網(wǎng)絡(luò)安全:四項(xiàng)下一代入侵檢測(cè)關(guān)鍵技術(shù)分析

字號(hào):

攻擊技術(shù)和手段的不斷發(fā)展促使IDS等網(wǎng)絡(luò)安全產(chǎn)品不斷更新?lián)Q代,使得IDS產(chǎn)品從一個(gè)簡單機(jī)械的產(chǎn)品發(fā)展成為智能化的產(chǎn)品。
    入侵檢測(cè)的研究可以追溯到JamesP.Anderson在1980年的工作,他首次提出了“威脅”等術(shù)語,這里所指的“威脅”與入侵的含義基本相同,將入侵嘗試或威脅定義為:潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問企圖,致使系統(tǒng)不可靠或無法使用。1987年DorothyE. Denning首次給出一個(gè)入侵檢測(cè)的抽象模型,并將入侵檢測(cè)作為一個(gè)新的安全防御措施提出。1988年,Morris蠕蟲事件加快了對(duì)入侵檢測(cè)系統(tǒng)(IDS:Intrusion Detection System)的開發(fā)研究。
    在過去的20年里,網(wǎng)絡(luò)技術(shù)在不斷發(fā)展,攻擊者水平在不斷提高,攻擊工具與攻擊手法日趨復(fù)雜多樣,特別是以黑客為代表的攻擊者對(duì)網(wǎng)絡(luò)的威脅日益突出,他們正不遺余力地與所有安全產(chǎn)品進(jìn)行著斗爭。攻擊技術(shù)和手段的不斷發(fā)展促使IDS等網(wǎng)絡(luò)安全產(chǎn)品不斷更新?lián)Q代,使得IDS產(chǎn)品從一個(gè)簡單機(jī)械的產(chǎn)品發(fā)展成為智能化的產(chǎn)品。
    一、目前IDS存在的缺陷
    入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的重要手段,有很多地方值得我們進(jìn)一步深入研究。目前的IDS還存在很多問題,有待于我們進(jìn)一步完善。
    1.高誤警(誤報(bào))率
    誤警的傳統(tǒng)定義是將良性流量誤認(rèn)為惡性的。廣義上講,誤警還包括對(duì)IDS用戶不關(guān)心事件的告警。因此,導(dǎo)致IDS產(chǎn)品高誤警率的原因是IDS檢測(cè)精度過低以及用戶對(duì)誤警概念的拓展。
    2.產(chǎn)品適應(yīng)能力低
    傳統(tǒng)的IDS產(chǎn)品在開發(fā)時(shí)沒有考慮特定網(wǎng)絡(luò)環(huán)境的需求,千篇一律。網(wǎng)絡(luò)技術(shù)在發(fā)展,網(wǎng)絡(luò)設(shè)備變得復(fù)雜化、多樣化,這就需要入侵檢測(cè)產(chǎn)品能動(dòng)態(tài)調(diào)整,以適應(yīng)不同環(huán)境的需求。
    3.大型網(wǎng)絡(luò)的管理問題
    很多企業(yè)規(guī)模在不斷擴(kuò)大,對(duì)IDS產(chǎn)品的部署從單點(diǎn)發(fā)展到跨區(qū)域全球部署,這就將公司對(duì)產(chǎn)品管理的問題提上日程。首先,要確保新的產(chǎn)品體系結(jié)構(gòu)能夠支持?jǐn)?shù)以百計(jì)的IDS傳感器;其次,要能夠處理傳感器產(chǎn)生的告警事件;此外,還要解決攻擊特征庫的建立,配置以及更新問題。
    4.缺少防御功能
    檢測(cè),作為一種被動(dòng)且功能有限的技術(shù),缺乏主動(dòng)防御功能。因此,需要在下一代IDS產(chǎn)品中嵌入防御功能,才能變被動(dòng)為主動(dòng)。
    5.評(píng)價(jià)IDS產(chǎn)品沒有統(tǒng)一標(biāo)準(zhǔn)
    對(duì)入侵檢測(cè)系統(tǒng)的評(píng)價(jià)目前還沒有客觀的標(biāo)準(zhǔn),標(biāo)準(zhǔn)的不統(tǒng)一使得入侵檢測(cè)系統(tǒng)之間不易互聯(lián)。隨著技術(shù)的發(fā)展和對(duì)新攻擊識(shí)別的增加,入侵檢測(cè)系統(tǒng)需要不斷升級(jí)才能保證網(wǎng)絡(luò)的安全性。
    6.處理速度上的瓶頸
    隨著高速網(wǎng)絡(luò)技術(shù)如ATM、千兆以太網(wǎng)等的相繼出現(xiàn),如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)是急需解決的問題。目前的百兆、千兆IDS產(chǎn)品的性能指標(biāo)與實(shí)際要求還存在很大的差距。
    二、下一代IDS系統(tǒng)采用的技術(shù)
    為了降低誤警率、合理部署多級(jí)傳感器、有效控制跨區(qū)域的傳感器,下一代入侵檢測(cè)產(chǎn)品需要包含以下關(guān)鍵技術(shù)。
    1.智能關(guān)聯(lián)
    智能關(guān)聯(lián)是將企業(yè)相關(guān)系統(tǒng)的信息(如主機(jī)特征信息)與網(wǎng)絡(luò)IDS檢測(cè)結(jié)構(gòu)相融合,從而減少誤警。如系統(tǒng)的脆弱性信息需要包括特定的操作系統(tǒng)(OS)以及主機(jī)上運(yùn)行的服務(wù)。
    智能關(guān)聯(lián)包括主動(dòng)關(guān)聯(lián)和被動(dòng)關(guān)聯(lián)。主動(dòng)關(guān)聯(lián)是通過掃描確定主機(jī)漏洞;被動(dòng)關(guān)聯(lián)是借助操作系統(tǒng)的指紋識(shí)別技術(shù),即通過分析IP、TCP報(bào)頭信息識(shí)別主機(jī)上的操作系統(tǒng)。下面將詳細(xì)介紹指紋識(shí)別技術(shù)。
    (1)IDS有時(shí)會(huì)出現(xiàn)誤報(bào)(主機(jī)系統(tǒng)本身并不存在某種漏洞,而IDS報(bào)告系統(tǒng)存在該漏洞)
    造成這種現(xiàn)象的原因是當(dāng)IDS檢測(cè)系統(tǒng)是否受到基于某種漏洞的攻擊時(shí),沒有考慮主機(jī)的脆弱性信息。以針對(duì)Windows操作系統(tǒng)的RPC攻擊為例,當(dāng)網(wǎng)絡(luò)中存在RPC攻擊時(shí),即使該網(wǎng)絡(luò)中只有基于Linux的機(jī)器,IDS也會(huì)產(chǎn)生告警,這就是一種誤報(bào)現(xiàn)象。為了解決這個(gè)問題,需要給IDS提供一種基于主機(jī)信息的報(bào)警機(jī)制。因此新一代IDS產(chǎn)品利用被動(dòng)指紋識(shí)別技術(shù)構(gòu)造一個(gè)主機(jī)信息庫,該技術(shù)通過對(duì)TCP、IP報(bào)頭中相關(guān)字段進(jìn)行識(shí)別來確定操作系統(tǒng)(OS)類型。
    (2)被動(dòng)指紋識(shí)別技術(shù)的工作原理
    被動(dòng)指紋識(shí)別技術(shù)的實(shí)質(zhì)是匹配分析法。匹配雙方一個(gè)是來自源主機(jī)數(shù)據(jù)流中的TCP、IP報(bào)頭信息,另一個(gè)是特征數(shù)據(jù)庫中的目標(biāo)主機(jī)信息,通過將兩者做匹配來識(shí)別源主機(jī)發(fā)送的數(shù)據(jù)流中是否含有惡意信息。通常比較的報(bào)頭信息包括窗口大小(Windowsize)、數(shù)據(jù)報(bào)存活期(TTL)、DF(don tfragment)標(biāo)志以及數(shù)據(jù)報(bào)長(Totallength)。
    窗口大小(wsize)指輸入數(shù)據(jù)緩沖區(qū)大小,它在TCP會(huì)話的初始階段由OS設(shè)定。多數(shù)UNIX操作系統(tǒng)在TCP會(huì)話期間不改變它的值,而在Windows操作系統(tǒng)中有可能改變。
    數(shù)據(jù)報(bào)存活期指數(shù)據(jù)報(bào)在被丟棄前經(jīng)過的跳數(shù)(hop);不同的TTL值代表不同的OS,TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常設(shè)為默認(rèn)值,而OpenBSD不對(duì)它進(jìn)行設(shè)置。
    數(shù)據(jù)報(bào)長是IP報(bào)頭和負(fù)載(Payload)長度之和。在SYN和SYNACK數(shù)據(jù)報(bào)中,不同的數(shù)據(jù)報(bào)長代表不同的操作系統(tǒng),60代表Linux、44代表Solaris、48代表Windows2000。
    IDS將上述參數(shù)合理組合作為主機(jī)特征庫中的特征(稱為指紋)來識(shí)別不同的操作系統(tǒng)。如TTL=64,初步判斷OS=Linux/OpenBSD;如果再給定wsize的值就可以區(qū)分是Linux還是OpenBSD。因此,(TTL,wsize)就可以作為特征庫中的一個(gè)特征信息。
    (3)被動(dòng)指紋識(shí)別技術(shù)工作流程
    具有指紋識(shí)別技術(shù)的IDS系統(tǒng)通過收集目標(biāo)主機(jī)信息,判斷主機(jī)是否易受到針對(duì)某種漏洞的攻擊,從而降低誤報(bào)率。它的工作流程如圖1所示。
    <1>指紋識(shí)別引擎檢查SYN報(bào)頭,提取特定標(biāo)識(shí)符;
    <2>從特征庫中提取目標(biāo)主機(jī)上的操作系統(tǒng)信息;
    <3>更新主機(jī)信息表;
    <4>傳感器檢測(cè)到帶有惡意信息的數(shù)據(jù)報(bào),在發(fā)出警告前先與主機(jī)信息表中的內(nèi)容進(jìn)行比較;
    <5>傳感器發(fā)現(xiàn)該惡意數(shù)據(jù)報(bào)是針對(duì)Windows服務(wù)器的,而目標(biāo)主機(jī)是Linux服務(wù)器,所以IDS將抑制該告警的產(chǎn)生。
     圖1 被動(dòng)指紋識(shí)別技術(shù)工作流程
    因此,當(dāng)IDS檢測(cè)到攻擊數(shù)據(jù)包時(shí),首先查看主機(jī)信息表,判斷目標(biāo)主機(jī)是否存在該攻擊可利用的漏洞;如果不存在該漏洞,IDS將抑制告警的產(chǎn)生,但要記錄關(guān)于該漏洞的告警信息作為追究法律責(zé)任的證據(jù)。這種做法能夠使安全管理員專心處理由于系統(tǒng)漏洞產(chǎn)生的告警。一些IDS經(jīng)銷商已經(jīng)把OS指紋識(shí)別的概念擴(kuò)展到應(yīng)用程序指紋識(shí)別,甚至到更廣泛的用途上。