一、引言
由於現在有了因特網,網絡安保已經成了工業企業最關注的話題。入侵檢測系統(IDS)用於檢測那些不需要對工業自動化控制系統(IACS)訪問和操作,特別是通過網絡。它是一種專用工具,知道如何分析和解釋網絡流量和主機活動。 IDS的主要目標是對IACS網絡檢測入侵和入侵企圖,讓網絡管理員採取適當的緩解和補救措施。IDS不會阻止這些攻擊,但會讓用戶知道什麼時候發生了攻擊。 此外,IDS把已知的攻擊特徵和相關的活動、流量、行爲模式存儲到數據庫,當監測數據發現存儲的特徵與當前的特徵或者行爲非常接近時,通過比對就可以識別出來。這時,IDS能發出警報或警示,並蒐集這些破壞活動的證據。
入侵檢測提供了一種識別的方法,因此可以對系統的攻擊進行反應。檢測到攻擊是一回事,阻止攻擊則是另一回事。這時,最高等級的IT安保行動是防止攻擊和可能的災害;而IDS往往只能帶來一點點這樣的功能。因此,對入侵檢測系統功能的擴展,就產生了入侵防禦系統(IPS)。在當前防禦能力不足的情況下,驅動了這一新的安全產品誕生,被稱爲入侵防禦系統。
入侵防禦系統是一種網絡安全設備,監控網絡和系統的活動,對惡意或有害的行爲可以進行實時反應,以阻止或防止這些活動帶來的破壞。
IPS是基於應用內容來決定是否能對IACS進行訪問,而不是像傳統的防火牆,用IP地址或端口做決定。這種系統採用的是積極的防禦機制,在正常的網絡信息流中檢測惡意數據包並阻止其入侵,看在任何損害發生之前自動阻斷惡意流量,而不是簡單地提出警報,或者在惡意的有效載荷已交付之後再動作。
二、入侵檢測系統
IDS對網絡信息進行分析,發現惡意活動時就立即報警。在攻擊開始後他們一般都能夠發出特殊報文復位TCP連接,有些甚至可以與防火牆系統連接,馬上重寫防火牆的規則集。
IDS有兩種基本類型,即特徵型和啓發型。運行在工作站上的IDS被稱爲主機入侵檢測系統(HIDS),而那些獨立在網絡上運行的設備被稱爲網絡入侵檢測系統(NIDS)。 HIDS利用其主機的資源,在主機上監測信息流檢測攻擊。NIDS作爲一種獨立設備在網絡上監測信息流檢測攻擊。 NIDS也有兩種形式,特徵型NIDS和啓發型NIDS。這兩種類型提供了不同程度的網絡入侵檢測。
今天,我們可以按照IDS所監視的活動、流量、交易、或系統來區分IDS:
" 監測網絡連接和骨幹尋找攻擊特徵的IDS被稱爲:基於網絡的IDS,而那些在主機上運行,保衛和監視操作和文件系統入侵跡象的IDS,被稱爲基於主機的IDS;
" 作爲遠程檢測並向中央管理站報告的IDS組,被稱爲分佈式IDS;
" 一個網關IDS是一種網絡IDS,部署在內部網絡和其他網絡之間,監視進出內部網絡中轉站的信息流。
" 側重於理解和分析特定應用程序邏輯以及底層協議的IDS通常被稱爲應用IDS。
按照事件分析方法也可以區分不同的IDS。有的IDS主要使用特徵檢測技術。這與許多防病毒程序的方法類似,使用病毒特徵碼(特徵)來識別,並阻止受感染的文件、程序或活動Web內容進入計算機。依靠當前網絡流量和正常活動的差異發出入侵警告的IDS被稱爲異常檢測系統(ADS)。這種類型的IDS通常捕捉來自網絡的數據,對數據使用ADS規則檢出差異。
漏報與誤報
考慮組織機構的首要安保指標是NIDS檢測攻擊的準確性和準確性頻率。爲了確定啓發型和特徵型NIDS的準確率,要對這些系統的漏報和誤報進行統計。誤報與特徵型NIDS相關。特徵型NIDS需要把其數據庫中的特徵與進入網絡的數據特徵進行匹配。
已知病毒和其他惡意代碼的特徵放在數據庫中用於特徵匹配。其結果,任何具有特徵的攻擊可以被準確地識別和檢出。不幸的是,新創建的惡意代碼或更改後的已知病毒使系統無法發現,這被稱爲漏報。這種缺點是特徵型NIDS的缺陷,不具備檢測新型攻擊或改頭換面攻擊的能力。特徵型NIDS還會誤報的情況是使用過時的惡意特徵,可能會對一個新的良性應用特徵報警,這要到特徵更新後才能消除。
不同於特徵型NIDS,啓發型系統的漏報率比較低。他們不依賴特徵,使用統計和行爲模式做爲手段,所以能夠檢測到新型的惡意代碼。啓發型NIDS使用用戶、應用和其他程序文件的行爲模式開發正常和不正常的行爲模式,然後用來檢測攻擊的發生。接着,系統內用戶或程序的任何行爲偏差將被檢出和標記,然後產生一個報警。
不幸的是,大多數報警都是良性的,誤報是導出的結果。例如,一個程序員具有系統各個方面的授權,但通常處理的是程序文件,在訪問日誌文件後,結果被標記和報警,因爲他偏離了程序員的正常行爲。高誤報,這會導致系統管理員對啓發型NIDS有清楚的認識,檢查少則報警多。雖然,高誤報率是可以解決的。按照啓發型NIDS的結構,基於連續抽樣統計和行爲模式細化進行分析,可供使用的採樣數據容量越大,區分良性應用行爲與惡意應用的行爲偏差的能力就越強。
三、入侵防禦系統
IPS已經成爲IT安保系統中的一個強大工具和重要組件。IPS是這樣一種設備:具有檢測已知和未知攻擊並具有成功防止攻擊的能力。
IDS技術與IPS技術有一個重要的區別。IPS技術可以對檢測出的威脅進行響應,通過嘗試防止攻擊。按照他們使用的響應技術,可分爲以下幾類。
1.IPS的響應技術
a. IPS可以阻止攻擊本身。它可以使攻擊的網絡連接或用戶會話終止,並阻止攻擊者的帳號、IP地址、或其他屬性。
b. IPS可以改變安保環境。IPS可以改變安保控制的配置瓦解攻擊。
c. IPS可以改變攻擊內容。IPS技術可以移去或更換攻擊的惡意部分,使其成爲良性報文。
2. IPS的方法
IPS使用多種方法保護網絡。
a.基於特徵的IPS
這是許多IPS解決方案中最常用的方法。把特徵添加到設備中,可識別當前最常見的攻擊。這就是爲什麼它也被稱爲模式匹配IPS。特徵庫可以添加、調整和更新,以應對新的攻擊。
b.基於異常的IPS
它也被稱爲基於行規的IPS。它試圖找出偏離工程師定義爲正常的活動。基於異常的方法可以用統計異常檢測和非統計異常檢測。基於策略的IPS:它更關心的是是否執行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的IPS,要把安全策略寫入設備之中。
c.基於協議分析的IPS
它與基於特徵的方法類似。大多數情況檢查常見的特徵,但基於協議分析的方法可以做更深入的數據包檢查,能更靈活地發現某些類型的攻擊。
3. IPS技術
IPS基本上有兩大主流技術,基於主機和基於網絡的。
a.基於主機的IPS-HIPS
HIPS見圖1所示,HIPS監視單個主機的特性和發生在主機內可疑活動的事件。HIPS的例子可以是監視有線和無線網絡信息流、系統日誌、運行過程、文件訪問和修改、系統和應用配置的變化。大多數HIPS具有檢測軟件,安裝在代理的主機上。每個代理監視一臺主機上的活動,並執行預防行動。代理將數據傳輸到管理服務器。每個代理通常用於保護服務器、臺式機或筆記本電腦、或者應用服務。
HIPS在要監視的主機上安裝傳感器(sensor),這會影響主機性能,因爲傳感器要消耗資源。
b.基於網絡的IPS-NIPS
NIPS如圖2所示,NIPS監視特定網段或設備的網絡流量,並分析網絡、傳輸和應用的協議,識別可疑的活動。
除了傳感器,NIPS組件類似於HIPS技術。NIPS傳感器監視和分析一個或多個網絡段上的網絡活動。傳感器有兩種格式:設備傳感器,它由專門的硬件和軟件組成,並針對NIPS使用進行了優化;軟件傳感器,可以安裝到符合特定規範的主機上。
代理部署到現有網絡上的主機,這些組件通常用於網絡通信,而不是用於管理網絡。最常用的HIPS傳感器部署到關鍵的主機,例如公開訪問的服務器和包含敏感信息的服務器,但他們也可用於各種服務器和臺式機/筆記本電腦的操作系統,以及特定的服務器應用。
HIPS提供了多種安保功能。他們通常執行大量相關事件日誌數據的檢測,可以檢測到多種類型的惡意活動。採用的檢測技術,包括代碼分析、網絡流量分析、網絡流量過濾、文件系統監視、日誌分析和網絡配置監視。使用一些檢測技術的組合的HIPS,一般比使用一個或幾個技術的產品具有精確的檢測能力,因爲每種技術可以監視主機的不同特性。文件系統監視可以防止文件被訪問、修改、替換或刪除,可以阻止惡意軟件的安裝和其他攻擊以及不適當的文件訪問。
組織機構應該爲他們的NIPS部署在可行時考慮使用管理網絡。除了選擇適當的網絡組件,管理員還需要決定IPS傳感器的位置。傳感器可以以兩種模式之一部署:內嵌傳感器部署,監視的網絡流量必須通過他們;無源傳感器部署,他們監視的是實際網絡流量的副本。
四、結論
入侵檢測系統IDS,對網絡信息流進行分析,發現惡意活動時生成警報。他們一般都能夠在攻擊開始後發出特殊報文復位TCP連接,有的甚至能夠與防火牆系統連接,在線重新編寫防火牆規則集。
IDS的侷限性是不能反擊網絡攻擊,因爲IDS傳感器基於數據包嗅探技術,只能眼睜睜地看着網絡信息流過。IPS可執行IDS相同的分析,因爲他們可以插入網內,裝在網絡組件之間,而且他們可以阻止惡意活動。
這是IDS和IPS之間的最大差別,如何使用具有非常重要的意義。由於IPS傳感器需要流量流過,他們只能部署在網絡咽喉點,而IDS傳感器可以提供更廣泛的網絡覆蓋。