褚永刚 杨义先
摘 要:提出了入侵检测系统(IDS)目前存在的主要问题,并从5个方面详细介绍了IDS的发展趋势,包括:改进检测方法以提高检测准确率;检测和防范分布式攻击及拒绝服务攻击;实现IDS与其他安全部件的互动;IDS的标准化工作;以及IDS的测试和评估。
主题词:入侵检测系统 监测准确率 分布式攻击 拒绝服务攻击 标准化 测试评估
入侵检测系统(IDS:Intrusion Detection System)作为一种重要的安全部件,是网络与信息安全防护体系的重要组成部分,是传统计算机安全机制的重要补充。自1980年被提出以来,IDS在20多年间得到了较快的发展。特别是近几年,由于非法入侵不断增多,网络与信息安全问题变得越来越突出。IDS作为一种主动防御技术,越来越受到人们的关注。
IDS首先通过在计算机网络或系统中的若干关键点收集信息并对收集到的信息进行分析,判断网络或系统中是否有违反安全策略的行为和被攻击的迹象,然后根据分析结果采取决策并作出适当的响应。目前,国内外有很多家研究机构在从事IDS的研究工作,不少厂家也开发出了IDS产品。但总的看来,现在对IDS的研究还不够深入,产品的性能也有待提高。具体说来,IDS目前存在的主要问题有:
·IDS产品的检测准确率比较低,漏报和误报比较多;
·对分布式攻击和拒绝服务攻击的检测和防范能力较弱;
·尚不能与其他安全部件很好地互动;
·缺乏国际、国内标准;
·对IDS产品的测试评估缺乏统一的标准和平台。
入侵检测技术还不够成熟和完善,有很大的研究、发展空间,而现存的问题就是今后入侵检测技术的主要研究方向。以下从5个方面详细介绍入侵检测技术的主要发展趋势。
改进检测方法 提高检测准确率
几年前,当IDS刚刚被作为一种重要的安全部件在国内被提出并使用时,人们对它的期望值很高。首先从理论上讲,IDS可以主动地检测到对系统或网络的入侵,并对这些入侵进行记录和响应,这是防火墙、身份识别和认证、加密解密等其他许多安全策略所不能做到的。因此,引入IDS可以弥补其他安全策略的不足,使得整个安全防护体系更加完善。其次,由于网络规模不断扩大,系统遭受的入侵和攻击越来越多,人们迫切需要一种可以有效防范和应对这些入侵的安全策略和产品。在这种形势下,国内许多安全产品方面的厂商纷纷开始开发自己的IDS产品,许多研究机构也开始了对IDS的研究,IDS成为网络与信息安全领域的一个研究热点。
近来,IDS虽然得到了比较大的发展,但总的情况并不让人满意。最大的问题是现在的入侵检测产品检测准确率比较低,误报和漏报的情况比较多。本来IDS是要减轻管理员的负担,结果出现的大量误报使得管理员疲于应付,最后不得已反而想放弃IDS。
出现这种情况的主要原因在于对IDS的研究还不够深入,技术上不够成熟。现在的IDS产品,主要可以分为基于主机的IDS和基于网络的IDS两种,使用的检测方法主要是误用检测(misuse detection)和异常检测(anomaly detection)。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的方法主要是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。
为了提高检测准确率,有人把其他领域的一些概念和方法引入到IDS中来,主要有神经网络、模糊理论、免疫系统、数据挖掘等。这些方法主要是为了增强IDS的学习能力,使得IDS可以智能地检测出未知攻击。但这些方法基本上还都处于研究阶段。
协议分析技术是一种比较好的误用检测技术,它弥补了模式匹配技术的一些不足,通过对协议进行解码,减少了IDS需要分析的数据量,从而提高了解析的速度,由于协议比较规范,因此协议分析的准确率比较高。目前一些产品已经实现或部分实现了协议分析技术。
此外,网络速度也构成了对检测准确率的挑战。现在网络的规模越来越大,网络的速度也在不断提高,因此IDS产品必须要能够适应大规模高速网络的要求,否则就会出现大量的漏报现象。为了能够适应高速网的要求,不得不改进IDS中一些现有的技术。
因此,改进现有的入侵检测方法,提出新的、可以应用于大规模高速网络的入侵检测方法,对于适应新的应用需要,提高IDS的准确率非常必要。
检测和防范分布式攻击与拒绝服务攻击
网络或主机受到的攻击最初都是由单机发起的,也就是参与对目标主机或网络攻击的只有一台机器。入侵检测技术的发展使得这种一对一的攻击方法越来越难以奏效。于是攻击者就采取使用多台主机,同时攻击一台机器的办法。这就是所谓的分布式攻击(distributed attack),它可以在很短时间内使被攻击的主机瘫痪。分布式攻击是多对一的攻击,完成一次攻击的时间比单机攻击更短,成功率更高。此类攻击的单机信息模式与正常通信几乎没有差异,通常的检测方法无法及时检测出来,因此分布式攻击更加隐蔽,更难被发现。
由于分布式攻击有着隐蔽性强,攻击力大的特点,因此现在入侵者使用分布式攻击进行入侵的情况越来越多。而目前的IDS产品对于分布式攻击的防范能力普遍较弱。如何很好地描述一种分布式攻击,检测到可疑攻击后如何将分开的攻击特征合并,从中确定分布式攻击,都是值得认真研究的课题。
近年来出现的拒绝服务攻击(DoS:Denial of Service)对网络安全和信息的可用性造成了巨大的威胁。它通过抢占目标主机系统资源,使得系统过载或崩溃,从而达到阻止合法用户使用系统的目的。1995年以后,DoS越来越多地成为黑客研究的热点,各种DoS攻击及其变种在网上广为流传,DoS事件频频发生。由于DoS多是利用系统的漏洞进行攻击,比如SYN风暴拒绝服务攻击是利用了TCP/IP的缺陷,Ping of Death拒绝服务攻击是利用了IP协议的缺陷。因此,防范DoS并不是一件容易的事情。现在对于DoS的研究比较多,国内一些厂家也开发出了专门应对DoS的产品,但要想很好地检测和防范DoS,还有很多工作要做。
1999年以来,一种综合了分布式攻击和拒绝服务攻击特点的新型攻击开始出现,这就是分布式拒绝服务攻击(DDoS:Distributed Denial of Service)。发起攻击的主机通过控制数台脆弱主机,把它们武装成一台台极具攻击力的攻击者,然后让它们同时对目标主机发起攻击,带宽在相差悬殊的力量对比下,目标主机很快就会崩溃。对于DDoS的研究已成为攻击研究的热点。
实现IDS与其他安全部件的互动
实现网络与信息的安全是一项系统工程,不是哪一种单独的安全部件就可以完成的。只有在不同的安全部件之间实现互联互动,才能够更好地发挥它们各自的作用,才可以比较好地保证网络与信息的安全。随着防火墙、入侵检测等技术的不断发展,实现它们之间的互动显得越来越重要。因此,对于安全部件之间的互动协议和接口标准的研究,也会是对IDS研究的一个重要方向。对于这方面的研究现在还比较少,一些IDS厂家只针对自己的产品做了一些接口函数,并且大多数是以防火墙为中心的。现在只有少数厂家是以IDS为中心考虑安全部件的互动和接口的,但也仅局限于自己开发的IDS和防火墙产品。
由于IDS的地位越来越重要,防护的网络规模越来越大,因此应该把IDS和其他安全部件放在一个对等的位置来考虑它们之间的互动。应该考虑不同厂家的IDS之间,IDS和防火墙之间,IDS与响应部件之间的互动。在这方面,还有不少具体的工作要做。
IDS的标准化工作
标准化的工作对于一项技术的发展至关重要。在某一个技术领域,如果没有相应的标准,那么该领域的发展将会是无序的。令人遗憾的是,尽管IDS经历了20多年的发展,近几年又成为网络与信息安全领域的一个研究热点,但到目前为止,尚没有一个相关的国际标准出现,国内也没有IDS方面的标准。因此,IDS的标准化工作应引起业界的广泛重视。
现在国际上主要有两个组织在做这方面的工作,它们是公共入侵检测框架工作组(CIDF)和入侵检测工作小组(IDWG)。CIDF早期由美国国防部高级研究计划署(DARPA)赞助研究,现在由CIDF工作组负责,这是一个开放组织。IDWG是互联网工程任务组(IETF)下的一个工作小组,专门研究制定入侵检测领域的草案(标准),它的工作目标是定义IDS中的数据格式、信息交换过程和交换协议。IDWG现在比较活跃,在不断修改它们提出的草案,力争使其成为国际标准。
在IDS中,应该进行标准化的工作主要包括:大规模分布式IDS的体系结构、入侵特征等数据的描述(格式)、IDS内部的通信协议和数据交换协议、安全部件间的互动协议和接口标准等。
IDS的测试和评估
近年来,IDS得到了很大的发展,我国在入侵检测方面的研究工作和产品开发也有了很大的进展,但现在对入侵检测测试评估方面的研究还不是很多。现在的入侵检测产品很需要一个大家公认的IDS测试评估标准,各个产品都使用这个统一的尺度来衡量、比较彼此的优劣。现在一些入侵检测产品的宣传未必就十分可信,即使是完全可信的,由于不是由权威的检测部门使用测试评估标准来进行检测得出的结果,所以也难免被使用者怀疑。因此,尽快建立一套IDS的测试评估标准,对产品开发商和用户都有好处。
进行测试评估的研究,关键的问题是:网络流量仿真、用户行为仿真、攻击特征库的构建、评估环境的实现和评测结果的分析。核心问题则是建立一个测试IDS的标准环境,这个环境可以模拟真实的网络流量、用户行为和攻击行为。所有的入侵检测产品都在这个标准环境下测试,自然就可以区分出产品的优劣。
对于IDS的测试和评估,虽然不是IDS本身的技术,但对于促进IDS的发展和IDS产品的推广非常重要。国家有关部门对此应该予以足够的重视。
----《世界电信》
|
