网络攻击日益严重已经是众所周知的事情,并且攻击方式日趋完美。入侵检测系统的规模也越来越大,但是它们的能力是否也随之增长了呢?专家指出在精确性,数据兼容性和分析工具等方面都存在不小的差距。
2002年度CSI/FBI研讨会强调了网络侵入问题的普遍性。在过去12个月中,百分之39的客户关于系统安全遭破坏的报告都涉及此类问题,其中的百分之39就报告了10或是更多起。
当然侵入技术一直都未停止进步。最新的攻击工具从隐藏端口扫描工具到自动根工具包可谓种类繁多。举个例子,流行的端口扫描工具nmap现在能分辨100多种不同的操作系统版本,并且通过发送假目标包来隐藏源址。
同时,使用现有IDS的企业面临很高的错误警报率。“现有的商业ID系统用以检测攻击的简单方法在多数情况下都不值得信赖。即使出现误报的频率很低,也能够混淆真正的攻击。在诊断精确性方面的改进是急切需要的。”卡耐基梅隆软件工程研究中心最近的一份报告指出。
由于这些不精确性,自动响应工具事实上没有出现在雷达荧屏上。尽管如此,一些厂家的确支持手动干预的不同响应级别。比如CMDS,允许四种不同级别:忽略警告;增加观测;禁止访问;紧急关机。
另一方面,REALSECURE,允许操作员重新配置一个可拒绝来自某一特定IP的访问的关联防火墙。
在这一点上,商业产品能够大致归为两大类。一种级别上的差别在于系统是设计为检测“误使用”--像永远不可能合法出现的在一个网络包中的多活动集合体---还是“非正常使用”。
为了找到非正常活动,系统需要区别在特定网络上什么是“正常”的行为,什么不是(比如端口扫描)。一些IDS则同时采用多种手段以达到目的。
IDS也可按基于网络和基于主机分为两类。关于产品和如何配置的决策应基于IT系统在特定组织内部的某处是否存在最大风险而做出。
“利用多种类型工具,采用多种配置方法。理解你的目标是什么。清楚了解所面临的威胁,”George J. Dolicker力劝人们,他是Lucent技术公司的首席顾问,在由ISSA(信息系统安全协会)纽约分为举办的2002年度计算机安全会议上谈到这个问题。
他举出一些例子,如主机IDS系统可被置于DMZ中暴露的服务器上;或是关键服务器上;又或是RAS盒和验证服务器上。
网络IDS可置于:防火墙的前端;DMZ中位于防火墙的后面;内部网上位于dmz的后面;
局域网中的关键段;以及“你和外部网之间”。
尽管如此一些发起者担心将IDS置于外部防火墙的外面会带来误导性的结果:由于能够检测到试探性的端口扫描活动,你可以获得提早被警告的好处。但是并非所有的扫描活动之后都会是实质性的攻击。
随手可得的附加工具包括蜂窝模拟器和军用随身拨号器以及日志和文件完整性检查工具等。
日志能够“加强努力的效果,如果你一贯检查它们;或是毫无用处,如果你不这样做”,Dollicker说。
然而现在最有用的工具可能莫过于一个好的安全分析师,他能够从由多种IDS系统和工具清理出的繁多数据中发现有意义的东西。
系统间共享数据的开放标准的制定仍在筹划中。在最近另一份报告中,Gartner小组的分析人员指出:在过去一年中,产商们在提高自己产品性能方面取得了长足的进步。但是,现在是转变到追求另外一种进步的时候了。
“我们预言能够使IDS成为更有效率的企业安全工具的进步将出现在以下这些领域:数据收集,数据分析,相关性,报警和报告。监测和辨别非法活动的模式识别和人工智能会变得很普遍。主机和网络IDS代理必须以通用的格式将它们的数据传送到能以强大的,可用的接口呈现数据的中央控制器”。分析人员补充。
这个产业在过去许多年中一直在这些方面努力。Teresa Lunt在担任DARPA信息技术官的时候,首先努力尝试了开发通用入侵检测框架(CIDF),CIDF后来从DARPA脱生为一个独立的实体。
在DARPA内部讨论的一些想法后来催生了IETF的入侵检测工作小组(IDWG)。到目前为止,工作小组向IETF递交了考虑作为RFC的配置要求,语言和传送方面的文档。
研究人员在继续探索入侵检测的新方法。比如由DARPA赞助的EMERALD(能够响应非正常实时侵入的事件监测)项目一直在构建一个用于大型的,高度分布式的网络的侵入分析系统,这个系统是基于p-best命令解释器的专家系统。
EMERALD也使用并扩展了CIDF,它的目标是能够对侵入报告进行相关性分析,识别很大范围的攻击模式并且“推测出侵入者的意图。”针对Solaris 1.4的测试版本已经可以从网站上下载了。
转载地址:http://www.netsp.com.cn/Article/netsafe/idsips/200506/20050602135854.html
