【IT168 报道】随着网络规模的不断扩大和黑客攻击手法的日益复杂，人们对于网络安全的需求与日俱增。在实践中，人们发现：网络安全是一项动态的系统工程，单一的安全产品很难满足网络安全建设的实际需要，组建由防病毒、防火墙、网络入侵检测、漏洞扫描等多种安全产品各司其职的立体安全体系已成为业界和用户的共识。在立体安全体系中，IDS借助其动态和主动的工作原理，成为联动各静态防护技术的关键环节。 
  
    网络入侵检测（Intrusion Detection System，简称IDS）是一种动态安全防护技术。该技术通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，为网络系统提供保护。IDS的实现形式有软件、硬件和软硬一体三种，通常采用管理控制中心和检测引擎组成的分布式体系结构。管理控制中心基于GUI，用于检测引擎管理和显示告警信息。检测引擎通过监视网络或系统资源来执行入侵检测，并向管理控制中心告警。检测引擎配置在需要监控的网段或主机/服务器中，配置的颗粒度取决于网络系统的安全策略。 
  
    IDS的工作流程可分成数据采集、数据分析和作出响应三部分。IDS首先采集来自网络系统不同节点（不同子网和不同主机）隐藏了网络入侵行为的数据，例如系统日志、网络数据包、文件与用户活动的状态和行为；接着通过模式匹配、异常检测和完整性分析等技术，IDS对数据进行分析以寻找入侵；最后，一旦发现入侵，IDS就进入响应过程，并在日志、告警和安全控制等方面作出反应。 
  
    入侵检测产品分类 
  
    根据采集数据源的不同，IDS可分为主机型IDS（Host-based IDS，简称HIDS）和网络型IDS（Network-based IDS，简称NIDS）。HIDS从主机/服务器上采集数据，包括操作系统日志、系统进程、文件访问和注册表访问等信息，NIDS则直接从网络中采集原始的数据包。HIDS的检测引擎被称为主机代理，NIDS的检测引擎被称为网络引擎。HIDS的主机代理安装在所保护的主机/服务器上，不同的操作系统平台需要不同的主机代理。NIDS的网络引擎放置在需要保护的网段内，不占用网络资源，可以保护整个网段。 
  
    HIDS和NIDS都能发现对方无法检测到的一些入侵行为，可互为补充。完美的IDS产品应该将两者结合起来。目前主流IDS产品都采用HIDS和NIDS有机结合的混合型IDS（Hybrid IDS）架构，既可以发现网络中的攻击信息，也能从主机中发现异常情况。ISS的RealSecure、启明星辰的天阗黑客入侵检测与预警系统以及上海金诺网安的KIDS都属于这一类型。 
  
    IDS的作用
  
    监视、分析用户及系统活动；进行系统配置和弱点审计；识别反映已知进攻的活动模式并向相关人士报警；进行异常行为模式的统计分析；评估重要系统和数据文件的完整性；进行操作系统的审计跟踪管理，并识别用户违反安全策略的行为。
  
   　　HIDS的主要优点
  
    误报率低；监视特定的系统活动，HIDS既可以监视用户在系统上的活动，也可以监视只有管理员才能实施的非正常行为；适合加密和交换的环境；能够检查到NIDS检查不出的攻击；确定攻击是否成功，HIDS使用含有已发生事件的信息，准确判断攻击是否成功；不需要额外的硬件设备。
  
    NIDS的优点
  
    成本较低，无需在被保护的主机上安装软件，将安全策略配置在几个关键访问点上就可以保护大量主机/服务器；可检测到HIDS漏掉的攻击，通过检查分组的头部和数据内容，识别来自网络层的攻击；便于取证，NIDS利用正在发生的网络通信进行攻击的实时检测，攻击者无法转移证据；实时检测和响应，能检测未成功的攻击和企图。
  
   　　传统入侵检测技术 
  
    1、模式匹配：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，来发现违背安全策略的入侵行为。该过程可以很简单，也可以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断，能减少系统占用，并且技术已相当成熟，检测准确率和效率也相当高。但是，该技术需要不断进行升级以对付不断出现的攻击手法，并且不能检测未知攻击手段。 
  
    2、异常检测：异常检测首先给系统对象（用户、文件、目录和设备等）创建一个统计描述，包括统计正常使用时的测量属性，如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵，缺点是误报、漏报率高。 
  
    3、完整性分析：完整性分析关注文件或对象是否被篡改，主要根据文件和目录的内容及属性进行判断，这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制，能够识别微小变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要攻击导致文件或对象发生了改变，完整性分析都能够发现。完整性分析一般是以批处理方式实现，不用于实时响应。尽管如此，完整性分析依然是IDS产品的必要手段之一。 
  
    入侵检测新进展 
  
    1、协议分析和状态协议分析：协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在，这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。 
  
    采用协议分析技术的IDS能够理解不同协议的原理，由此分析这些协议的流量，来寻找可疑的或不正常行为。对每一种协议，分析不仅仅基于协议标准，还基于协议的具体实现，因为很多协议的实现偏离了协议标准。协议分析技术观察并验证所有的流量，当流量不是期望值时，IDS就发出告警。协议分析具有寻找任何偏离标准或期望值的行为的能力，因此能够检测到已知和未知攻击方法。 
  
    状态协议分析就是在常规协议分析技术的基础上，加入状态特性分析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的，因为攻击行为包含在多个请求中，此时状态协议分析技术就显得十分必要。协议分析和状态协议分析技术与模式匹配技术相比，具有如下的优点。 
  
    性能提高：协议分析利用已知结构的通信协议，与模式匹配系统中传统的穷举分析方法相比，在处理数据帧和连接时更迅速、有效。 
  
    准确性提高：与非智能化的模式匹配相比，协议分析减少了误警和漏警，命令解析和协议解码技术相结合，在命令字符串到达操作系统或应用程序之前，模拟命令字符串的执行，以确定它是否具有恶意。 
  
    基于状态的分析：当协议分析入侵检测系统引擎评估某个数据包时，需要考虑在这之前相关的数据包内容，以及接下来可能出现的数据包。与此相反，模式匹配入侵检测系统孤立地考察每个数据包。 
   
    反规避能力大大增强：因为协议分析具有判别通信行为真实意图的能力，能够有效抵御利用路径模糊、十六进制编码和Unicode编码等隐藏的攻击行为。 
  
    系统资源开销小：协议分析的高效性降低了系统资源在网络和主机探测中的资源开销，而模式匹配技术却会大量地消耗系统资源。 
  
    2、互操作:网络的特性之一就是开放与共享，IDS开始强调互操作。这种互操作体现在两方面，一方面是各个IDS之间的信息交换，另一方面是IDS与其他安全设备之间的互动。IETF制定了IDS之间信息交换的规范IDXP（Intrusion Detection Exchange Protocol）和IDMEF（Intrusion Detection Message Exchange Formats）。IDXP是一个应用级协议，是为IDS之间提供IDMEF消息、非结构化文本和二进制数据等信息的交换而设计。IDMEF为IDS之间共享信息定义数据格式和交换程序，IDMEF同样适用于与IDS交互的其他系统。 
  
    国外以Check Point为首的安全厂商，提出了开放平台安全互联OPSEC的概念。OPSEC提供开放的接口，通过安全、灵活和可理解的框架来建立安全解决方案。OPSEC具有一个很广的集成接口范围，通过这种集成，可使各种安全产品能以最有效的方式进行互操作，而且管理配置简单。IDS与防火墙的联动就是上述安全体系的组成部分，主要是指当IDS检测到需要阻断的入侵行为时，即迅速启动联动机制，自动通过开放接口通知防火墙对攻击源进行封堵，从而达到整体安全的效果。目前，很多IDS产品都具有与特定防火墙联动的功能。 
  
    3、移动代理：移动代理是一种新兴的技术，在大规模、分布式、跨平台的应用中拥有独特优势。移动代理的工作平台可以在不同系统上运行。通过在各个操作系统中运行移动代理的虚拟机，可以将硬件和操作系统的平台细节屏蔽，使代理获得统一的界面。在此基础上，移动代理可以在虚拟机之间自由迁移而无需中止程序的执行。移动代理还具有多代理合作特性，通过虚拟机系统的通信机制，实现多个代理之间的合作。 
  
    将移动代理技术应用到IDS中，不仅能实现全网络范围内的入侵检测功能，具有良好的可移植性; 而且对网络系统和主机的资源占用较低，减少了出现网络瓶颈的可能。移动代理使得分布式协同入侵检测更为灵活。尽管基于移动代理技术的IDS产品目前还没有，但相关的研究和实验室样品已涌现了许多。 
  
    入侵检测面临的问题 
  
    1、误报和漏报：市场上主流的IDS产品的IDS系统经常发出许多假警，假警报常常掩盖了真攻击。在被测试的IDS产品中，有些产品在假警报重负下一再崩溃，而当真正攻击出现时，有些IDS产品不能捕获攻击，而另一些IDS产品的报告混杂在假警报中，很容易被错过。测试还发现过分复杂的界面使关掉假警报非常困难，几乎所有IDS产品在默认设置状态下都会产生非常多的假警报，给用户带来许多麻烦。误警和漏警产生的原因主要有以下几点。 
  
    ● 当前IDS使用的主要检测技术仍然是模式匹配，模式库的组织简单、不及时、不完整，而且缺乏对未知攻击的检测能力。
    ● 随着网络规模的扩大以及异构平台和不同技术的采用，尤其是网络带宽的迅速增长，IDS的分析处理速度越来越难跟得上网络流量，从而造成数据包丢失。
    ● 网络攻击方法越来越多，攻击技术及其技巧性日趋复杂，也加重了IDS的误报、漏报现象。 
  
    2、拒绝服务攻击：IDS是失效开放（Fail Open）的机制，一旦系统停止作用，整个网络或主机就变成开放的，这与防火墙的失效关闭（Fail Closed）机制正好相反，防火墙一旦失效，整个网络是不可访问的。因此，当IDS遭受拒绝服务攻击时，这种失效开放的特性使得黑客可以实施攻击而不被发现。下面的一些典型攻击很容易使IDS被拒绝服务。 
  
    大流量攻击：攻击者向被保护网络发送大量数据，使网络流量猛增。由于处理能力有限，IDS就会丢包，漏掉对入侵行为的检测。 
  
    IP碎片攻击：攻击者向被保护网络发送大量的IP碎片，超过IDS的IP碎片重组能力，此时IDS将检测不到利用IP碎片进行的攻击。 
  
    TCP 连接攻击：攻击者创建或者模拟大量的TCP连接，超过了IDS可同时监控的TCP连接数，从而导致IDS不能监控多余的TCP连接。 
  
    报警攻击：攻击者可以参照网上公布的检测规则，在攻击的同时故意发送大量能够引起IDS报警的数据，超过IDS发送报警的速度，网管员收到大量报警，难以分辨出真正的攻击。 
  
    日志攻击：攻击者发送大量能够引起IDS报警的数据，最终导致IDS进行日志的空间被耗尽，从而删除以前的纪录。 
  
    3、插入和规避：插入攻击和规避攻击是两种逃避IDS检测的攻击形式。其中插入攻击可通过定制一些错误的数据包到数据流中，使IDS误以为是攻击。规避攻击则相反，可使攻击躲过IDS的检测到达目的主机。插入攻击的意图是使IDS频繁告警（误警），但实际上并没有攻击，起到迷惑管理员的作用。规避攻击的意图则是真正要逃脱IDS的检测，对目标主机发起攻击。黑客经常改变攻击特征来欺骗基于模式匹配的IDS。
  
   　　未来的发展趋势 
  
    1、策略：IDS发现网络入侵仅仅成功了一半，对告警信息的进一步分析才能充分挖掘IDS的潜力。从策略上看，网络入侵检测未来的发展趋势是建立地区性的入侵检测处理中心，进行入侵检测分析，达到多部门合作和高技能化的目标。 
  
    2、技术：在网络入侵检测技术的发展方向上，工业界和学术界持截然不同的观点。工业界侧重于利用成熟、稳定的技术，学术界则倾向于基础性、前瞻性的技术研究。 
  
    工业界将重点放在协议分析技术和状态协议分析技术方面。协议分析和状态分析能够理解不同协议的工作原理，由此分析这些协议的流量来寻找可疑行为，并将一个会话的所有流量作为一个整体来考虑。目前，多数停留在模式匹配技术的IDS产品，已难以满足100Mbps、1000Mbps网络的需要，协议分析和状态分析无疑将是这些产品技术升级的非常好的选择。 
  
    学术界的方向是智能化检测技术。海量数据的存在以及网络环境和网络攻击的复杂性，使传统的IDS在建立模型方面缺乏精确性。而智能化检测的相关技术如神经网络、数据挖掘和免疫原理等等引起IDS学术界的广泛关注。诸如分类、关联、序列、聚类等分析方法能够有效提高入侵检测的精确性。从长远来看，智能化入侵检测是大势所趋，只是目前还缺乏关键性的突破。