下一代入侵检测系统

http://www.diybl.com/　2007-6-16 　网络　点击: 　[ 评论 ]

一、介绍

今天的网络，广泛用于商业，企业，和政府机构中，各种信息网络，分布式数据存储技术，加密技术，VoIP语音网络，远程和无线接入，web服务等等为消费者，企业雇员和政府工作人员创造了内部或者广域的网络环境。

对于黑客，目前可以利用相对少的技术轻而易举的进入企业或者政府机构的网络，网络犯罪也是不再是黑客们的单独行为或者自由行为，今天的雇员甚至恐怖组织都通过Internet收集敏感的数据，刺探经济和政治内幕。

随着网络更加脆弱和黑客装备精良的计算机和掌握先进的手段，网络攻击行为不断上升并不令人惊讶，根据2001计算机安全机构（CSI）和美国安全局（FBI）的报告显示，70％的受调查网络承认和意识到在过去的12个月里遭到不同程度的攻击，30％的还不知道是否遭到过攻击，另外拒绝服务攻击DoS增加超过33％与去年同期相比，所有这些都是发生在我们现实网络中，而且还是90％安装了防火墙。

很清楚企业和政府需要进一步加强安全防范，和更新的解决方案，能有效的阻止他们的网络免于进攻和破坏，下面我们介绍一款商业上首次投入使用的实时网络入侵预警平台（real－time network intrusion prevention platform），把IDS推向一个新的高度和层次，这个整体的软硬件平台可以在一个Gbytes传输网络中采取广泛的防护来对付已知的进攻，首次未知进攻，拒绝服务进攻，他也提供一个弹性的管理方式给管理者处理多变的安全策略，满足单一部门或者多点分布和分散的全球商业或者组织机构的需要。

这篇文章着重讲IDS的好处，下一代IDS必须提供的技术，提出一个解决架构。

二、IDS需求

在多极安全结构中Firewall是广泛使用的第一层次的防护，主要是完成接入设备控制，允许指定的协议和指定的目标和源IP地址通过防火墙，整合接入策略实施，防火墙一般分析数据包头来决定如何引导和转发。一般不完全检测数据包的内容和不能检测或者发现嵌入在正常传发包中的危险或者进攻代码，要提醒大家的是路由器也提供一些初级的防御通过包过滤处理。

基于网络的IDS产品检测通过网络每个包的完整内容，检测恶意行为，包检测技术与防火墙和路由器相比提供更深的包分析功能，IDS是一个有效手段对付普通协议上老套的进攻行为，虽然在完整的网络安全技术中基于防火墙和路由器的包过滤是必要的组件，但是他们本身是不充分，不完整的。

三、认识IDS

IDS被普遍分为基于网络和基于主机两种，基于主机的IDS通过审计系统和事件日志保护一个网络中的终端系统，基于网络的可以监视网络中交换的各种包，他能够位于防火墙外面，位于严格控制进出的网络中或者网络中任意一个节点，典型的NIDS能针对特征检验，异常检验和拒绝服务攻击检验。

特征检验

针对已知的威胁和攻击（ICMP攻击）

异常检验

针对首次进攻和未知威胁进攻。（Red code）

拒绝服务攻击

DoS保护网络和系统免于过载而崩溃

没有一个单一的技术是万能的，为了增强企业或者政府网络的健壮性，这三种方法必须同时采纳，下一代IDS必须做到能检测更多的进攻：它应该能够精确检测和阻止来自网络外和自身网络中的进攻。

四、今天IDS的竞争

目前的IDS产品主要是特征检测，被设计在100M共享多媒体子网环境中，IDS产品也不能适应快速增加的交换和宽带的容量和不断增加的已知的攻击，当前IDS产品经常只能在监视模式下操作，象“sniffers”，能够检测进攻但是不能有效的和可信的阻断威胁在危害产生之前。

网络安全管理员部署IDS产品主要面向几个挑战：

1.不完整的进攻保险程度

IDS产品典型的集注在特征和异常检测或者DoS检测。网络安全管理员不得不购买和整合节点解决方案从分散的捕获设备，或者置网络的脆弱省给人攻击（因为没有办法）。

2.不精确的检测

IDS的检测能力被特征化根据精确度（accuracy）和特别性（specificity）精确度经常用“true detection rate”量度，有时候用“false negative rate”（错误的否定（否定为不是进攻）率）和“false positive rate”（错误的肯定（肯定其是进攻）率）参考，“true detection rate”指定描述为一个系统当遇到进攻时检测的成功或者有效程度怎样，“false positive rate”告诉我们一个系统遇到进攻没有发现其进攻行为的程度值。

特别性（specificity）：是当发现一个进攻时，能够检测出多少关于进攻的细节信息的量度。IDS的目前产品在没有威胁发生的时候都缺乏精确度（accuracy）和特别性（specificity），还生成太多的“false positive”（错误的判断率），并且进攻安全引擎报警（误报）。在某些方面，IDS产品能发出成千上万个错误警报，没有什么比一个连续错误报警的神经质的网络更糟的了。

3.检测，但是不能阻止

系统主要集中在检测上，阻止进攻是一个积极的行为，经常是太晚了而不能阻止入侵。

4.初始设计定型在100M子网

这样的方案不能适应速度的提高和网络设备的升级，不能精确的监视告高速网和交换网络。

5.有冲突和资源竞争的表现

运行在一般用途的PC/Sever硬件的软件应用程序没有能力执行完整的分析，这些低功率的产品导致不精确的检测和丢包，甚至在带宽不大的网络也发生。

6.高效利用的部署能力缺乏

只有单个端口的产品不能监视不对称的通讯流，随着网络逐渐成为顾客和同事间交流的主要工具，超前思考的公司组织已经开发了备份式系统防止在当前设备失效后启用，当前的IDS没有能力，对于任何网络部署，来对付导致他们本身实际无用的服务失败。

7.很缺乏的可伸缩性

设计在低端的部署IDS系统产品不能伸缩对于大中型企业或者政府网络。被监视的网络，被监视的网段数量，需要的传感器的数量，报警率，网络地理拓扑超出系统的限制。

8.无多策略的实施

当前的产品一般支持唯一的安全策略选择对于完整的系统，即使产品可以监视属于多管理域通讯，在一个企业这可能是金融，市场或者分析功能，这个一个尺度适应所有（one size fits all）的方式不再被需要不同安全级别策略的来对应每个职能的公司或者组织接受。

9.需要优秀和广泛的IT资源

当前的IDS产品需要熟悉的手把手的管理，例如简单的频繁特征库升级任务能花去许多时间和工程人员的资源，花费很高买特征库的所有权。

对于这些限制，本文介绍的IDS系统开发了一个新的结构，检测和阻止已知、未知和DoS进攻下面具体讨论。

五、安全结构

SSL通讯

入侵检测阻止系统升级服务

网页浏览器方式管理端

环境配置服务

安全

策略

Profile

可管理的域

威胁

数据库

特征库

取证分析

通讯包日志

警报分析

报告记录

数据融合

聚合

相关性

反应系统

报警信息分发

用户定义行为

入侵阻止服务

弃进攻包

中止会话

改fw规则

生成警报

记录包

检测下面三种进攻的相关性

特征检测

特征数据库

异常检测

profiles

DoS/DdoS检测

profiles

基于状态分析

Capture 捕获

SPAN

TAP

IN_LINE

PORTCLUSTERS

虚拟入侵检测系统

安全通道

这个结构主要包括三个部分：传感器系统，管理软件系统，和升级服务系统。下面具体介绍每个部分具体的新功能。

六、捕获

传感器端能够通过一系列方法捕获网络进攻：

1、Switched Port Analyzer (SPAN) and Hub Monitoring

Switched Port Analyzer (SPAN) and Hub Monitoring:HUB端口或者一个或更多的网络交换机上的交换机端口能够连接到SENSOR系统的检测端口上，反应行为包括：重置TCP连接（那些经常被传感器拒绝在相同端口的TCP连接），

2、Tap Mode:

Tap Mode: 网络通讯在一个完全双重的以太网网络连接重双向监视，通过充分捕获着阿各连接重的所有通讯包，一个更加清晰认识网络进攻的源和网络进攻的本质能被揭示和发送，提供详细的信息以为阻止未来进攻而需。完全双向的监视捕获能力允许这个系统保持完全的状态信息，反应行为通过专用反应端口（dedicated response ports）包括防火墙重配置或者初始化TCP初始过程。