信息安全中五大检测机制
一、检测技术在信息安全中的关键地位
检测技术是信息安全的三大技术门类之一,也是一个非常大的一个分支。检测技术,与攻击技术和结构技术相互影响,从某种程度上决定了信息安全技术的发展,进而决定了整个产业的走向。从上世纪末开始,病毒检测技术、入侵检测和漏洞扫描技术就与防火墙技术几乎三分了信息安全市场的全部份额,成就了信息安全市场的“三大件”。 对于检测技术的持续研究是非常必要。那些认为检测技术已经完全成熟、或已经过时的想法都是非常错误的。一个典型的错误观点就是“IDS无用论”,这种错误观点是源于对检测技术及其内在机理的不理解所带来的误解。 当我们将信息安全与其他一些领域进行对比,就更能了解到检测技术的重要地位。在医疗和保健领域,诊断是首先要做好并且要务求准确的一类活动,甚至于几乎完全决定着之后的处置过程;在军事领域,在作战中无非攻与防,而攻防都需要具有足够的情报才能做得“知己知彼,百战不殆”。其实,任何复杂系统的正常运转和管理,都必须有好的检测手段来保证。
二、五大检测机制
l
旁路监听 :对网络上的数据流进行监听分析,如IDS网络入侵检测系统等。 l
日志记录 :服务器或其他系统对自身上的操作进行记录并报告,如日志系统等。 l
主动扫描 :从外部对网络上的各个节点进行检查,如漏洞扫描系统等。 l
举报投票 :对自身遇到的异常进行举报和评判,如垃圾邮件投诉系统等。 l
汇总分析 :对各种检测机制的结果进行综合分析,如安全管理平台等。 对于这五种检测机制,可以将前四种理解为检测的数据发现而第五种作为检测的综合决断。下图中模式化地按照“3+1安全域”模式,将网络分解成服务域、互联域、终端域加上管理域。图中的颜色线条基本表达了5种检测机制的模式。
在信息安全领域中,最典型的旁路监听就是IDS入侵检测系统。旁路监听就是要在服务者和被服务者之间,或者其他数据交互之间默默地听着。IDS听着网络而不影响数据包在网络中流过。除了IDS之外,网络审计系统、网络协议分析系统sniffer类也都属于旁路监听的系统。
如果将旁路监听功能强行嵌入到网关中,就相当于强制流量必须通过规定的旁路监听功能。比如,防火墙、IPS、UTM等就都是这样。所以,把网关检测和旁路监听看成一类也可,看成别类也可。但是,其核心检测技术是非常相似的。所以IDS和IPS如同孪生兄弟,没有IDS能力而做出来的IPS肯定是不靠谱儿的。
[separator]
日志记录都是由服务器系统主动记录相关的访问行为。当然,客户端系统也可以记录日志,但我们常说的还是服务器日志。日志系统的记录活动并不影响业务的正常开展,当然可能会影响其性能。
网络漏洞扫描器是一类非常传统的安全技术,也是主动扫描的代表。主动扫描不同于旁路监听,其主要通过模拟服务请求者、攻击者的行为,查看服务者(服务器)的反应。
在互联网中常常存在一些投票活动,比如:看看到底是姚明是老大还是麦迪是老大。让服务请求者/访问者对一个话题有意无意地发表看法,并对这些看法进行汇总。有这样特征的系统被认为是举报投票方式。
比如,某webmail提供商的反垃圾邮件能力很强,其中部分机制就是通过其提供的report spam功能,汇总全世界众多用户对于垃圾邮件的选择,从而更加准确地识别出垃圾邮件和垃圾邮件源。这其实利用的就是“群众们雪亮的眼睛”。
这种举报和投票机制,对于需要以特征为检测知识库的监测系统特别有效,可以成为提高特征判别准确性的重要支持方法。比如:反垃圾邮件、防病毒、IDS、扫描器、防木马、防恶意插件等等。而这种机制,也常常成为云模式安全的起步。
旁路监听和日志记录的能力发展到比较极致的情况,并不是把一个单点的检测做到作强悍,而是将监听和日志建立起来一个网、一个平台。这个网是否厉害,最重要的指标是这个网的覆盖度和粒度。也就是看看这网有多大,网眼有多密集。“监测覆盖度”就是这样的一个指标。
这样一个监控网/平台,其关键能力就是能否全面的汇总各种检测机制的数据,并能够进行有效的关联分析。
三、五大检测机制的对比分析
把前述的五大检测机制放在一起进行一下对比:
| | | 一般部署在设备上,特别是服务器上,由系统和应用自己记录 也就是部署在服务的服务端上(当然,也可以部署在客户端的软件中) | | 一般部署在管理者的终端上;也就是部署在服务的第三方管理者的位置 | | 一般都由用户发起,由人发起;也就是“部署”在服务的需求者 | | |
| 由原始数据变成有意义的检测内容需要先做协议分析等预处理工作;之后,再将检测数据与特征数据库或者异常判定规则进行对比。 | | 日志记录都是由系统和应用自己记录的,所以可以直接记录有意义的数据和字段。在记录的时候,就已经可以做出初步的判断了。当然,更加复杂的“异常”判断还要提交到综合分析环节才能判定。 | | 主动扫描是一种刺探方式。发出数据、做出请求,然后看看系统的反馈,依照反馈的情况作出判定。也要依赖特征库。 | | | | 各方面数据汇总在一起,分析判断需要知识库作为第一步初选,然后再由人自己作出分析判断。 |
| | | 服务器的LOG、客户端管理的日志记录、各种应用系统的LOG、流量异常检测-sflow/netflow | | | | | | |
| 旁路听的常常是一个过程;一个事件常常成为检测的对象 | | 日志是记录在服务器上发生的一些事情,也是对事件的一种检测 | | 扫描一般会有一个被扫描的客体,比如:一个主机操作系统、一个网站等等; | | 对于呈现在眼前的东西,经过人的判断后,提交举报,这里检测出来的是结果和对于结果的一个判断 既可以是一个发生的事件也可以是对于某些客体的状态判断 | | |
| 流过的流量非常多样,从中提取有用的部分较难,非常容易受到各种因素的干扰 | | 日志系统都要嵌入到系统本身,会影响到系统本身的运行正常和性能 由于日志记录方式在系统初始的时候就已经确定,新情况的表达受到限制 | | | | | | 最大的弱点就是“复杂”。而作为中央汇总分析,不复杂不全面又不可以。 |
四、五大检测机制的发展方向和推荐课题
这里简单预测了这五大检测机制的发展方向。
| 旁路监听能力的U化(一体化)是必然的一个要求。讲入侵检测、应用协议审计、流量分析等旁路功能合一是这种部署方式的必然要求。在这样的合一化的过程中,也能够通过协同分析得到更强的检测能力。 而检测能力一体化地嵌入到网关中,已经出现了UTM这样的技术和产品了。 | | 日志记录本身受到服务器系统的限制,难于有大的改进。其能力提高都要到汇总分析模式中去解决。 | | 在当前的爆炸式的网络环境中,要想做好主动扫描,就不得不结合“爬虫”技术了。也就是说,用爬虫技术获得被扫描对象,然后用微观的局部扫描技术进行个体扫描,再然后将众多扫描结果汇总后,形成一个整体的宏观的爬虫扫描结果。
| | 这种机制天然地就会和现在流行的云计算、云模式相结合。 | | 关联分析必然成为永久的课题。对于复杂行为的分析模式是研究不完的课题。 |
如果认可这样的发展路径,那我们真的要在这些方向上多投入一些切切实实的研究力量了。这些投入既需要信息安全专业公司的投入,也需要大学和科研院所研究精力的投入。列出一些课题的题目,供读者们参考。
| | | IDS是匹配恶意数据包,匹配上的有问题;审计主要是匹配合规数据包,不符合的有问题。如何将这两种机制有效地整合,并用合一的高效算法实现。 | | | | 多种日志的各式各样的日志格式给综合日志分析带来了很大的困难。能否总结出比较通用的一些日志格式,逐步引导日志格式的统一。 | | 既要有效地完成检测,又要侵犯被检测对象,这里不仅仅有技术问题,还有法律问题。 | | 将僵尸网的僵尸和控制服务器作为主要检测对象,进而通过云模式的分布式计算和相应能力完成钳制和瓦解僵尸网的目的。 | | 一个大范围的监控系统,其自身的通信就可能占用很多资源。而这很可能成为拒绝服务攻击的弱点。所以对于任何一个这样的系统,都要预见其通信特征。 |
期望更多的人投入到对于检测机制和检测技术的研究、实现和实践中来。 | 
IP卡
狗仔卡
发表于 2009-12-19 20:38:38
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2010-1-7 08:48:02