入侵監(jiān)測存在的三個(gè)問題和未來發(fā)展方向

譚崇暢


　　入侵檢測系統(tǒng)往往被認(rèn)為是保護(hù)網(wǎng)絡(luò)系統(tǒng)的“最后一道安全防線”。今天的網(wǎng)絡(luò)黑客已經(jīng)學(xué)會將真正的攻擊動作隱藏在大量虛假報(bào)警之中，這使得用戶質(zhì)疑。



　　近年來，針對網(wǎng)絡(luò)系統(tǒng)發(fā)起的攻擊技術(shù)大有水漲船高之勢，入侵檢測系統(tǒng)的開發(fā)者正在面臨一個(gè)兩難選擇：發(fā)現(xiàn)異�，F(xiàn)象時(shí)，是報(bào)警，還是不報(bào)警？不報(bào)警，擔(dān)心有漏網(wǎng)之魚；報(bào)警，則有可能正中攻擊者的圈套。



　　入侵監(jiān)測統(tǒng)存在的三個(gè)問題



　　根據(jù)國外權(quán)威機(jī)構(gòu)近來發(fā)布的入侵檢測產(chǎn)品評測報(bào)告，目前主流的入侵檢測系統(tǒng)大都存在三個(gè)問題：一、存在過多的報(bào)警信息，即使在沒有直接針對入侵檢測系統(tǒng)本身的惡意攻擊時(shí)，入侵檢測系統(tǒng)也會發(fā)出大量報(bào)警。二、入侵檢測系統(tǒng)自身的抗強(qiáng)力攻擊能力差。我們知道，入侵檢測系統(tǒng)的智能分析能力越強(qiáng)，處理越復(fù)雜，抗強(qiáng)力攻擊的能力就越差。目前入侵檢測系統(tǒng)的設(shè)計(jì)趨勢是，越來越多地追蹤和分析網(wǎng)絡(luò)數(shù)據(jù)流狀態(tài)，使系統(tǒng)的智能分析能力得到提高，但由此引起的弊端是系統(tǒng)的健壯性被削弱，并且，對高帶寬網(wǎng)絡(luò)的適應(yīng)能力有所下降。三是缺乏檢測高水平攻擊者的有效手段�，F(xiàn)有的入侵檢測系統(tǒng)一般都設(shè)置了閥值，只要攻擊者將網(wǎng)絡(luò)探測、攻擊速度和頻率控制在閥值之下，入侵檢測系統(tǒng)就不會報(bào)警。鑒于以上三點(diǎn)，許多用戶質(zhì)疑：按照入侵檢測系統(tǒng)目前的技術(shù)現(xiàn)狀，它值得投資部署嗎？



　　IDS需要技術(shù)創(chuàng)新



　　這種質(zhì)疑不是沒有道理。一個(gè)配置合理的防火墻加上完善的網(wǎng)絡(luò)安全管理策略，完全可以對付低水平的攻擊行為。人們費(fèi)盡心機(jī)構(gòu)建的“最后的防線”——入侵檢測系統(tǒng)，必須能夠有效防范“高手”攻擊。但是，如果沒有一個(gè)全新的設(shè)計(jì)思路，目前的入侵檢測系統(tǒng)是不能完全勝任此項(xiàng)重任的。究其原因，主要在于以下三點(diǎn)。



　　首先，現(xiàn)有的入侵檢測系統(tǒng)依賴于一個(gè)攻擊特征庫來識別已知攻擊。從這個(gè)角度來看，它并不比一般的病毒檢測方法高明多少�；�于攻擊特征庫的設(shè)計(jì)有著兩個(gè)明顯的缺點(diǎn)。其一，很難發(fā)現(xiàn)新的攻擊手段；其二，攻擊者同樣可以利用Internet上公布的攻擊特征庫，在一分鐘之內(nèi)，使一個(gè)入侵檢測系統(tǒng)產(chǎn)生上千條報(bào)警。



　　第二，在網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)上，入侵檢測系統(tǒng)通常被部署于防火墻之內(nèi)。這并不是擔(dān)心入侵檢測系統(tǒng)會受到直接攻擊，真正原因是，現(xiàn)有的網(wǎng)絡(luò)攻擊已經(jīng)非常頻繁，一個(gè)放置于防火墻之外的入侵檢測系統(tǒng)會讓安全管理者沒有片刻的安寧。但這卻是一個(gè)設(shè)計(jì)失誤——被防火墻系統(tǒng)阻攔住的外部攻擊包對于入侵檢測系統(tǒng)進(jìn)行有效網(wǎng)絡(luò)攻擊智能分析具有非常重要的價(jià)值。實(shí)際上，缺乏有效的信息源是現(xiàn)有的入侵檢測系統(tǒng)表現(xiàn)“低能”的根本原因。



　　第三，網(wǎng)絡(luò)中上演的攻擊和反攻擊與人類戰(zhàn)爭有相似之處，都是攻與防的較量，如果防守者不采取積極防御措施，永遠(yuǎn)只能處于被動挨打局面。具體到入侵檢測系統(tǒng)，積極防御并不是在發(fā)現(xiàn)攻擊者時(shí)發(fā)送警告，甚至回敬幾個(gè)攻擊包“打死”對方，而是一種“欺騙戰(zhàn)術(shù)”，其基本思想是，建立一個(gè)完整的信息保護(hù)體系，使各種虛假信息和真實(shí)信息混于一體，從而達(dá)到信息保護(hù)的目的。就網(wǎng)絡(luò)入侵檢測而言，當(dāng)一個(gè)攻擊者在全面摸清了目標(biāo)網(wǎng)絡(luò)的詳細(xì)情況之后，人們要想防止其進(jìn)攻幾乎是不可能的。一個(gè)攻擊高手往往會用很長時(shí)間去探查一個(gè)網(wǎng)絡(luò)，在進(jìn)行一番詳細(xì)偵察之后，攻擊者只須靜待一個(gè)新的系統(tǒng)漏洞的出現(xiàn)。例如，如果攻擊者獲悉了Windows 2000服務(wù)器存在的一個(gè)堆棧溢出漏洞，他就可能在一分鐘之內(nèi)，占領(lǐng)目標(biāo)主機(jī)，并在另外一分鐘之內(nèi)，控制整個(gè)目標(biāo)網(wǎng)絡(luò)。



　　從積極防御的角度看，保護(hù)一個(gè)網(wǎng)絡(luò)必須從兩方面入手。一是在入侵者早期網(wǎng)絡(luò)偵察時(shí)及時(shí)發(fā)現(xiàn)對方，二是通過回應(yīng)欺騙信息給窺探者，并在隨后發(fā)生的實(shí)際攻擊時(shí)準(zhǔn)確判定入侵者的身份。以上兩點(diǎn)是相輔相成的。需要指出的是，這種基于欺騙戰(zhàn)術(shù)的積極防御，不同于傳統(tǒng)的陷阱系統(tǒng)設(shè)計(jì)，大多數(shù)安全專家認(rèn)為，一個(gè)配置有誤的陷阱系統(tǒng)無疑是一扇敞開的大門，而且一個(gè)被攻占的陷阱系統(tǒng)會給用戶帶來法律上的麻煩，他們不贊成使用。



　　積極防御是有益的嘗試



　　ActiveDefense（積極防御）技術(shù)是由廣州前衛(wèi)信息安全技術(shù)有限公司自主研發(fā)的技術(shù)，它應(yīng)用在其eDefence 2000入侵檢測系統(tǒng)之中，可以使一個(gè)實(shí)際網(wǎng)絡(luò)變得真假難辨。部署于防火墻之外的eDefence 2000系統(tǒng)能夠?qū)崟r(shí)檢測網(wǎng)絡(luò)攻擊，同時(shí)還能夠在入侵者前來窺探時(shí)施放各種“煙幕彈”。



　　該系統(tǒng)另一個(gè)與眾不同的設(shè)計(jì)是，它將檢測系統(tǒng)分為前后兩臺機(jī)器，后臺系統(tǒng)不再是一個(gè)簡單的管理終端，而是一個(gè)有著豐富知識庫的專家系統(tǒng)。利用專家系統(tǒng)提供的面向分析推理的規(guī)則語言，只須編寫幾條規(guī)則，而后存入知識庫，就可以一眼看出入侵者的真面目。一前一后的雙機(jī)設(shè)計(jì)從根本上改善了整個(gè)入侵檢測系統(tǒng)的抗攻擊能力。



　　在網(wǎng)絡(luò)世界中上演的的攻防戰(zhàn)爭將永遠(yuǎn)是一場沒有盡頭、“魔高一尺，道高一丈”的斗爭。




摘自　賽迪網(wǎng)