入侵检测系统发展现状
北京理工大学
邓惠平
(
hpd9902@yahoo.com.cn
)
1. IDS
发展现状
入侵检测系统
(Intrusion Detect System
,
IDS
)
,目前基本上分为以下两种:主机入侵检测系统
(HIDS,
主机基
)
;网络入侵检测系统
(NIDS
,网络基
)
。
主机入侵检测系统分析对象为主机审计日志,所以需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的
运行和稳定性造成影响,目前在国内应用较少。网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为
广泛。本文分析的为目前使用广泛的网络入侵监测系统。
入侵检测(
IDS
)是一个笼统的名字。入侵检测常常包括对非法使用系统资源活动的检测,也包括对滥用系统资源行为的检测。安全产品市场销售的入侵检测产品往往专注于前一目标,而许多科研机构往往对后一目标更感兴趣。在网络安全产品市场
(
特别是国外市场
)
上防火墙产品已渐趋饱和的今天,入侵检测产品的销售有强劲的上升势头,无怪乎国内、外的安全产品厂家都迅速地将目光转到这一产品上来。
入侵检测系统使用两种基本的检测技术。一是对网络上的数据进行
流量分析
,找出表现异常的网络行为。二是对网上流动的数据进行
内容分析
,找出“黑客”攻击的表征。功能简单的入侵检测系统可能只使用这两种技术中的一种。
流
量截获分析是一种对进入系统的信息只读“信封”,不读信内容的做法。盛放网上信息的“信封”除地址之外还包括其他一些内容。通过对信封上信息的分析可以发
现与入侵行为相关的某些特征。在这些特征当中,只有很小一部分可以使分析人员立即得出确定的结论,其他则需要对大量数据进行相关分析。特别是对网络中不同
时间点,不同空间点上的数据进行相关分析。这样做起来有相当的难度。
表
征分析的办法是在网上传递的信息内容中寻找特定的关键字,这些关键字是在已知的入侵实例中使用过的。注意到,在互联网上信息的传播是通过尺寸很小的数据
“碎片”来实现的。就是说,一个文件往往被分割成许多小块儿数据发送到网上,而每个小数据块儿独立地在网上旅行,不考虑它与其他数据块儿的时间次序或其他
关系。仅当到达了目的地之后,这些小数据块才被重新装配起来。出于对处理效率和开销的考虑,目前网络安全产品市场出售的大多数入侵检测产品都不做“碎片装
配”的工作,这不能不使这些产品寻找攻击表征的能力受到一些限制。
入
侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。美国克林顿政府去年曾宣布利用国家科学基金会的资金资助学术界对虚警问题的研
究,足见问题之严重。在检测速度方面的形势也很严峻。目前大多数入侵检测系统在不牺牲检测质量的前题下尚不能处理百兆位网络满负荷时的数据量,而千兆位则
还是个不可企及的目标。
2.
为什么需要入侵检测系统?
在网络安全方面,国内的用户对防火墙已经有了很高的认知程度,而对入侵检测系统的作用大多不是非常了解。防火墙在网络安全中起到大门警卫的作用,对进出
的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用,是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析,
保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无能为力。
同时
,
由
于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能.如果把放火防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机,
入侵检测通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以
发现从外部的攻击,也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案。
3.
入侵检测系统目前存在的问题
入侵检测系统有如此重大的作用,但在国内的应用远远谈不到普及,一方面是由于用户的认知程度较底,另一方面是由于入侵检测是一门比较新的技术,还存在一些技术上的困难,不是所有厂商都有研发入侵检测产品的实力。目前的入侵检测产品大多存在这样一些问题:
(1).
误报和漏报的矛盾
入侵检测系统对网络上所有的数据进行分析,如果攻击者对系统进行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么这一次攻击是否需要报警,这就是
一个需要管理员判断的问题。因为这也代表了一种攻击的企图。但大量的报警事件会分散管理员的精力,反而无法对真正的攻击作出反映。和误报相对应的是漏报,
随着攻击的方法不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
(2).
隐私和安全的矛盾
入侵检测系统可以收到网路的所有数据,同时可以对其进行分析和记录,这对网络安极其重要,但难免对用户的隐私构成一定风险,这就要看具体的入侵检测产品是否能提供相应功能以供管理员进行取舍。
(3).
被动分析与主动发现的矛盾
入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问题。
(4).
海量信息与分析代价的矛盾
随着网路数据流量的不断增长,入侵检测产品能否处理高效处理网路中的数据也是衡量入侵检测产品的重要依据。
(5).
功能性和可管理性的矛盾
随着入侵检测产品功能的增加,可否在功能增加的同时,不增大管理的难度。例如,入侵检测系统的所有信息都储存在数据库中,此数据库能否自动维护和备份而不需管理员的干预?另外
,
入侵检测系统自身安全性如何?是否易于部署?采用何种报警方式?也都是需要考虑的因素。
(6).
单一的产品与复杂的网络应用的矛盾
入侵检测产品最出的目的是为了检测网络的攻击,但仅仅检测网络中的攻击远远无法满足目前复杂的网应用需求.通常,管理员难以分清网路问题:是由于攻击引起的还是网络故障。入侵检测检测出的攻击事件又如何处理,可否和目前网络中的其他安全产品进行配合。
4
.入侵检测技术发展趋势
(1).分析技术的改进
入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。
统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明攻击。例如:某个基于
HTTP
协议的攻击含有
ABC
特征,如果此数据分散在若干个数据包中,如:一个数据包含
A
,另外一个包含
B
,另外一个包含
C
,则单纯的模式匹配就无法检测,只有基于数据流重组才能完整检测。而利用协议分析。则只在符合的协议
(HTTP)
检测到此事件才会报警。假设此特征出现在
Mail
里,因为不符合协议,就不会报警。利用此技术,有效的降低了误报和漏报。
行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的最高境界。但目前由于算法
处理和规则制定的难度很大,目前还不是非常成熟,但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术,而不只是依靠传统的统计分析和模式匹配技
术。另外,规则库是否及时更新也和检测的准确程度相关。
(2).内容恢复和网络审计功能的引入
前面已经提到,入侵检测的最高境界是行为分析。但行为分析前还不是很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功能。
内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进
行记录。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内部连接状况,此功能对内容恢复无法恢复的
加密连接尤其有用。
内容恢复和网络审计让管理员看到网络的真正运行状况,其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的攻击事件的报警,还可以看到
整个攻击过程,了解攻击确实发生与否,查看攻击着的操作过程,了解攻击造成的危害。不但发现已知攻击,同时发现未知攻击。不当发现外部攻击者的攻击,也发
现内部用户的恶意行为。毕竟管理员是最了解其网络的,管理员通过此功能的使用,很好的达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。
(3).集成网络分析和管理功能
入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题
时,也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集成网管功能,扫描器
(Scanner)
,嗅探器
(Sniffer)
等功能是以后发展的方向。
(4).安全性和易用性的提高
入侵检测是个安全产品,自身安全极为重要。因此,目前的入侵检测产品大多采用硬件结构,黑洞式接入,免除自身安全问题。同时,对易用性的要求也日益增
强,例如:全中文的图形界面,自动的数据库维护,多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。
(5).改进对大数据量网络的处理方法
随着对大数据量处理的要求,入侵检测的性能要求也逐步提高,出现了千兆入侵检测等产品。但如果入侵检测检测产品不仅具备攻击分析,同时具备内容恢复和网
络审计功能,则其存储系统也很难完全工作在千兆环境下。这种情况下,网络数据分流也是一个很好的解决方案,性价比也较好。这也是国际上较通用的一种作法。
(6).防火墙联动功能
入侵检测发现攻击,自动发送给放火墙,防火墙加载动态规则拦截入侵,称为防火墙联动功能。目前此功能还没有到完全实用的阶段,主要是一种概念。随便使用会导致很多问题。目前主要的应用对象是自动传播的攻击,如
Nimda
等,联动只在这种场合有一定的作用。无限制的使用联动。如未经充分测试,对防火期的稳定性和网络应用会造成负面影响。但随着入侵检测产品检测准确度的提高,联动功能日益趋向实用化。
5.结论
目前入侵检测是一项全新的技术,对网络的安全起着重大的作用,但也有一些技术问题需要解决或正在解决,入侵检测的应用也会日益广泛。
以下是评价目前评价一个入侵检测产品是否优秀的标准:
1
.
高效的数据截取
2
.
智能的数据流重组
3
.
强大的入侵识别
4
.
全面的内容恢复
5
.
完整的网络审计
6
.
实时的网络监控
7
.
集成的网络管理
8
.
简便的接入
9
.
易用的管理
10
.灵活的部署
11
.丰富的报警方法
12
.多样的输出结果
13
.严格的自身安全
14.
高度的可集成性
总之,入侵检测产品的目标是成为“全面的网络健康分析管理平台”。
现有的入侵检测系统还有其技术上的致命弱点。
几年前,美国一家公司的两个研究人员发现了一种躲避入侵检测系统的技术(注:这里谈到的是基于网络的入侵检测系统
NIDS
)。这种技术主要基于以下思想:在计算机世界里面,不同厂家生产的机器对网上数据的处理可能有一些细微的区别。特别是对一些不规范的数据,工业界使用的标准中并不规定对这些不大可能出现的情况的处理方式,于是各厂家的处理便略有不同。
如果一个被入侵检测的网络存在着多于一种型号的机器,或者型号虽然相同,机上软件的版本号不完全一致,对同一个数据,不同机器
(
系统
)
的的表现行为可能有细微的差别。注意到,入侵检测系统必须与被检测机器有完全一致的行为,才能可靠的分辨攻击表征
。
但在这种网络组成比较复杂的情况下,入侵检测系统不能不顾此失彼。于是经过巧妙设计的攻击表征便有可能影响目标系统,而不为入侵检测系统察觉。目前在安全
产品市场上,只有极个别的产品具有抵御这种攻击的能力。虽然在实践中到目前为止这还不是个严重问题,但也不能不令人感觉遗憾。与防火墙技术比较,入侵检测
技术目前还很不成熟,今后几年内应当有比较大的发展。
附录:
国内入侵检测系统
(
产品
)
部分开发商名单
|
No:
|
安全企业名称
|
产品名称
|
|
1
|
北京理工先河科技发展有限公司
|
“金海豚”网络安全动态防护系统
|
|
2
|
深圳安络科技有限公司
|
安络网警
NetsentryII
|
|
3
|
东软集团有限公司
|
东软
NetEye IDS
|
|
4
|
北京海信数码科技有限公司
|
海信眼镜蛇入侵检测系统
|
|
5
|
上海金诺网络安全技术发展股份有限公司(原属于公安部一所)
|
金诺网安
KIDS
|
|
6
|
北京启明星辰信息技术有限公司
|
天阗黑客入侵检测与预警系统
|
|
7
|
远东网安科技有限公司(
上市公司:远东股份 的控股公司
)
|
远东科技黑客煞星
|
|
8
|
北京中科网威信息技术有限公司
(协作伙伴:中国科学院网络安全重点实验室)
|
中科网威
“
天眼
”
入侵侦测系统
|
|
9
|
北京冠群金辰科技有限公司
|
CA eTrust Intrusion Detection
|
|
10
|
北京清华紫光网联科技有限公司
|
UnisIDS
|
|
11
|
北京天融信网络安全技术有限公司
|
信息审计系统
|
|
12
|
北京东方龙马系统集成有限公司
|
东方龙马网络漏洞扫描系统
|
2005.10.25 于 北京中关村南大街 理工大厦12层