到恶意活动,也不产生时间报告,这对网络的运行来说可能是灾难性的。因此,减少漏报具有更高的优先级。通常,有两种原因会导致漏报:
(1) IDS检测器没有采用最新的特征库,所谓特征库即在一个协议分组中可识别的事件和模式的集合,这个集合确定了网络中数据出现这种特征时会触发告警。
(2) IDS检测器的软件故障。
因此,当发现新的漏洞和黑客技术时,必须随时更新IDS的配置以适应情况的变化。误报时,IDS通常把正常的数据看作是异常数据的行为,误报往往导致对事件的不必要的分析和判断。显然,网络管理员应尽力避免这种情况的发生,因为大量的误报会明显地消耗系统资源,而用于对之进行分析和判断所需地专业技术需要更高的开销。CISCO为安全专业人员开发了一个交互式安全漏洞信息数据库,这是一个集中式的安全只是数据仓库,被命名为Cisco IPS Alert Center,Cisco入侵防御系统事件中心。
事实上,IDS系统不可能完全避免漏报和误报,因此更新IDS的配置是一个连续的过程。例如,一个企业中部署了一个新的应用,可能就需要调整IDS检测器以减少误报。大部分的检测器都提供了灵活的在线调整能力,因此不需要停止系统的工作。
2.IDS攻击
和其他系统一样,IDS本身也往往存在安全漏洞。若对IDS攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。因此IDS首先必须保证自己的安全性。IDS本身的抗攻击能力也就是IDS的可靠性,用于衡量IDS对那些经过特别设计直接以IDS为攻击目标的攻击的抵抗能力。它主要体现在两个方面:一是程序本身在各种网络环境下能够正常工作;二是程序各个模块之间的通信能够不被破坏,不可仿冒。此外要特别考虑抵御拒绝服务攻击的能力。如果IDS本身不能正常运行,也就失去了它的保护意义。
五、小结
入侵检测是一种非常强有力的技术,如果企业没有对攻击进行检测和响应的能力,那么恶意的攻击者就很有可能成功地危害这些企业。然而,入侵检测技术目前还远远不成熟,很难确定那种IDS技术是最好的,IDS技术的选择取决于网络管理员要达到什么目标。各个厂商的IDS技术都在不断的更新,各企业在选择IDS产品时,应该仔细考虑各种需求、所需的文档,并充分考虑到以后各种操作系统的兼容等问题。IDS系统并不是非常完善的解决方案,但可以通过一些智能的配置提高其实性。多个研究机构都在IDS领域不断研究和跟踪最新的发展,不断采用新技术使得IDS更加有效、实用和经济。
参考文献:
1、 Gert De Laet,Gert Schauwers著,网络安全基础,人民邮电出版社
2、 Stuart Mc Clure,Joel Scambray,George Kurtz著,黑客大曝光,清华大学出版社