入侵检测技术设计
毕业论文(设计)
论文(设计)题目: 入侵检测系统设计
试点单位 市电大
学生姓名 罗佳 学号 061054030
专业 2006 届(秋) 本科 层次(本专科)
湖北广播电视大学印制
目 录
一、网络安全的概念 ........................................................................................... - 1 -
二、Internet的安全隐患主要体现在下列几方面: .......................................... - 1 -
三、网络安全防范的内容 ................................................................................... - 2 -
四、确保网络安全的主要技术 ........................................................................... - 2 -
五、入侵检测系统(IDS) ................................................................................. - 8 -
1、入侵检测的基本概念 ............................................................................... - 8 -
2、入侵检测系统的发展历史 ....................................................................... - 8 -
3、入侵检测系统的主要功能 ....................................................................... - 8 -
4、系统模型 ................................................................................................... - 9 -
5、IDS分类 .................................................................................................. - 10 -
6、入侵检测过程分析 ................................................................................. - 12 -
7、IDS如何部署 .......................................................................................... - 12 -
8、IDS部署实例 .......................................................................................... - 13 -
9、发展趋势 ................................................................................................. - 16 - 后 记 ................................................................................................................. - 17 -
内容摘要:入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图[参见国标GB/T18336)]。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。
索引关键词:入侵检测 设计
入侵检测系统IDS设计
21世纪全世界的计算机都将通过Internet联到一起,随着Internet的发展,网络丰富的信息资源给用户带来了极大的方便,但同时也给上网用户带来了安全问题。由于Internet的开放性和超越组织与国界等特点,使它在安全性上存在一些隐患。而且信息安全的内涵也发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
一、网络安全的概念
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
二、Internet的安全隐患主要体现在下列几方面:
1、Internet是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
2、Internet的数据传输是基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。
3、Internet上的通信业务多数使用Unix操作系统来支持,Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。
4、在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。
5、电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。
6、计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。
三、网络安全防范的内容
一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。
计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段,盗取密码侵入他人计算机网络,非法获得信息、盗用特权等,如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开,严防黑客入侵、切实保障网络交易的安全,不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。
四、确保网络安全的主要技术
1、防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。具体如下:
(1)包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(2)网络地址转化-NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
NAT的工作过程是:在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(3)代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器
必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
(4)监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
2.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。具体如下:
(1)对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。
(2)非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,
其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1{mod(p-1)(q-1)}
加密:c=me(modn),其中m为明文,c为密文。
解密:m=cd(modn)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
3、虚拟专用网技术
虚拟专用网(VirtualPrivateNetwork,VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务,乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。
虚拟专用网实际上就是将Internet看作一种公有数据网,这种公有网和PSTN网在数据传输上没有本质的区别,从用户观点来看,数据都被正确传送到了目的地。相对地,企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
(1)隧道技术
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装,传输和解包在内的全过程。
(2)加解密技术
对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
(3)密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
(4)使用者与设备身份认证技术
VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
VPN整合了范围广泛的用户,从家庭的拨号上网用户到办公室连网的工作站,直到ISP的Web服务器。用户类型、传输方法,以及由VPN使用的服务的混合性,增加了VPN设计的复杂性,同时也增加了网络安全的复杂性。如果能有效地采用VPN技术,是可以防止欺诈、增强访问控制和系统控制、加强保密和认证的。选择一个合适的VPN解决方案可以有效地防范网络黑客的恶意攻击。
4、安全隔离
网络的安全威胁和风险主要存在于三个方面:物理层、协议层和应用层。网络线路被恶意切断或过高电压导致通信中断,属于物理层的威胁;网络地址伪装、Teardrop碎片攻击、SYNFlood等则属于协议层的威胁;非法URL提交、网页恶意代码、邮件病毒等均属于应用层的攻击。从安全风险来看,基于物理层的攻击较少,基于网络层的攻击较多,而基于应用层的攻击最多,并且复杂多样,难以防范。
面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念――“安全隔离技术”应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网间信息的安全交换。
隔离概念的出现,是为了保护高安全度网络环境,隔离产品发展至今共经历了五代。 第一代隔离技术――完全的隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便第一代隔离技术――完全的隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。
第二代隔离技术――硬件卡隔离。在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。
第三代隔离技术――数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。
第四代隔离技――空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。
第五代隔离技术――安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有
效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
(1)隔离技术需具备的安全要点
要具有高度的自身安全性隔离产品要保证自身具有高度的安全性,至少在理论和实践上要比防火墙高一个安全级别。从技术实现上,除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换,如此,既便黑客攻破了外网系统,仍然无法控制内网系统,就达到了更高的安全级别。
要确保网络之间是隔离的保证网间隔离的关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。显然,只是对网间的包进行转发,并且允许建立端到端连接的防火墙,是没有任何隔离效果的。此外,那些只是把网络包转换为文本,交换到对方网络后,再把文本转换为网络包的产品也是没有做到隔离的。
要保证网间交换的只是应用数据既然要达到网络隔离,就必须做到彻底防范基于网络协议的攻击,即不能够让网络层的攻击包到达要保护的网络中,所以就必须进行协议分析,完成应用层数据的提取,然后进行数据交换,这样就把诸如TearDrop、Land、Smurf和SYNFlood等网络攻击包,彻底地阻挡在了可信网络之外,从而明显地增强了可信网络的安全性。
要对网间的访问进行严格的控制和检查作为一套适用于高安全度网络的安全设备,要确保每次数据交换都是可信的和可控制的,严格防止非法通道的出现,以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术,保证每一次数据交换过程都是可信的,并且内容是可控制的,可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。
要在坚持隔离的前提下保证网络畅通和应用透明隔离产品会部署在多种多样的复杂网络环境中,并且往往是数据交换的关键点,因此,产品要具有很高的处理性能,不能够成为网络交换的瓶颈,要有很好的稳定性;不能够出现时断时续的情况,要有很强的适应性,能够透明接入网络,并且透明支持多种应用。
(2)网络隔离的关键点
网络隔离的关键是在于系统对通信数据的控制,即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过访问控制、身份认证、加密签名等安全机制来实现,而这些机制的实现都是通过软件来实现的。
因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。而由于设计原理问题使得第三代和第四代
隔离产品在这方面很难突破,既便有所改进也必须付出巨大的成本,和“适度安全”理念相悖。
(3)隔离技术的未来发展方向
第五代隔离技术的出现,是在对市场上网络隔离产品和高安全度网需求的详细分析情况下产生的,它不仅很好地解决了第三代和第四代很难解决的速度瓶颈问题,并且先进的安全理念和设计思路,明显地提升了产品的安全功能,是一种创新的隔离防护手段。
隔离原理第五代隔离技术的实现原理是通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。
五、入侵检测系统(IDS)
1、入侵检测的基本概念
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图[参见国标GB/T18336)]。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。
2、入侵检测系统的发展历史
1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型-IDES(IntrusionDetectionExpertSystems入侵检测专家系统),是第一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。1989年,加州大学戴维斯分校的ToddHeberlein写了一篇论文《ANetworkSecurityMonitor》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。
3、入侵检测系统的主要功能
具体说来,入侵检测系统的主要功能有:
(1)监测并分析用户和系统的活动;
(2)核查系统配置和漏洞;
(3)评估系统关键资源和数据文件的完整性;
(4)识别已知的攻击行为;
(5)统计分析异常行为;
(6)操作系统日志管理,并识别违反安全策略的用户活动。
目前,随着IDS技术的逐渐成熟,在整个安全部署中的重要作用正在被广大用户所认可和接受。据赛迪顾问统计,2003年,中国入侵检测系统市场发展十分迅速,全年实现市场销售额2.75亿元,比2002年增长22.8%,在中国网络安全产品市场中拥有11.7%的份额。可以看出,IDS确实发挥了作用和效果,才会有这样巨大的市场需求。
为了确保网络安全,必须建立一整套的安全防护体系,进行多层次、多手段的检测和防护。ISS公司海外营业部执行安全顾问鄢晓华表示,IDS就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警。IDS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。IDS就是自动执行这种监视和分析过程的安全产品。
安氏公司首席技术官兼总工程师陈正表示,IDS的主要优势是监听网络流量,不会影响网络的性能。虽然在理论上,IDS对用户不是必需的,但它的存在确实减少了网络的威胁。有了IDS,就像在一个大楼里安装了监视器一样,可对整个大楼进行监视,用户感觉很踏实,用IDS对用户来说是很值得的。
入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用:通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生;检测其他安全措施未能阻止的攻击或安全违规行为;检测黑客在攻击前的探测行为,预先给管理员发出警报;报告计算机系统或网络中存在的安全威胁;提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补;在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。
启明星辰公司技术总监刘恒也认为,随着用户对IDS认识的加深,IDS在整个安全体系架构中的地位也在不断提高,正成为一种必不可少的安全产品,在实际使用中,发挥着越来越大的作用,就像交通灯、摄像头一样,对攻击者起到了一种威慑的作用,能够对入侵行为,特别是常规的入侵行为做很好的监测,对网络安全有一定的保护作用。
4、系统模型
为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,目前对IDS进行标准化工作的有两个组织:IETF的IntrusionDetectionWorkingGroup(IDWG)
和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,是一个开放组织。
CIDF阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Eventgenerators),用E盒表示;事件分析器(Eventanalyzers),用A盒表示;响应单元(Responseunits),用R盒表示;事件数据库(Eventdatabases),用D盒表示。
图1CIDF模型结构图
CIDF模型的结构如下:E盒通过传感器收集事件数据,并将信息传送给A盒,A盒检测误用模式;D盒存储来自A、E盒的数据,并为额外的分析提供信息;R盒从A、E盒中提取数据,D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO(generalizedIntrusiondetectionobjects,通用入侵检测对象)和
A、E、D及R盒之间实现互操作,需要对GIDO实现标准化并使用CISL。 CISL(commonintrusionspecificationlanguage,通用入侵规范语言)。如果想在不同种类的
5、IDS分类
一、按照检测类型划分
从技术上划分,入侵检测有两种检测模型:
(1)异常检测模型(AnomalyDetection):检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
(2)误用检测模型(MisuseDetection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
二、按照检测对象划分
一般来说,入侵检测系统可分为主机型和网络型。
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。
基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
不难看出,网络型IDS的优点主要是简便:一个网段上只需安装一个或几个这样的系统,便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用,不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及,这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。
而尽管主机型IDS的缺点显而易见:必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等,但是内在结构却没有任何束缚,同时可以利用操作系统本身提供的功能、并结合异常分析,更准确的报告攻击行为。
入侵检测系统的几个部件往往位于不同的主机上。一般来说会有三台机器,分别运行事件产生器、事件分析器和响应单元。在安装IDS的时候,关键是选择数据采集部分所在的位置,因为它决定了“事件”的可见度。
对于主机型IDS,其数据采集部分当然位于其所监测的主机上。
对于网络型IDS,其数据采集部分则有多种可能:
(1)如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可;
(2)对于交换式以太网交换机,问题则会变得复杂。由于交换机不采用共享媒质的办法,传统的采用一个snifter来监听整个子网的办法不再可行。可解决的办法有:
a.交换机的核心芯片上一般有一个用于调试的端口(spanport),任何其他端口的进出信息都可从此得到。如果交换机厂商把此端口开放出来,用户可将IDS系统接到此端口上。
优点:无需改变IDS体系结构。
缺点:采用此端口会降低交换机性能。
b.把入侵检测系统放在交换机内部或防火墙内部等数据流的关键入口、出口。
优点:可得到几乎所有关键数据。
缺点:必须与其他厂商紧密合作,且会降低网络性能。
c.采用分接器(Tap),将其接在所有要监测的线路上。
优点:再不降低网络性能的前提下收集了所需的信息。
缺点:必须购买额外的设备(Tap);若所保护的资源众多,IDS必须配备众多网络接口。
d.可能唯一在理论上没有限制的办法就是采用主机型IDS。
混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
6、入侵检测过程分析
过程分为三部分:信息收集、信息分析和结果处理。
(1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
7、IDS如何部署
防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用,是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析,保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无能为力。
同时,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。如果把防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机。陈正表示,在实际的部署中,IDS是并联在网络中,通过旁路监听的方式实时地监视网络中的流量,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警,不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说,IDS是网络安全的第二道闸门,是防火墙的必要补充,可构成完整的网络安全解决方案。
严格地说,IDS并不是一个防范工具,它并不能阻断攻击。只有防火墙才能限制非授权的访问,在一定程度上防止入侵行为。而IDS提供快速响应机制,报告入侵行为,意味着一种牵制政策。因此,四位厂商代表均表示,IDS可以与防火墙在功能上实现联动,进行很好地配合,将大大提高网络系统的安全性。当IDS检测到入侵行为发生,立即发出一个指令给防火墙,防火墙马上关闭通讯连接,从而阻断入侵。
目前,大部分的IDS产品基本上由入侵检测引擎和管理控制台组成,在具体应用时可以根据网络结构和需求做不同的部署。一般都部署在需要重点保护的部位,如企业内部重要服务器所在的子网,对该子网中的所有连接进行监控。根据网络的拓扑结构的不同,入侵检测系统的监听端口可以接在共享媒质的集线器或交换机的镜像端口(SpanPort上、或专为监听所增设的分接器(Tap上。如图所示。
IDS拓扑结构图
8、IDS部署实例
RealSecure的部署图
上图为RealSecure的部署图,RealSecure是一种混合型的入侵检测系统,提供基于网络和基于主机的实时入侵检测。其控制台运行在Windows2000上。RealSecure的传感器是自治的,能被许多控制台控制。各部分的功能如下:
(1)ReaISecure控制台:对多台网络传感器和服务器代理进行管理;对被管理传感器进行远程的配置和控制;各个监控器发现的安全事件实时地报告控制台。
(2)NetworkSensor(网络引擎):对网络进行监听并自动对可疑行为进行响应,最大程度保护网络安全;运行在特定的主机上,监听并解析所有的网络信息,及时发现具有攻击特征的信息包;检测本地网段,查找每一数据包内隐藏的恶意入侵,对发现的入侵做出及时的响应。当检测到攻击时,网络引擎能即刻做出响应,进行告警/通知(向控制台告警、向安全管理员发E-mail、SNMPtrap、查看实时会话和通报其他控制台),记录现场(记录事件日志及整个会话),采取安全响应行动(终止入侵连接、调整网络设备配置,如防火墙、执行特定的用户响应程序)。
(3)ServerSensor(服务器代理,安装在各个服务器上):对主机的核心级事件、系统日志以及网络活动实现实时入侵检测;具有包拦截、智能报警以及阻塞通信的能力,能够在入侵到达操作系统或应用之前主动阻止入侵;自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。
第四章存在的问题
尽管有众多的商业产品出现,与诸如防火墙等技术高度成熟的产品相比,入侵检测系统还存在相当多的问题。这一章我们便要讨论一下对其进行威胁的主要因素,值得注意的是,这些问题大多是目前入侵检测系统的结构所难以克服的(包括waRcher),而且这些矛盾可能越来越尖锐。
以下便是对入侵检测产品提出挑战的主要因素[3]:
(1)攻击者不断增加的知识,日趋成熟多样自动化工具,以及越来越复杂细致的攻击手法。
下图是CERT每年处理的安全事件(纵坐标)的统计:不难看出,安全问题正日渐突出,尤其是2000年初出现了对诸如Yahoo,eBay等著名ICP的攻击事件。IDS必须不断跟踪最新的安全技术,才能不致被攻击者远远超越。
(2)恶意信息采用加密的方法传输。
网络入侵检测系统通过匹配网络数据包发现攻击行为,IDS往往假设攻击信息是通过明文传输的,因此对信息的稍加改变便可能骗过IDS的检测。TFN现在便已经通过加密的方法传输控制信息。还有许多系统通过VPN(虚拟专用网)进行网络之间的互联,如果IDS不了解其所用的隧道机制,会出现大量的误报和漏报。
(3)必须协调、适应多样性的环境中的不同的安全策略。
网络及其中的设备越来越多样化,即存在关键资源如邮件服务器、企业数据库,也存在众多相对不是很重要的PC机。不同企业之间这种情况也往往不尽相同。IDS要能有所定制以更适应多样的环境要求。
(4)不断增大的网络流量。
用户往往要求IDS尽可能快的报警,因此需要对获得的数据进行实时的分析,这导致对所在系统的要求越来越高,商业产品一般都建议采用当前最好的硬件环境(如NFR5.0要求主频最少700以上的机器)。尽管如此,对百兆以上的流量,单一的IDS系统仍很难应付。可以想见,随着网络流量的进一步加大(许多大型ICP目前都有数百兆的带宽),对IDS将提出更大的挑战,在PC机上运行纯软件系统的方式需要突破。
(5)广泛接受的术语和概念框架的缺乏。
入侵检测系统的厂家基本处于各自为战的情况,标准的缺乏使得其间的互通几乎不可能。
(6)不断变化的入侵检测市场给购买、维护IDS造成的困难。
入侵检测系统是一项新生事物,随着技术水平的上升和对新攻击的识别的增加,IDS需要不断的升级才能保证网络的安全性,而不同厂家之间的产品在升级周期、升级手段上均有很大差别。因此用户在购买时很难做出决定,同时维护时也往处于很被动的局面。
(7)采用不恰当的自动反应所造成的风险。
入侵检测系统可以很容易的与防火墙结合,当发现有攻击行为时,过滤掉所有来自攻击者的IP的数据。但是,不恰当的反应很容易带来新的问题,一个典型的例子便是:攻击者假冒大量不同的IP进行模拟攻击,而IDS系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是形成了新的拒绝访问攻击(DOS)。
(8)对IDS自身的攻击。
和其他系统一样,IDS本身也往往存在安全漏洞。如果查询bugtraq的邮件列表,诸如AxentNetProwler,NFR,ISSRealsecure等知名产品都有漏洞被发觉出来。若对IDS攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。(这也是为什么安全防卫必须多样化的原因之一。)
(9)大量的误报和漏报使得发现问题的真正所在非常困难。
采用当前的技术及模型,完美的入侵检测系统无法实现。
IDS必须清楚的了解所有操作系统网络协议的运作情况,甚至细节,才能准确的进行分析,否则[1]中提到的insertion,evasion的问题便无法解决。而不同操作系统之间,甚至同一操作系统的不同版本之间对协议处理的细节均有所不同。而力求全面则必然违背IDS高效工作的原则。
(10)客观的评估与测试信息的缺乏。
(11)交换式局域网造成网络数据流的可见性下降,同时更快的网络使数据的实时分析越发困难。
9、发展趋势
对分析技术加以改进:采用当前的分析技术和模型,会产生大量的误报和漏报,难以确定真正的入侵行为。采用协议分析和行为分析等新的分析技术后,可极大地提高检测效率和准确性,从而对真正的攻击做出反应。协议分析是目前最先进的检测技术,通过对数据包进行结构化协议分析来识别入侵企图和行为,这种技术比模式匹配检测效率更高,并能对一些未知的攻击特征进行识别,具有一定的免疫功能;行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生、攻击行为是否生效,是入侵检测技术发展的趋势。
增进对大流量网络的处理能力:随着网络流量的不断增长,对获得的数据进行实时分析的难度加大,这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。
向高度可集成性发展:集成网络监控和网络管理的相关功能。入侵检测可以检测网络中的数据包,当发现某台设备出现问题时,可立即对该设备进行相应的管理。未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。
后 记
未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理,其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题,但正如攻击技术不断发展一样,入侵的检测也会不断更新、成熟。同时,正如本文一开始便提到的,网络安全需要纵深的、多样的防护。即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
IPS(入侵防御系统)的出现,应该说是IDS技术的一种新发展趋势,IPS技术在IDS监测的功能上又增加了主动响应的功能,一旦发现有攻击行为,立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中,其功能示意图如图所示。
入侵检测是一门综合性技术,既包括实时检测技术,也有事后分析技术。尽管用户希望通过部署IDS来增强网络安全,但不同的用户需求也不同,也由于攻击的天然不确定性,单一的IDS产品可能无法做到面面俱到。因此,IDS的未来发展必然是多元化的。只有通过不断改进和完善技术才能更好地协助网络进行安全防御。
就目前来看,IDS仍旧是主流的入侵检测技术,其重要性毋庸置疑。无论是IDS,还是IPS或IMS,其主要作用都是实时监控网络中的异常流量,帮助用户解决防火墙、防病毒等产品所不能解决的问题,IDS仍然是用户除防火墙、防病毒外的首选产品。面对攻击行为的不确定性,要保证网络的安全,用户需要实时监控,全网监测的时代已经来临。