入侵检测系统的攻击识别及管理技术

network

入侵检测系统的攻击识别及管理技术 不同的入侵检测系统 IDS 对于网络入侵的识别方式存在着明显的差异。不同入侵检测方法拥有不同的特点，一般而言，入侵检测方式包括：简单的模式匹配方式，状态模式匹配方式，基于协议解码的特征识别方式，启发式特征识别方式，以及异常情况检测方式。 “特征”在入侵检测中表示一组条件在达到这些条件时就意味着发生了某种入侵，事件特征所使用的算法可能基于五种方式中的任何一种（例如一个异常情况检测特征），这一点非常重要，因为与其他方式相比，“特征”一词通常与模式匹配方式结合得更加紧密。事实上这经常会让人们误以为基于特征的 IDS 仅限于模式匹配方式，而这种定义有助于消除这种误解。 模式匹配 状态模式匹配 基于协议解码的分析 启发式分析 基于异常情况的分析 总结 模式匹配 简而言之，模式匹配方式是在单一的分组中寻找一个固定的字节序列。顾名思义，模式匹配方式是一种非常严格但是便于部署的入侵检测方法。在大多数情况下只有在可疑的分组与某个特定的服务相关联，或者更加确切地说分组来自于 / 发往某个特定端口的时候，才应当采用模式匹配方式。这有助于减少对每个分组进行的检测。但是它可能会让系统难以处理一些并不依赖于某个明确定义的端口的协议，比如是特洛伊木马攻击及其相关的流量，从而让这些流量可以随意传输。 基于简单的模式匹配方式的特征的结构可能为：如果分组基于 IPv4 和 TCP 协议，目的地端口是 2222 并且负载中包含字符串 foo 就会触发警报。当然这个模式匹配方式的例子非常简单，但是可以从它衍生出各种变化。例如，可以在分组中指定检测的起始点和终止点，或者可以指定需要检测的分组的 TCP 标记。目前这种技术仍然是入侵检测系统中最简单最基本的构成模块，它同时具有优缺点 优点： 检测入侵的最简单的方法 可以直接将对漏洞的利用和入侵模式关联起来，具有很高的针对性 这种方式可以根据指定的模式可靠地发出警报 这种方式适用于所有协议 缺点： 如果入侵模式并不具有特征编写人员事先所预料的唯一性，那么这种方式可能会导致很高的误报率 攻击方式的任何变动都可能会导致遗漏事件漏报 这种方式可能需要根据多个特征来识别某个可能会被利用的安全漏洞，因为多种工具可以提供多个特征 这种方式通常只限于检测单一的分组，因而并不能很好地适应某些网络流量（例如 HTTP 流量）基于数据流的传输特性。这可能会导致攻击者能够通过一些便于部署的逃避技术而躲过检测 状态模式匹配 基于状态模式匹配的分析方式是一种更为先进的入侵检测方法。这种特征扩展方式为模式匹配添加了一种新的概念，即因为网络数据流中含有多个基本的分组，所以能够在数据流的状态中进行上下文匹配。这意味着进行这种特征分析的系统必须考虑到 TCP 数据流中各个分组的到达顺序并应当能够处理跨越多个分组的匹配模式。这种方式对在探讨简单的模式匹配方式时所介绍的例子会产生什么样的影响？通过这种方式系统并不需要在每个分组中搜寻入侵模式，而是可以持续监控整个 TCP 数据流的状态信息。 为了便于理解这两种方式之间的区别，请考虑下面这种情况： 假设您所搜寻的攻击来自于一个连接到服务器的客户端，而您在 IDS 系统上采用了模式匹配方式，如果在攻击者发动攻击的过程中有某一个 TCP 分组的目标端口为 2222 ，并且包含字符串 foo 就会触发警报；但是如果攻击者将触发警报的字符串 foo 分割在两个分组中发送即在第一个发送到服务器的分组中发送 fo ， 在第二个中发送 o ， 那么就不会触发警报，可是如果采用了状态模式匹配算法，传感器就会将字符串的 fo 部分存储下来并能够在客户端发出 .o 之后完成整个匹配。状态模式匹配同样具有优缺点： 优点： 与简单的模式匹配相比这种方式只需要轻微地增加一点工作量 这种方式可以直接将对漏洞的利用和入侵模式关联起来，具有很高的针对性 这种方式适用于所有的协议 这种方式可以略微增加入侵的难度 缺点： 如果入侵模式并不具有特征编写人员事先所预料的唯一性这种方式可能会导致很高的误报率 攻击方式的任何变动都可能会导致遗漏事件漏报 这种方式可能需要根据多个特征来识别某个可能会被利用的安全漏洞，多种工具可以提供多个特征 基于协议解码的分析 基于协议解码的特征识别方式从多个方面对状态模式匹配方式进行了智能化的扩展。这种特征的部署原理是以与会话中的客户端或者服务器端相同的方式解码，各个协议组件在找出协议的各个组件之后 IDS 系统就会采用根据 RFC 定义的规则搜寻入侵模式，在某些情况下系统可以通过在某个特定的协议域中进行模式匹配来发现这些入侵，而有些则需要采用一些更加先进的技术，它们可以根据一些特定的变量例如某个域的长度或者自变量的数量检测入侵。 注意：有时候可能会让误以为模式匹配和协议解码是互斥的，但是事实并非如此。为了便于说明，在这里再次引用前面所提到的基本攻击的例子，假设攻击所基于的协议是一种假定的 BGS 协议，更加确切地说假设攻击要求必须将非法变量 foo 加入到 BGS 的 Type 域中，为了进一步提高情况的复杂性假设 Type 域前面有一个名为 BGS Options ， BGS 选项的变量长度域，有效的选项包括 fooh mooh tormer 和 buildo ， 在这种情况下采用简单或者状态模式匹配算法就会导致误报因为选项 fooh 中含有所要搜寻的模式。 此外因为域长度是可变的，所以无法通过设定搜寻的起始和终止位置来消除这种误报，唯一一种能够确定 foo 已被加入到 BGS 的类型变量中的方法就是完全地解码该协议，如果协议中包含一些模式匹配算法难以识别的行为，那么不进行完全的协议解码还可能会导致漏报。例如如果 BGS 协议可以在报头中设定了某个值的情况下，允许每隔一个字节出现一个 NULL ，那么模式匹配器就可能无法发现。 fx00ox00ox00 支持协议解码的分析引擎可以除去 NULL 值，并在发现 Type 域中存在 foo 的情况下触发警报 优点： 只要准确地定义和严格地遵守协议这种方式，可以最大限度地减少发生误报的可能性 这种方式可以与对漏洞的利用建立起直接的关联 这种方式可以做到更加广泛和通用，从而能够检测到某个主题的各种变化 这种方式可以针对违反事先设定的协议规则的情况可靠地触发警报 缺点： 如果RFC不太明确，并让开发人员自行决定如何解释和部署协议，那么这种方式可能会导致很高的误报率。但是对于这种定义并不明确的协议的攻击很常见 这种方式需要较长的开发周期以正确地部署协议分析器 启发式分析 启发式特征会根据某种算法逻辑制定它们的警报决策。这些算法通常是对网络中出现的流量类型的统计。评估这种类型的特征的典型例子之一是一种用于检测 port sweep 攻击的特征，这种特征可以发现某个特定主机上被连接的不重复端口数量达到某个阀值的情况，该特征还可以通过它所针对的分组类型即 SYN 分组的特性进一步限制检测的范围，另外可能还会要求所有探测器都来自于同一个源头。这种特征需要设置某些阀值，让它们可以符合它们所监控的网络上的使用模式，这种特征还可以用于搜寻非常复杂的关系和特定的简单统计实例 优点： 有些类型的可疑/恶意活动无法通过其他方式检测到 缺点： 算法可能需要进行调整或者修改以便更好地符合网络流量的实际情况从而减少误报情况 基于异常情况的分析 基于异常情况的特征检测方式通常是指搜寻那些违反正常情况的网络流量。这种方式的最大问题在于首先要确定什么是正常情况，有些系统已经通过固化代码对正常情况进行了定义，在这种情况下它们可以被视为启发式系统。而有些系统采用的方法是设定正常情况，但是这种系统所面临的挑战是如何避免错误地将不正常行为视为正常行为的可能性，而且如果所设定的流量模式被视为正常，那么该系统就必须设法区分哪些是可以允许的偏差，哪些是不能允许的，哪些是代表着攻击的流量，这个领域的工作主要局限于学术界。基于简历的检测方式是这种检测的一个子类。这种系统可以根据用户或者系统与网络间互动方式的变化来决定是否触发警报。它在推断行为变化的意图方面，面临着与其父类检测相同的限制和问题 根据趋势统计数据可以了解到一些有趣的事实，人们可以根据这些算法检测持续的攻击。但是，这些系统所提供的信息通常非常宽泛，需要进行进一步的调查并将它放到适当的情境中。 在某些情况下，各种方式之间的界限是比较模糊的，因为大部分协议解码分析引擎并不会在发现发生了直接关系到任何已知攻击的协议攻击情况时发出警报，而是会对异常情况，例如基于长度的缓存溢出检测发出警报。因此在这种情况下，引擎具有基于异常情况的系统的特性。但是，很多以基于这些技术的系统为课题的学术研究项目都表明，它们的作用非常有限，而且并没有取得显著的成果。从学术研究领域观察到的有限成功，从一个侧面证明了下面这句名言：如果有什么事物听起来过于美好，以至于不像是真的，那么它很可能就不是真的。 优点： 如果这种方式得以正确部署它可以检测到某些未知的攻击 因为不需要扩展新的特征，所以这种方式的管理负担较轻 缺点： 一般而言，这些系统并不能为您提供详细的入侵数据，它会让您意识到可能发生了某种可怕的事情，但是系统并不能提供任何准确的答复 在大多数情况下信噪比很低 这种方式的效果在很大程度上取决于系统设置正常情况的环境 总结 那么究竟哪种方式最好？答案很简单，这取决于您想要做什么。根据所要解决的问题，或者所要检测的攻击选择相应的工具。综合方式相当有利于协议解码，而启发式特征是其次最常用的检测方式模式匹配方式。 不管采用那种入侵检测方式， IDS 入侵检测方面都面临一个具大挑战，即如何管网络理系统每天所产生的上百万的警报信息。这需要一种可以隔离和优先处理代表着实际安全威胁消息的自动化处理技术，即安全信息管理（ SIM ）的软件技术。利用这种技术，可以管理不断扩大的安全基础设施和有效地监控数百万个事件消息。 利用安全信息管理（ SIM ）技术，将获得一个可以提供下列优势的解决方案： 对于多厂商安全环境的、全面的事件监控 进的虚拟化，可以实现迅速、直观的安全监控 集成化的风险评估，可以揭示企业中的任何特定资产的总体风险 对于所有级别的安全操作的全面报告和预测 生产率增益和成本降低 其处理流程可以通过四个不同的阶段，搜集、分析和关联来自于网络的安全事件信息：规范化、汇总、关联和虚拟化。 总之，思科公司在 IDS 入侵检测方面拥有丰富的经验和技术优势。随着 IT 基础设施的安全保障任务变得越来越具有挑战性，思科公司可以为广大的用户提供可靠 IDS 入侵检测技术，帮助用户降低攻击风险，在发生攻击时加快响应速度，进而帮助获得实际、显著的 ROI 。