id

入侵檢測

入侵檢測(Intrusion Detection),顧名思義,就是對入侵行為的發覺。他通過對計算機網路或計算機系統中若干關鍵點收集信息並對其進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。

基本簡介


入侵檢測圖片(1)
入侵檢測圖片(1)
入侵檢測(Intrusion Detection)是對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計 數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現:監視、分析用戶及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式並向相關人士報警;異常行為模式的統計分析;評估重要系統和數據文件的完整性;操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為。
入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程序、文件和硬體設備等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網路連接、記錄事件和報警等。

分類情況


入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

特徵檢測

特徵檢測(Signature-based detection) 又稱Misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。

異常檢測

異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計演演算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

入侵分類


1)基於主機

一般主要使用操作系統的審計、跟蹤日誌作為數據源,某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。這種類型的檢測系統不需要額外的硬體.對網路流量不敏感,效率高,能準確定位入侵併及時進行反應,但是佔用主機資源,依賴於主機的可靠性,所能檢測的攻擊類型受限。不能檢測網路攻擊。

2)基於網路

通過被動地監聽網路上傳輸的原始流量,對獲取的網路數據進行處理,從中提取有用的信息,再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。此類檢測系統不依賴操作系統作為檢測資源,可應用於不同的操作系統平台;配置簡單,不需要任何特殊的審計和登錄機制;可檢測協議攻擊、特定環境的攻擊等多種攻擊。但它只能監視經過本網段的活動,無法得到主機系統的實時狀態,精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統.

3)分散式

這種入侵檢測系統一般為分散式結構,由多個部件組成,在關鍵主機上採用主機入侵檢測,在網路關鍵節點上採用網路入侵檢測,同時分析來自主機系統的審計日誌和來自網路的數據流,判斷被保護系統是否受到攻擊。

工作步驟


對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程序、文件和硬體設備等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網路連接、記錄事件和報警等。

常用術語


隨著IDS(入侵檢測系統)的超速發展,與之相關的術語同樣急劇演變。本文向大家介紹一些IDS技術術語,其中一些是非常基本並相對通用的,而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力,不同的產商可能會用同一個術語表示不同的意義,從而導致某些術語的確切意義出現了混亂。對此,本文會試圖將所有的術語都囊括進來。

Alerts

(警報)
當一個入侵正在發生或者試圖發生時,IDS系統將發布一個alert信息通知系統管理員。如果控制台與IDS系統同在一台機器,alert信息將顯示在監視器上,也可能伴隨著聲音提示。如果是遠程控制台,那麼alert將通過IDS系統內置方法(通常是加密的)、SNMP(簡單網路管理協議,通常不加密)、email、SMS(簡訊息)或者以上幾種方法的混合方式傳遞給管理員。

Anomaly

(異常)
入侵檢測圖片(2)
入侵檢測圖片(2)
當有某個事件與一個已知攻擊的信號相匹配時,多數IDS都會告警。一個基於anomaly(異常)的IDS會構造一個當時活動的主機或網路的大致輪廓,當有一個在這個輪廓以外的事件發生時,IDS就會告警,例如有人做了以前他沒有做過的事情的時候,例如,一個用戶突然獲取了管理員或根目錄的許可權。有些IDS廠商將此方法看做啟髮式功能,但一個啟髮式的IDS應該在其推理判斷方面具有更多的智能。

Appliance

(IDS硬體)
除了那些要安裝到現有系統上去的IDS軟體外,在市場的貨架上還可以買到一些現成的IDS硬體,只需將它們接入網路中就可以應用。一些可用IDS硬體包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。

ArachNIDS

ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫,它是動態更新的,適用於多種基於網路的入侵檢測系統。
ARIS:Attack Registry & Intelligence Service(攻擊事件註冊及智能服務)
ARIS是SecurityFocus公司提供的一個附加服務,它允許用戶以網路匿名方式連接到Internet上向SecurityFocus報送網路安全事件,隨後SecurityFocus會將這些數據與許多其它參與者的數據結合起來,最終形成詳細的網路安全統計分析及趨勢預測,發布在網路上。它的URL地址是。

Attacks

(攻擊)
Attacks可以理解為試圖滲透系統或繞過系統的安全策略,以獲取信息、修改信息以及破壞目標網路或系統功能的行為。以下列出IDS能夠檢測出的最常見的Internet攻擊類型:
攻擊類型1-DOS(Denial Of Service attack,拒絕服務攻擊):DOS攻擊不是通過黑客手段破壞一個系統的安全,它只是使系統癱瘓,使系統拒絕向其用戶提供服務。其種類包括緩衝區溢出、通過洪流(flooding)耗盡系統資源等等。
攻擊類型2-DDOS(Distributed Denial of Service,分散式拒絕服務攻擊):一個標準的DOS攻擊使用大量來自一個主機的數據向一個遠程主機發動攻擊,卻無法發出足夠的信息包來達到理想的結果,因此就產生了DDOS,即從多個分散的主機一個目標發動攻擊,耗盡遠程系統的資源,或者使其連接失效。
攻擊類型3-Smurf:這是一種老式的攻擊,還時有發生,攻擊者使用攻擊目標的偽裝源地址向一個smurf放大器廣播地址執行ping操作,然後所有活動主機都會向該目標應答,從而中斷網路連接。
攻擊類型4-Trojans(特洛伊木馬):Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬,木馬中藏有希臘士兵,當木馬運到城裡,士兵就湧出木馬向這個城市及其居民發起攻擊。在計算機術語中,它原本是指那些以合法程序的形式出現,其實包藏了惡意軟體的那些軟體。這樣,當用戶運行合法程序時,在不知情的情況下,惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程序都是遠程控制工具,Trojan這個術語很快就演變為專指這類工具,例如BackOrifice、SubSeven、NetBus等等。

Automated Response

(自動響應)
除了對攻擊發出警報,有些IDS還能自動抵禦這些攻擊。抵禦方式有很多:首先,可以通過重新配置路由器和防火牆,拒絕那些來自同一地址的信息流;其次,通過在網路上發送reset包切斷連接。但是這兩種方式都有問題,攻擊者可以反過來利用重新配置的設備,其方法是:通過偽裝成一個友方的地址來發動攻擊,然後IDS就會配置路由器和防火牆來拒絕這些地址,這樣實際上就是對“自己人”拒絕服務了。發送reset包的方法要求有一個活動的網路介面,這樣它將置於攻擊之下,一個補救的辦法是:使活動網路介面位於防火牆內,或者使用專門的發包程序,從而避開標準IP棧需求。

CERT

(Computer Emergency Response Team,計算機應急響應小組)
這個術語是由第一支計算機應急反映小組選擇的,這支團隊建立在Carnegie Mellon大學,他們對計算機安全方面的事件做出反應、採取行動。許多組織都有了CERT,比如CNCERT/CC(中國計算機網路應急處理協調中心)。由於emergency這個詞有些不夠明確,因此許多組織都用Incident這個詞來取代它,產生了新詞Computer Incident Response Team(CIRT),即計算機事件反應團隊。response這個詞有時也用handling來代替,其含義是response表示緊急行動,而非長期的研究。

CIDF

(Common Intrusion Detection Framework;通用入侵檢測框架)
CIDF力圖在某種程度上將入侵檢測標準化,開發一些協議和應用程序介面,以使入侵檢測的研究項目之間能夠共享信息和資源,並且入侵檢測組件也能夠在其它系統中再利用。

CIRT

(Computer Incident Response Team,計算機事件響應小組)
CIRT是從CERT演變而來的,CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的計算機緊急情況的,而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。

CISL

(Common Intrusion Specification Language,通用入侵規範語言)
CISL是CIDF組件間彼此通信的語言。由於CIDF就是對協議和介面標準化的嘗試,因此CISL就是對入侵檢測研究的語言進行標準化的嘗試。

CVE

(Common Vulnerabilities and Exposures,通用漏洞披露)
關於漏洞的一個老問題就是在設計掃描程序或應對策略時,不同的廠商對漏洞的稱謂也會完全不同。還有,一些產商會對一個漏洞定義多種特徵並應用到他們的IDS系統中,這樣就給人一種錯覺,好像他們的產品更加有效。MITRE創建了CVE,將漏洞名稱進行標準化,參與的廠商也就順理成章按照這個標準開發IDS產品。

Crafting Packets

(自定義數據包)
建立自定義數據包,就可以避開一些慣用規定的數據包結構,從而製造數據包欺騙,或者使得收到它的計算機不知該如何處理它。

Desynchronization

(同步失效)
Desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑,從而導致無法重新構建數據。這一技術在1998年很流行,已經過時了,有些文章把desynchronization這個術語代指其它IDS逃避方法。

Eleet

當黑客編寫漏洞開發程序時,他們通常會留下一個簽名,其中最聲名狼藉的一個就是elite。如果將eleet轉換成數字,它就是31337,而當它是指他們的能力時,elite=eleet,表示精英。31337通常被用做一個埠號或序列號。流行的詞是“skillz”。

Enumeration

(列舉)
經過被動研究和社會工程學的工作后,攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於行動不再是被動的,它就有可能被檢測出來。當然為了避免被檢測到,他們會儘可能地悄悄進行。

Evasion

(躲避)
Evasion是指發動一次攻擊,而又不被IDS成功地檢測到。其中的竅門就是讓IDS只看到一個方面,而實際攻擊的卻是另一個目標,所謂明修棧道,暗渡陳倉。Evasion的一種形式是為不同的信息包設置不同的TTL(有效時間)值,這樣,經過IDS的信息看起來好像是無害的,而在無害信息位上的TTL比要到達目標主機所需要的TTL要短。一旦經過了IDS並接近目標,無害的部分就會被丟掉,只剩下有害的。

Exploits

(漏洞利用)
對於每一個漏洞,都有利用此漏洞進行攻擊的機制。為了攻擊系統,攻擊者編寫出漏洞利用代碼或腳本。
對每個漏洞都會存在利用這個漏洞執行攻擊的方式,這個方式就是Exploit。為了攻擊系統,黑客會利用漏洞編寫出程序。
漏洞利用:Zero Day Exploit(零時間漏洞利用)
零時間漏洞利用是指還未被了解且仍在肆意橫行的漏洞利用,也就是說這種類型的漏洞利用當前還沒有被發現。一旦一個漏洞利用被網路安全界發現,很快就會出現針對它的補丁程序,並在IDS中寫入其特徵標識信息,使這個漏洞利用無效,有效地捕獲它。

False Negatives

(漏報)
漏報是指一個攻擊事件未被IDS檢測到或被分析人員認為是無害的。
False Positives(誤報)
誤報是指實際無害的事件卻被IDS檢測為攻擊事件。
Firewalls(防火牆)
防火牆是網路安全的第一道關卡,雖然它不是IDS,但是防火牆日誌可以為IDS提供寶貴信息。防火牆工作的原理是根據規則或標準,如源地址、埠等,將危險連接阻擋在外。

FIRST

(Forum of Incident Response and Security Teams,事件響應和安全團隊論壇)
FIRST是由國際性政府和私人組織聯合起來交換信息並協調響應行動的聯盟,一年一度的FIRST受到高度的重視。

Fragmentation

(分片)
如果一個信息包太大而無法裝載,它就不得不被分成片斷。分片的依據是網路的MTU(Maximum Transmission Units,最大傳輸單元)。例如,靈牌環網(token ring)的MTU是4464,乙太網(Ethernet)的MTU是1500,因此,如果一個信息包要從靈牌環網傳輸到乙太網,它就要被分裂成一些小的片斷,然後再在目的地重建。雖然這樣處理會造成效率降低,但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法,另外還有一些DOS攻擊也使用分片技術。

Heuristics

(啟發)
Heuristics就是指在入侵檢測中使用AI(artificial intelligence,人工智慧)思想。真正使用啟發理論的IDS已經出現大約10年了,但他們還不夠“聰明”,攻擊者可以通過訓練它而使它忽視那些惡意的信息流。有些IDS使用異常模式去檢測入侵,這樣的IDS必須要不斷地學習什麼是正常事件。一些產商認為這已經是相當“聰明”的IDS了,所以就將它們看做是啟髮式IDS。但實際上,真正應用AI技術對輸入數據進行分析的IDS還很少很少。

Honeynet Project

(Honeynet工程)
Honeynet是一種學習工具,是一個包含安全缺陷的網路系統。當它受到安全威脅時,入侵信息就會被捕獲並接受分析,這樣就可以了解黑客的一些情況。Honeynet是一個由30餘名安全專業組織成員組成、專門致力於了解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots,提供了看似易受攻擊的Honeynet網路,觀察入侵到這些系統中的黑客,研究黑客的戰術、動機及行為。

Honeypot

蜜罐
蜜罐是一個包含漏洞的系統,它模擬一個或多個易受攻擊的主機,給黑客提供一個容易攻擊的目標。由於蜜罐沒有其它任務需要完成,因此所有連接的嘗試都應被視為是可疑的。蜜罐的另一個用 途是拖延攻擊者對其真正目標的攻擊,讓攻擊者在蜜罐上浪費時間。與此同時,最初的攻擊目標受到了保護,真正有價值的內容將不受侵犯。
蜜罐最初的目的之一是為起訴惡意黑客搜集證據,這看起來有“誘捕”的感覺。但是在一些國家中,是不能利用蜜罐收集證據起訴黑客的。

IDS Categories

(IDS分類)
有許多不同類型的IDS,以下分別列出:
IDS分類1-Application IDS(應用程序IDS):應用程序IDS為一些特殊的應用程序發現入侵信號,這些應用程序通常是指那些比較易受攻擊的應用程序,如Web伺服器、資料庫等。有許多原本著眼於操作系統的基於主機的IDS,雖然在默認狀態下並不針對應用程序,但也可以經過訓練,應用於應用程序。例如,KSE(一個基於主機的IDS)可以告訴我們在事件日誌中正在進行的一切,包括事件日誌報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。
IDS分類2-Consoles IDS(控制台IDS):為了使IDS適用於協同環境,分散式IDS代理需要向中心控制台報告信息。許多中心控制台還可以接收其它來源的數據,如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台,並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。
IDS分類3-File Integrity Checkers(文件完整性檢查器):當一個系統受到攻擊者的威脅時,它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要(加密的雜亂信號),就可以定時地檢查文件,查看它們是否被改變,這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化,完整性檢查器就會發出一個警報。而且,當一個系統已經受到攻擊后,系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之後才能將入侵檢測出來,是“事後諸葛亮”,出現的許多產品能在文件被訪問的同時就進行檢查,可以看做是實時IDS產品了。該類產品有Tripwire和Intact。
IDS分類4-Honeypots(蜜罐):關於蜜罐,前面已經介紹過。蜜罐的例子包括Mantrap和Sting。
IDS分類5-Host-based IDS(基於主機的IDS):這類IDS對多種來源的系統和事件日誌進行監控,發現可疑活動。基於主機的IDS也叫做主機IDS,最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能,主機IDS還對“事件/日誌/時間”進行簽名分析。許多產品中還包含了啟髮式功能。因為主機IDS幾乎是實時工作的,系統的錯誤就可以很快地檢測出來,技術人員和安全人士都非常喜歡它。基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。
IDS分類6-Hybrid IDS(混合IDS):現代交換網路的結構給入侵檢測操作帶來了一些問題。首先,默認狀態下的交換網路不允許網卡以混雜模式工作,這使傳統網路IDS的安裝非常困難。其次,很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS(混合IDS)正是解決這些問題的一個方案,它將IDS提升了一個層次,組合了網路節點IDS和Host IDS(主機IDS)。雖然這種解決方案覆蓋面極大,但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS,實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。
IDS分類7-Network IDS(NIDS,網路IDS):NIDS對所有流經監測代理的網路通信量進行監控,對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器,但是它們變得更加智能化,可以破譯協議並維護狀態。NIDS存在基於應用程序的產品,只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特徵的分析,但是在網路高負載下,還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。
IDS分類8-Network Node IDS(NNIDS,網路節點IDS):有些網路IDS在高速下是不可靠的,裝載之後它們會丟棄很高比例的網路信息包,而且交換網路經常會妨礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機,從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似,但它們之間還有區別。對於被歸類為NNIDS的個人防火牆,應該對企圖的連接做分析。例如,不像在許多個人防火牆上發現的“試圖連接到埠xxx”,一個NNIDS會對任何的探測都做特徵分析。另外,NNIDS還會將主機接收到的事件發送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。
IDS分類9-Personal Firewall(個人防火牆):個人防火牆安裝在單獨的系統中,防止不受歡迎的連接,無論是進來的還是出去的,從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。
IDS分類10-Target-Based IDS(基於目標的IDS):這是不明確的IDS術語中的一個,對不同的人有不同的意義。可能的一個定義是文件完整性檢查器,而另一個定義則是網路IDS,後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度,因為它不搜尋那些不必要的攻擊。

IDWG

(Intrusion Detection Working Group,入侵檢測工作組)
入侵檢測工作組的目標是定義數據格式和交換信息的程序步驟,這些信息是對於入侵檢測系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢測工作組與其它IETF組織協同工作。

Incident Handling

(事件處理)
檢測到一個入侵只是開始。更普遍的情況是,控制台操作員會不斷地收到警報,由於根本無法分出時間來親自追蹤每個潛在事件,操作員會在感興趣的事件上做出標誌以備將來由事件處理團隊來調查研究。在最初的反應之後,就需要對事件進行處理,也就是諸如調查、辯論和起訴之類的事宜。

Incident Response

(事件響應)
對檢測出的潛在事件的最初反應,隨後對這些事件要根據事件處理的程序進行處理。

Islanding

(孤島)
孤島就是把網路從Internet上完全切斷,這幾乎是最後一招了,沒有辦法的辦法。一個組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。

Promiscuous

(混雜模式)
默認狀態下,IDS網路介面只能看到進出主機的信息,也就是所謂的non-promiscuous(非混雜模式)。如果網路介面是混雜模式,就可以看到網段中所有的網路通信量,不管其來源或目的地。這對於網路IDS是必要的,但同時可能被信息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題,在能看到全面通信量的地方,會都許多跨越(span)埠。
Routers(路由器)
路由器是用來連接不同子網的中樞,它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路信息包傳輸到它們的目的地。一些路由器還有訪問控制列表(ACLs),允許將不想要的信息包過濾出去。許多路由器都可以將它們的日誌信息注入到IDS系統中,提供有關被阻擋的訪問網路企圖的寶貴信息。

Scanners

掃描器
掃描器是自動化的工具,它掃描網路和主機的漏洞。同入侵檢測系統一樣,它們也分為很多種,以下分別描述。
掃描器種類1-NetworkScanners(網路掃描器):網路掃描器在網路上搜索以找到網路上所有的主機。傳統上它們使用的是ICMP ping技術,但是這種方法很容易被檢測出來。為了變得隱蔽,出現了一些新技術,例如ack掃描和fin掃描。使用這些更為隱蔽掃描器的另一個好處是:不同的操作系統對這些掃描會有不同的反應,從而為攻擊者提供了更多有價值的信息。這種工具的一個例子是nmap。
掃描器種類2-Network Vulnerability Scanners(網路漏洞掃描器):網路漏洞掃描器將網路掃描器向前發展了一步,它能檢測目標主機,並突出一切可以為黑客利用的漏洞。網路漏洞掃描器可以為攻擊者和安全專家使用,但會經常讓IDS系統“緊張”。該類產品有Retina和CyberCop。
掃描器種類3-Host VulnerabilityScanners(主機漏洞掃描器):這類工具就像個有特權的用戶,從內部掃描主機,檢測口令強度、安全策略以及文件許可等內容。網路IDS,特別是主機IDS可以將它檢測出來。該類產品有SecurityExpressions,它是一個遠程Windows漏洞掃描器,並且能自動修復漏洞。還有如ISS資料庫掃描器,會掃描資料庫中的漏洞。

Script Kiddies

(腳本小子)
有些受到大肆宣揚的Internet安全破壞,如2000年2月份對Yahoo的拒絕服務攻擊,是一些十來歲的中學生乾的,他們干這些壞事的目的好象是為了揚名。安全專家通常把這些人稱為腳本小子(Script Kiddies)。腳本小子通常都是一些自發的、不太熟練的cracker,他們使用從Internet 上下載的信息、軟體或腳本對目標站點進行破壞。黑客組織或法律實施權威機構都對這些腳本小孩表示輕蔑,因為他們通常都技術不熟練,手上有大把時間可以來搞破壞,他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩,他們不需要懂得彈道理論,也不必能夠製造槍支,就能成為強大的敵人。因此,無論何時都不能低估他們的實力。

Shunning

(躲避)
躲避是指配置邊界設備以拒絕所有不受歡迎的信息包,有些躲避甚至會拒絕來自某些國家所有IP地址的信息包。

Signatures

(特徵)
IDS的核心是攻擊特徵,它使IDS在事件發生時觸發。特徵信息過短會經常觸發IDS,導致誤報或錯報,過長則會減慢IDS的工作速度。有人將IDS所支持的特徵數視為IDS好壞的標準,但是有的產商用一個特徵涵蓋許多攻擊,而有些產商則會將這些特徵單獨列出,這就會給人一種印象,好像它包含了更多的特徵,是更好的IDS。大家一定要清楚這些。

Stealth

(隱藏)
隱藏是指IDS在檢測攻擊時不為外界所見,它們經常在DMZ以外使用,沒有被防火牆保護。它有些缺點,如自動響應。

信息收集


入侵檢測的第一步是信息收集,內容包括系統、網路、數據及用戶活動的狀態和行為。而且,需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息,這除了儘可能擴大檢測範圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然,入侵檢測很大程度上依賴於收集信息的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息,例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣,而實際上不是。例如,unix系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同於指定文件的文件(黑客隱藏了初試文件並用另一版本代替)。這需要保證用來檢測網路系統的軟體的完整性,特別是入侵檢測系統軟體本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息。
入侵檢測利用的信息一般來自以下四個方面:

系統和網路日誌文件

黑客經常在系統日誌文件中留下他們的蹤跡,因此,充分利用系統和網路日誌文件信息是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日誌文件,能夠發現成功的入侵或入侵企圖,並很快地啟動相應的應急響應程序。日誌文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄“用戶活動”類型的日誌,就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地,對用戶活動來講,不正常的或不期望的行為就是重複登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。

目錄和文件中的不期望的改變

網路環境中的文件系統包含很多軟體和數據文件,包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變(包括修改、創建和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件,同時為了隱藏系統中他們的表現及活動痕迹,都會儘力去替換系統程序或修改系統日誌文件。

程序執行中的不期望行為

網路系統上的程序執行一般包括操作系統、網路服務、用戶起動的程序和特定目的的應用,例如資料庫伺服器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同許可權的環境中,這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程,以及與網路間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解,從而導致它失敗,或者是以非用戶或管理員意圖的方式操作。

物理形式的入侵信息

這包括兩個方面的內容,一是未授權的對網路硬體連接;二是對物理資源的未授權訪問。黑客會想方設法去突破網路的周邊防衛,如果他們能夠在物理上訪問內部網,就能安裝他們自己的設備和軟體。依此,黑客就可以知道網上的由用戶加上去的不安全(未授權)設備,然後利用這些設備訪問網路。例如,用戶在家裡可能安裝Modem以訪問遠程辦公室,與此同時黑客正在利用自動工具來識別在公共電話線上的Modem,如果一撥號訪問流量經過??網路安全的後門。黑客就會利用這個後門來訪問內部網,從而越過了內部網路原有的防護措施,然後捕獲網路流量,進而攻擊其它系統,並偷取敏感的私有信息等等。

信號分析


對上述四類收集到的有關係統、網路、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配,統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測,而完整性分析則用於事後分析。

模式匹配

模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字元串匹配以尋找一個簡單的條目或指令),也可以很複雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得許可權)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火牆採用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。

統計分析

統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網路、系統的行為進行比較,任何觀察值在正常值範圍之外時,就認為有入侵發生。例如,統計分析可能標識一個不正常行為,因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為複雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法,正處於研究熱點和迅速發展之中。

完整性分析

完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用於實時響應。儘管如此,完整性檢測方法還應該是網路安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模塊,對網路系統進行全面地掃描檢查。
入侵檢測系統的典型代表是ISS公司(國際網際網路安全系統公司)的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,從而最大程度地為企業網路提供安全。

檢測功能


·監督並分析用戶和系統的活動
·檢查系統配置和漏洞
·檢查關鍵系統和數據文件的完整性
·識別代表已知攻擊的活動模式
·對反常行為模式的統計分析
·對操作系統的校驗管理,判斷是否有破壞安全的用戶活動。
·入侵檢測系統和漏洞評估工具的優點在於:
·提高了信息安全體系其它部分的完整性
·提高了系統的監察能力
·跟蹤用戶從進入到退出的所有活動或影響
·識別並報告數據文件的改動
·發現系統配置的錯誤,必要時予以更正
·識別特定類型的攻擊,並向相應人員報警,以作出防禦反應
·可使系統管理人員最新的版本升級添加到程序中
·允許非專家人員從事系統安全工作
·為信息安全策略的創建提供指導
·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望:這些產品並不是無所不能的,它們無法彌補力量薄弱的識別和確認機制
·在無人干預的情況下,無法執行對攻擊的檢查
·無法感知公司安全策略的內容·不能彌補網路協議的漏洞
·不能彌補由於系統提供信息的質量或完整性的問題
·它們不能分析網路繁忙時所有事務
·它們不能總是對數據包級的攻擊進行處理
·它們不能應付現代網路的硬體及特性
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。從網路安全立體縱深、多層次防禦的角度出發,入侵檢測理應受到人們的高度重視,這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內,隨著上網的關鍵部門、關鍵業務越來越多,迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品(缺乏升級和服務)階段,或者是防火牆中集成較為初級的入侵檢測模塊。可見,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。

發展歷程


從實驗室原型研究到推出商業化產品、走向市場並獲得廣泛認同,入侵檢測走過了20多年的歷程。

概念提出

1980年4月,JnamesP.Aderson為美國空軍做了一份題為“Computer Security ThreatMonitoring and Surveillance”(計算機安全威脅監控與監視)的技術報告,第一次詳細的闡述了入侵檢測的概念。他提出了一種對計算機系統風險和威脅的分類方法,並將威脅分為了外部滲透、內部滲透和不法行為三種,還提出了利用審計跟蹤數據監視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作。

模型的發展

1984年-1986年,喬治敦大學的Dorothy Denning和SRI/CSL(SRI公司計算機科學實驗室)的PeterNeumann研究出了一種實時入侵檢測系統模型,取名為IDES(入侵檢測專家系統)。該模型獨立於特定的系統平台、應用環境、系統弱點以及入侵類型,為構建入侵系統提供了一個通用的框架。
1988年,SRI/CSL的Teresa Lunt等改進了Denning的入侵檢測模型,並研發出了實際的IDES。
1990年時入侵檢測系統發展史上十分重要的一年。這一年,加州大學戴維斯分校的L.T.Heberlein等開發出了NSM(Network Security Monitor)。該系統第一次直接將網路作為審計數據的來源,因而可以在不將審計數計轉化成統一的格式情況下監控異種主機。同時兩大陣營正式形成:基於網路的IDS和基於主機的IDS。
1988年的莫里斯蠕蟲事件發生后,網路安全才真正引起各方重視。美國空軍、國家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國家實驗室、加州大學戴維斯分校、Haystack實驗室,開展對分散式入侵檢測系統(DIDS)的研究,將基於主機和基於網路的檢測方法集成到一起。

技術的進步

從20世紀90年代到現在,入侵檢測系統的研發呈現出百家爭鳴的繁榮局面,並在智能化和分散式兩個方向取得了長足的進展。SRI/CSL、普渡大學、加州戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面代表了當前的最高水平。我國也有多家企業通過最初的技術引進,逐漸發展成自主研發。

廠家


天融信入侵檢測系統
隨著計算機網路與信息化技術的高速發展,越來越多的企業、政府構建了自己的網際網路路信息化系統,在網路帶來高效和快捷的同時,網路攻擊的多樣化發展和帶寬的爆髮式增長對網路安全產品的處理性能和檢測的精準性提出了更高的要求。天融信公司自主研發的網路衛士入侵檢測系統(以下簡稱TopSentry產品)採用旁路部署方式,能夠實時檢測包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務攻擊、木馬、蠕蟲、系統漏洞等超過3500種網路攻擊行為。TopSentry產品還具有應用協議智能識別、P2P流量控制、網路病毒檢測、惡意網站監測和內網監控等功能,為用戶提供了完整的立體式網路安全檢測監控。
快速的處理性能是對網關產品的基本要求,特別對處理應用層數據的入侵檢測產品要求更為嚴苛。TopSentry產品全系列採用天融信獨有的專利多核處理硬體平台,基於先進的SmartAMP并行處理架構,內置處理器動態負載均衡專利技術,結合獨創的SecDFA核心加速演演算法,實現了對網路數據流的高性能實時檢測,使TopSentry滿檢速率達到了10Gbps。
準確的識別網路攻擊行為是入侵檢測產品的核心價值所在。TopSentry產品採用協議分析、模式匹配、流量異常監視等綜合技術手段來判斷網路入侵行為,可以準確地發現各種網路攻擊。天融信公司的安全攻防實驗室(以下簡稱TopLabs)是國家攻擊檢測漏洞庫的創立單位,同時也是國家應急響應支撐服務單位和國家定點博士后工作站, 擁有專業的高素質技術研究人員,通過不斷跟蹤、研究、分析最新發現的安全漏洞,形成具有自主知識產權的攻擊檢測規則庫,確保TopSentry產品擁有準確的檢測能力。該規則庫已通過國際權威組織CVE的兼容性認證,並保持至少每周一次的更新頻率。
穩定是入侵檢測產品的基礎。TopSentry產品由天融信公司的防火牆研發團隊研發,採用與防火牆產品相同的多核處理硬體平台和天融信自主知識產權的TOS(Topsec Operating System)系統,傳承了天融信公司十六年來不斷積累的網關產品技術經驗;TopSentry在銀行、電信、保險、電力等多行業有大規模部署實例,具備高穩定性和高可靠性,能夠在各種網路環境下持續穩定的識別各種入侵行為,為用戶提供安全防護規劃提供更詳實的依據。