网络入侵检测系统(IDS)漫谈

随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。

IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。

伴随着计算机网络技术和互联网的飞速发展,网络攻击和入侵事件与日俱增,特别是近两年,政府部门、军事机构、金融机构、企业的计算机网络频遭黑客袭击。攻击者可以从容地对那些没有安全保护的网络进行攻击和入侵,如进行拒绝服务攻击、从事非授权的访问、肆意窃取和篡改重要的数据信息、安装后门监听程序以便随时获得内部信息、传播计算机病毒、摧毁主机等等。攻击和入侵事件给这些机构和企业带来了巨大的经济损失和形象的损害,甚至直接威胁到国家的安全。

一、存在的问题

攻击者为什么能够对网络进行攻击和入侵呢?原因在于,我们的计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置,主要表现在操作系统、网络服务、TCP/IP协议、应用程序(如数据库、浏览器等)、网络设备等几个方面。

正是这些弱点、漏洞和不安全设置给攻击者以可乘之机。另外,由于大部分网络缺少预警防护机制,即使攻击者已经侵入到内部网络,侵入到关键的主机,并从事非法的操作,我们的网管人员也很难察觉到。这样,攻击者就有足够的时间来做他们想做的任何事情。

那么,我们如何防止和避免遭受攻击和入侵呢?首先要找出网络中存在的安全弱点、漏洞和不安全的配置;然后采用相应措施堵塞这些弱点、漏洞,对不安全的配置进行修正,最大限度地避免遭受攻击和入侵;同时,对网络活动进行实时监测,一旦监测到攻击行为或违规操作,能够及时做出反应,包括记录日志、报警甚至阻断非法连接。

IDS的出现,解决了以上的问题。设置硬件防火墙,可以提高网络的通过能力并阻挡一般性的攻击行为;而采用IDS入侵防护系统,则可以对越过防火墙的攻击行为以及来自网络内部的违规操作进行监测和响应。 

二、IDS日显重要

目前,随着IDS技术的逐渐成熟,在整个安全部署中的重要作用正在被广大用户所认可和接受。为了确保网络安全,必须建立一整套的安全防护体系,进行多层次、多手段的检测和防护。

IDS就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警。IDS是继"防火墙"、"信息加密"等传统安全保护方法之后的新一代安全保障技术。

它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。IDS就是自动执行这种监视和分析过程的安全产品。

IDS的主要优势是监听网络流量,不会影响网络的性能。虽然在理论上,IDS对用户不是必需的,但它的存在确实减少了网络的威胁。有了IDS,就像在一个大楼里安装了监视器一样,可对整个大楼进行监视,用户感觉很踏实,用IDS对用户来说是很值得的。

入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用:通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生;检测其他安全措施未能阻止的攻击或安全违规行为;检测黑客在攻击前的探测行为,预先给管理员发出警报;报告计算机系统或网络中存在的安全威胁;提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补;在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。  

随着用户对IDS认识的加深,IDS在整个安全体系架构中的地位也在不断提高,正成为一种必不可少的安全产品,在实际使用中,发挥着越来越大的作用,就像交通灯、摄像头一样,对攻击者起到了一种威慑的作用,能够对入侵行为,特别是常规的入侵行为做很好的监测,对网络安全有一定的保护作用。

三、IDS是什么

在本质上,入侵检测系统是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。

IDS处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报告以及响应阶段等四个阶段。数据采集阶段是数据审核阶段。入侵检测系统收集目标系统中引擎提供的主机通讯数据包和系统使用等情况。

数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。分析及检测入侵阶段通过分析上一阶段提供的数据来判断是否发生入侵。这一阶段是整个入侵检测系统的核心阶段,根据系统是以检测异常使用为目的还是以检测利用系统的脆弱点或应用程序的BUG来进行入侵为目的,可以区分为异常行为和错误使用检测。

报告及响应阶段针对上一个阶段中进行的判断做出响应。如果被判断为发生入侵,系统将对其采取相应的响应措施,或者通知管理人员发生入侵,以便于采取措施。最近人们对入侵检测以及响应的要求日益增加,特别是对其跟踪功能的要求越来越强烈。

目前,IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。

特征库匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。  

该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。

统计分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的账户却在凌晨两点试图登录,或者针对某一特定站点的数据流量异常增大等。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。

完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),能识别极其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其他对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。

四、IDS如何部署

防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用,是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析,保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无能为力。

同时,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。如果把防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机。

在实际的部署中,IDS是并联在网络中,通过旁路监听的方式实时地监视网络中的流量,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警,不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说,IDS是网络安全的第二道闸门,是防火墙的必要补充,可构成完整的网络安全解决方案。

严格地说,IDS并不是一个防范工具,它并不能阻断攻击。只有防火墙才能限制非授权的访问,在一定程度上防止入侵行为。而IDS提供快速响应机制,报告入侵行为,意味着一种牵制政策。IDS可以与防火墙在功能上实现联动,进行很好地配合,将大大提高网络系统的安全性。当IDS检测到入侵行为发生,立即发出一个指令给防火墙,防火墙马上关闭通讯连接,从而阻断入侵。

目前,大部分的IDS产品基本上由入侵检测引擎和管理控制台组成,在具体应用时可以根据网络结构和需求做不同的部署。一般都部署在需要重点保护的部位,如企业内部重要服务器所在的子网,对该子网中的所有连接进行监控。根据网络的拓扑结构的不同,入侵检测系统的监听端口可以接在共享媒质的集线器或交换机的镜像端口(SpanPort)上、或专为监听所增设的分接器(Tap)上。

五、IDS发展新趋势

IDS作为网络安全架构中的重要一环,其重要地位有目共睹。随着技术的不断完善和更新,IDS正呈现出新的发展态势。IPS(入侵防御系统)的出现,应该说是IDS技术的一种新发展趋势, IPS技术在IDS监测的功能上又增加了主动响应的功能,一旦发现有攻击行为,立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中。

除了IPS,也有厂商提出了IMS(入侵管理系统)。IDS将来的方向是向一个管理系统发展,而不是一个单纯的监测系统。IDS必须和脆弱性分析有机结合,才能让IDS的功能更加强大。因此,IMS是IDS未来的一个发展方向。  

IMS技术是一个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。

可以看出,IMS技术实际上包含了IDS、IPS的功能,并通过一个统一的平台进行统一管理,从系统的层次来解决入侵行为。

入侵检测是一门综合性技术,既包括实时检测技术,也有事后分析技术。尽管用户希望通过部署IDS来增强网络安全,但不同的用户需求也不同,也由于攻击的天然不确定性,单一的IDS产品可能无法做到面面俱到。因此,IDS的未来发展必然是多元化的。只有通过不断改进和完善技术才能更好地协助网络进行安全防御。

就目前来看,IDS仍旧是主流的入侵检测技术,其重要性毋庸置疑。无论是IDS,还是IPS或IMS,其主要作用都是实时监控网络中的异常流量,帮助用户解决防火墙、防病毒等产品所不能解决的问题,IDS仍然是用户除防火墙、防病毒外的首选产品。面对攻击行为的不确定性,要保证网络的安全,用户需要实时监控,全网监测的时代已经来临。