四項(xiàng)下一代入侵檢測(cè)關(guān)鍵技術(shù)分析

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

　　在過(guò)去的20年里，網(wǎng)絡(luò)技術(shù)在不斷發(fā)展，攻擊者水平在不斷提高，攻擊工具與攻擊手法日趨復(fù)雜多樣，特別是以黑客為代表的攻擊者對(duì)網(wǎng)絡(luò)的威脅日益突出，他們正不遺余力地與所有安全產(chǎn)品進(jìn)行著斗爭(zhēng)。攻擊技術(shù)和手段的不斷發(fā)展促使IDS等網(wǎng)絡(luò)安全產(chǎn)品不斷更新?lián)Q代，使得IDS產(chǎn)品從一個(gè)簡(jiǎn)單機(jī)械的產(chǎn)品發(fā)展成為智能化的產(chǎn)品。

　　一、目前IDS存在的缺陷

　　入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，有很多地方值得我們進(jìn)一步深入研究。目前的IDS還存在很多問(wèn)題，有待于我們進(jìn)一步完善。

　　1.高誤警(誤報(bào))率

　　誤警的傳統(tǒng)定義是將良性流量誤認(rèn)為惡性的。廣義上講，誤警還包括對(duì)IDS用戶不關(guān)心事件的告警。因此，導(dǎo)致IDS產(chǎn)品高誤警率的原因是IDS檢測(cè)精度過(guò)低以及用戶對(duì)誤警概念的拓展。

　　2.產(chǎn)品適應(yīng)能力低

　　傳統(tǒng)的IDS產(chǎn)品在開發(fā)時(shí)沒(méi)有考慮特定網(wǎng)絡(luò)環(huán)境的需求，千篇一律。網(wǎng)絡(luò)技術(shù)在發(fā)展，網(wǎng)絡(luò)設(shè)備變得復(fù)雜化、多樣化，這就需要入侵檢測(cè)產(chǎn)品能動(dòng)態(tài)調(diào)整，以適應(yīng)不同環(huán)境的需求。

　　3.大型網(wǎng)絡(luò)的管理問(wèn)題

　　很多企業(yè)規(guī)模在不斷擴(kuò)大，對(duì)IDS產(chǎn)品的部署從單點(diǎn)發(fā)展到跨區(qū)域全球部署，這就將公司對(duì)產(chǎn)品管理的問(wèn)題提上日程。首先，要確保新的產(chǎn)品體系結(jié)構(gòu)能夠支持?jǐn)?shù)以百計(jì)的IDS傳感器；其次，要能夠處理傳感器產(chǎn)生的告警事件；此外，還要解決攻擊特征庫(kù)的建立，配置以及更新問(wèn)題。

　　4.缺少防御功能

　　檢測(cè)，作為一種被動(dòng)且功能有限的技術(shù)，缺乏主動(dòng)防御功能。因此，需要在下一代IDS產(chǎn)品中嵌入防御功能，才能變被動(dòng)為主動(dòng)。

　　5.評(píng)價(jià)IDS產(chǎn)品沒(méi)有統(tǒng)一標(biāo)準(zhǔn)

　　對(duì)入侵檢測(cè)系統(tǒng)的評(píng)價(jià)目前還沒(méi)有客觀的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的不統(tǒng)一使得入侵檢測(cè)系統(tǒng)之間不易互聯(lián)。隨著技術(shù)的發(fā)展和對(duì)新攻擊識(shí)別的增加，入侵檢測(cè)系統(tǒng)需要不斷升級(jí)才能保證網(wǎng)絡(luò)的安全性。

　　6.處理速度上的瓶頸

　　隨著高速網(wǎng)絡(luò)技術(shù)如ATM、千兆以太網(wǎng)等的相繼出現(xiàn)，如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)是急需解決的問(wèn)題。目前的百兆、千兆IDS產(chǎn)品的性能指標(biāo)與實(shí)際要求還存在很大的差距。

　　二、下一代IDS系統(tǒng)采用的技術(shù)

　　為了降低誤警率、合理部署多級(jí)傳感器、有效控制跨區(qū)域的傳感器，下一代入侵檢測(cè)產(chǎn)品需要包含以下關(guān)鍵技術(shù)。

　　1.智能關(guān)聯(lián)

　　智能關(guān)聯(lián)是將企業(yè)相關(guān)系統(tǒng)的信息(如主機(jī)特征信息)與網(wǎng)絡(luò)IDS檢測(cè)結(jié)構(gòu)相融合，從而減少誤警。如系統(tǒng)的脆弱性信息需要包括特定的操作系統(tǒng)(OS)以及主機(jī)上運(yùn)行的服務(wù)。當(dāng)IDS使用智能關(guān)聯(lián)時(shí)，它可以參考目標(biāo)主機(jī)上存在的、與脆弱性相關(guān)的所有告警信息。如果目標(biāo)主機(jī)不存在某個(gè)攻擊可以利用的漏洞，IDS將抑制告警的產(chǎn)生。

　　智能關(guān)聯(lián)包括主動(dòng)關(guān)聯(lián)和被動(dòng)關(guān)聯(lián)。主動(dòng)關(guān)聯(lián)是通過(guò)掃描確定主機(jī)漏洞；被動(dòng)關(guān)聯(lián)是借助操作系統(tǒng)的指紋識(shí)別技術(shù)，即通過(guò)分析IP、TCP報(bào)頭信息識(shí)別主機(jī)上的操作系統(tǒng)。下面將詳細(xì)介紹指紋識(shí)別技術(shù)。

　　(1)IDS有時(shí)會(huì)出現(xiàn)誤報(bào)(主機(jī)系統(tǒng)本身并不存在某種漏洞，而IDS報(bào)告系統(tǒng)存在該漏洞)

　　造成這種現(xiàn)象的原因是當(dāng)IDS檢測(cè)系統(tǒng)是否受到基于某種漏洞的攻擊時(shí)，沒(méi)有考慮主機(jī)的脆弱性信息。以針對(duì)Windows操作系統(tǒng)的RPC攻擊為例，當(dāng)網(wǎng)絡(luò)中存在RPC攻擊時(shí)，即使該網(wǎng)絡(luò)中只有基于Linux的機(jī)器，IDS也會(huì)產(chǎn)生告警，這就是一種誤報(bào)現(xiàn)象。為了解決這個(gè)問(wèn)題，需要給IDS提供一種基于主機(jī)信息的報(bào)警機(jī)制。因此新一代IDS產(chǎn)品利用被動(dòng)指紋識(shí)別技術(shù)構(gòu)造一個(gè)主機(jī)信息庫(kù)，該技術(shù)通過(guò)對(duì)TCP、IP報(bào)頭中相關(guān)字段進(jìn)行識(shí)別來(lái)確定操作系統(tǒng)(OS)類型。

　　(2)被動(dòng)指紋識(shí)別技術(shù)的工作原理

　　被動(dòng)指紋識(shí)別技術(shù)的實(shí)質(zhì)是匹配分析法。匹配雙方一個(gè)是來(lái)自源主機(jī)數(shù)據(jù)流中的TCP、IP報(bào)頭信息，另一個(gè)是特征數(shù)據(jù)庫(kù)中的目標(biāo)主機(jī)信息，通過(guò)將兩者做匹配來(lái)識(shí)別源主機(jī)發(fā)送的數(shù)據(jù)流中是否含有惡意信息。通常比較的報(bào)頭信息包括窗口大小(Windowsize)、數(shù)據(jù)報(bào)存活期(TTL)、DF(don'tfragment)標(biāo)志以及數(shù)據(jù)報(bào)長(zhǎng)(Totallength)。

　　窗口大小(wsize)指輸入數(shù)據(jù)緩沖區(qū)大小，它在TCP會(huì)話的初始階段由OS設(shè)定。多數(shù)UNIX操作系統(tǒng)在TCP會(huì)話期間不改變它的值，而在Windows操作系統(tǒng)中有可能改變。

　　數(shù)據(jù)報(bào)存活期指數(shù)據(jù)報(bào)在被丟棄前經(jīng)過(guò)的跳數(shù)(hop)；不同的TTL值代表不同的OS，TTL=64，OS=UNIX；TTL=12，OS=Windows。

　　DF字段通常設(shè)為默認(rèn)值，而OpenBSD不對(duì)它進(jìn)行設(shè)置。

　　數(shù)據(jù)報(bào)長(zhǎng)是IP報(bào)頭和負(fù)載(Payload)長(zhǎng)度之和。在SYN和SYNACK數(shù)據(jù)報(bào)中，不同的數(shù)據(jù)報(bào)長(zhǎng)代表不同的操作系統(tǒng)，60代表Linux、44代表Solaris、48代表Windows2000。

　　IDS將上述參數(shù)合理組合作為主機(jī)特征庫(kù)中的特征(稱為指紋)來(lái)識(shí)別不同的操作系統(tǒng)。如TTL=64，初步判斷OS=Linux/OpenBSD；如果再給定wsize的值就可以區(qū)分是Linux還是OpenBSD。因此，(TTL，wsize)就可以作為特征庫(kù)中的一個(gè)特征信息。

具有指紋識(shí)別技術(shù)的IDS系統(tǒng)通過(guò)收集目標(biāo)主機(jī)信息，判斷主機(jī)是否易受到針對(duì)某種漏洞的攻擊，從而降低誤報(bào)率。它的工作流程如圖1所示。

　　<1>指紋識(shí)別引擎檢查SYN報(bào)頭，提取特定標(biāo)識(shí)符；

　　<2>從特征庫(kù)中提取目標(biāo)主機(jī)上的操作系統(tǒng)信息；

　　<3>更新主機(jī)信息表；

　　<4>傳感器檢測(cè)到帶有惡意信息的數(shù)據(jù)報(bào)，在發(fā)出警告前先與主機(jī)信息表中的內(nèi)容進(jìn)行比較；

　　<5>傳感器發(fā)現(xiàn)該惡意數(shù)據(jù)報(bào)是針對(duì)Windows服務(wù)器的，而目標(biāo)主機(jī)是Linux服務(wù)器，所以IDS將抑制該告警的產(chǎn)生。

　　圖1 被動(dòng)指紋識(shí)別技術(shù)工作流程

　　因此，當(dāng)IDS檢測(cè)到攻擊數(shù)據(jù)包時(shí)，首先查看主機(jī)信息表，判斷目標(biāo)主機(jī)是否存在該攻擊可利用的漏洞；如果不存在該漏洞，IDS將抑制告警的產(chǎn)生，但要記錄關(guān)于該漏洞的告警信息作為追究法律責(zé)任的證據(jù)。這種做法能夠使安全管理員專心處理由于系統(tǒng)漏洞產(chǎn)生的告警。一些IDS經(jīng)銷商已經(jīng)把OS指紋識(shí)別的概念擴(kuò)展到應(yīng)用程序指紋識(shí)別，甚至到更廣泛的用途上。

　　2.告警泛濫抑制

　　IDS產(chǎn)品使用告警泛濫抑制技術(shù)可以降低誤警率。在利用漏洞的攻擊勢(shì)頭逐漸變強(qiáng)之時(shí)，IDS短時(shí)間內(nèi)會(huì)產(chǎn)生大量的告警信息；而IDS傳感器卻要對(duì)同一攻擊重復(fù)記錄，尤其是蠕蟲在網(wǎng)絡(luò)中自我繁殖的過(guò)程中，這種現(xiàn)象最為嚴(yán)重。NFR(一家網(wǎng)絡(luò)安全公司)稱這種現(xiàn)象為“告警飽和”。

　　所謂“告警泛濫”是指短時(shí)間內(nèi)產(chǎn)生的關(guān)于同一攻擊的告警。下一代IDS產(chǎn)品利用一些規(guī)則(規(guī)則的制定需要考慮傳感器)篩選產(chǎn)生的告警信息來(lái)抑制告警泛濫；IDS可根據(jù)用戶需求減少或抑制短時(shí)間內(nèi)同一傳感器針對(duì)某個(gè)流量產(chǎn)生的重復(fù)告警。這樣，網(wǎng)管人員可以專注于公司網(wǎng)絡(luò)的安全狀況，不至于為泛濫的告警信息大傷腦筋。告警泛濫抑制技術(shù)是將一些規(guī)則或參數(shù)(包括警告類型、源IP、目的IP以及時(shí)間窗大小)融入到IDS傳感器中，使傳感器能夠識(shí)別告警飽和現(xiàn)象并實(shí)施抑制操作。有了這種技術(shù)，傳感器可以在告警前對(duì)警報(bào)進(jìn)行預(yù)處理，抑制重復(fù)告警。例如，可以對(duì)傳感器進(jìn)行適當(dāng)配置，使它忽略在30秒內(nèi)產(chǎn)生的針對(duì)同一主機(jī)的告警信息；IDS在抑制告警的同時(shí)可以記錄這些重復(fù)警告用于事后的統(tǒng)計(jì)分析。

　　3.告警融合

　　該技術(shù)是將不同傳感器產(chǎn)生的、具有相關(guān)性的低級(jí)別告警融合成更高級(jí)別的警告信息，這有助于解決誤報(bào)和漏報(bào)問(wèn)題。

　　當(dāng)與低級(jí)別警告有關(guān)的條件或規(guī)則滿足時(shí)，安全管理員在IDS上定義的元告警相關(guān)性規(guī)

　　則就會(huì)促使高級(jí)別警告產(chǎn)生。如掃描主機(jī)事件，如果單獨(dú)考慮每次掃描，可能認(rèn)為每次掃描都是獨(dú)立的事件，而且對(duì)系統(tǒng)的影響可以忽略不計(jì)；但是，如果把在短時(shí)間內(nèi)產(chǎn)生的一系列事件整合考慮，會(huì)有不同的結(jié)論。IDS在10min內(nèi)檢測(cè)到來(lái)自于同一IP的掃描事件，而且掃描強(qiáng)度在不斷升級(jí)，安全管理人員可以認(rèn)為是攻擊前的滲透操作，應(yīng)該作為高級(jí)別告警對(duì)待。這個(gè)例子告訴我們告警融合技術(shù)可以發(fā)出早期攻擊警告，如果沒(méi)有這種技術(shù)，需要安全管理員來(lái)判斷一系列低級(jí)別告警是否是隨后更高級(jí)別攻擊的先兆；而通過(guò)設(shè)置元警告相關(guān)性規(guī)則，安全管理員可以把精力都集中在高級(jí)別警告的處理上。

　　元警告相關(guān)性規(guī)則中定義的參數(shù)包括時(shí)間窗、事件數(shù)量、事件類型IP地址、端口號(hào)、事件順序。

　　4.可信任防御模型

　　改進(jìn)的IDS中應(yīng)該包含可信任防御模型的概念。事實(shí)上，2004年多數(shù)傳統(tǒng)的IDS供應(yīng)商已經(jīng)逐漸地把防御功能加入到IDS產(chǎn)品中。與此同時(shí)，IPS(入侵防御系統(tǒng))產(chǎn)品的使用率在增長(zhǎng)，但是安全人士仍然為IDS產(chǎn)品預(yù)留了實(shí)現(xiàn)防御功能的空間。IDS產(chǎn)品供應(yīng)商之所以這樣做，部分原因在于他們認(rèn)識(shí)到防御功能能否有效地實(shí)施關(guān)鍵在于檢測(cè)功能的準(zhǔn)確性和有效性。沒(méi)有精確的檢測(cè)就談不上建立可信任的防御模型；所以，開發(fā)出好的內(nèi)嵌防御功能的IDS產(chǎn)品關(guān)鍵在于提高檢測(cè)的精確度。

　　下一代IDS產(chǎn)品中，融入可信任防御模型后，將會(huì)對(duì)第一代IPS產(chǎn)品遇到的問(wèn)題(誤報(bào)導(dǎo)致合法數(shù)據(jù)被阻塞、丟棄；自身原因造成的拒絕服務(wù)攻擊泛濫；應(yīng)用級(jí)防御)有個(gè)圓滿的解決。

　　可信任防御模型中采用的機(jī)制：

　　(1)信任指數(shù)：IDS為每個(gè)告警賦予一個(gè)可信值，即在IDS正確評(píng)估攻擊/威脅后對(duì)是否發(fā)出告警的自我確信度。如對(duì)于已知的SQLSlammer攻擊，IDS在分析數(shù)據(jù)流中的數(shù)據(jù)報(bào)類型和大小后，以高確信度斷定數(shù)據(jù)流包含SQLSlammer流量。因?yàn)檫@種攻擊使用UDP，數(shù)據(jù)報(bào)大小為376，所用端口為1434；有了這樣的數(shù)據(jù)，IDS會(huì)為相應(yīng)的告警賦予高信任指數(shù)。

　　(2)拒絕服務(wù)攻擊(DOS)：攻擊者可能冒充內(nèi)網(wǎng)IP(如郵件服務(wù)器IP)進(jìn)行欺騙攻擊，傳統(tǒng)防御系統(tǒng)將會(huì)拒絕所有來(lái)自郵件服務(wù)器的流量，導(dǎo)致網(wǎng)內(nèi)機(jī)器不能接受外部發(fā)來(lái)的郵件，下一代IDS產(chǎn)品能夠識(shí)別這種自發(fā)的DOS情形，并且降低發(fā)生概率。

　　(3)應(yīng)用級(jí)攻擊：這是一種針對(duì)被保護(hù)力度低的應(yīng)用程序(如即時(shí)通信工具、VoIP等)發(fā)起的攻擊，攻擊造成的后果非常嚴(yán)重。下一代IDS產(chǎn)品提供深度覆蓋技術(shù)來(lái)保護(hù)脆弱的應(yīng)用程序免遭攻擊。

　　綜上所述，下一代IDS技術(shù)有效地解決IDS的高誤報(bào)率、高漏報(bào)率以及無(wú)主動(dòng)防御功能的問(wèn)題。對(duì)于如何提高入侵檢測(cè)系統(tǒng)的檢測(cè)速度，以適應(yīng)高速網(wǎng)絡(luò)通信的要求，一些廠商也提出了相應(yīng)的實(shí)現(xiàn)技術(shù)。今后，我們需要做的將是如何將這些技術(shù)有效的融合在入侵檢測(cè)系統(tǒng)中，形成一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，并且能夠做到與其他網(wǎng)絡(luò)安全設(shè)備協(xié)同工作，提高整個(gè)系統(tǒng)的安全性能。 (互聯(lián)網(wǎng)技術(shù)在線)