入侵檢測產品的發展趨勢

入侵檢測產品的發展趨勢

2003-10-08■作者： ■出處：天極網絡安全<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

1.入侵檢測產品發展現狀

入侵檢測系統(Intrusion Detect System)，目前基本上分爲以下兩種：主機入侵檢測系統(HIDS)；網絡入侵檢測系統(NIDS)。主機入侵檢測系統分析對象爲主機審計日誌，所以需 要在主機上安裝軟件，針對不同的系統、不同的版本需安裝不同的主機引擎，安裝配置較爲複雜，同時對系統的運行和穩定性造成影響，目前在國內應用較少。網絡入侵監測分析對象爲網絡數據流，只需安裝在網絡的監聽端口上，對網絡的運行無任何影響，目前國內使用較爲廣泛。本文分析的爲目前使用廣泛的網絡入侵監測系統。

2.爲什麼需要入侵檢測系統？

目前在網絡安全方面，國內的用戶對防火牆已經有了很高的認知程度，而對入侵檢測系統的作用大多不是非常瞭解。防火牆在網絡安全中起到大門警衛的作用，對進出的數據依照預先設定的規則進行匹配，符合規則的就予以放行，起訪問控制的作用，是網絡安全的第一道閘門。優秀的防火牆甚至對高層的應用協議進行動態分析，保護進出數據應用層的安全。但防火牆的功能也有侷限性。防火牆只能對進出網絡的數據進行分析，對網絡內部發生的事件完全無能爲力。

同時,由於防火牆處於網關的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網絡性能．如果把放火防火牆比作大門警衛的話，入侵檢測就是網絡中不間斷的攝像機，入侵檢測通過旁路監聽的方式不間斷的收取網絡數據，對網絡的運行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警。不但可以發現從外部的攻擊，也可以發現內部的惡意行爲。所以說入侵檢測是網絡安全的第二道閘門，是防火牆的必要補充，構成完整的網絡安全解決方案。

3. 入侵檢測系統目前存在的問題

入侵檢測系統有如此重大的作用，但在國內的應用遠遠談不到普及，一方面是由於用戶的認知程度較底，另一方面是由於入侵檢測是一門比較新的技術，還存在一些技術上的困難，不是所有廠商都有研發入侵檢測產品的實力。目前的入侵檢測產品大多存在這樣一些問題：

(1). 誤報和漏報的矛盾

入侵檢測系統對網絡上所有的數據進行分析，如果攻擊者對系統進行攻擊嘗試，而系統相應服務開放，只是漏洞已經修補，那麼這一次攻擊是否需要報警，這就是一個需要管理員判斷的問題。因爲這也代表了一種攻擊的企圖。但大量的報警事件會分散管理員的精力，反而無法對真正的攻擊作出反映。和誤報相對應的是漏報，隨着攻擊的方法不斷更新，入侵檢測系統是否能報出網絡中所有的攻擊也是一個問題。

(2). 隱私和安全的矛盾

入侵檢測系統可以收到網路的所有數據，同時可以對其進行分析和記錄，這對網絡安極其重要，但難免對用戶的隱私構成一定風險，這就要看具體的入侵檢測產品是否能提供相應功能以供管理員進行取捨。

(3). 被動分析與主動發現的矛盾

入侵檢測系統是採取被動監聽的方式發現網絡問題，無法主動發現網絡中的安全隱患和故障。如何解決這個問題也是入侵檢測產品面臨的問題。

(4). 海量信息與分析代價的矛盾

隨着網路數據流量的不斷增長，入侵檢測產品能否處理高效處理網路中的數據也是衡量入侵檢測產品的重要依據。

(5). 功能性和可管理性的矛盾

隨着入侵檢測產品功能的增加，可否在功能增加的同時，不增大管理的難度。例如，入侵檢測系統的所有信息都儲存在數據庫中，此數據庫能否自動維護和備份而不需管理員的干預？另外,入侵檢測系統自身安全性如何？是否易於部署？採用何種報警方式？也都是需要考慮的因素。

(6). 單一的產品與複雜的網絡應用的矛盾

入侵檢測產品最出的目的是爲了檢測網絡的攻擊，但僅僅檢測網絡中的攻擊遠遠無法滿足目前複雜的網應用需求．通常，管理員難以分清網路問題：是由於攻擊引起的還是網絡故障。入侵檢測檢測出的攻擊事件又如何處理，可否和目前網絡中的其他安全產品進行配合。

4．入侵檢測技術的發展趨勢

(1)．分析技術的改進

入侵檢測誤報和漏報的解決最終依靠分析技術的改進。目前入侵檢測分析方法主要有：統計分析、模式匹配、數據重組、協議分析、行爲分析等。

統計分析是統計網絡中相關事件發生的次數，達到判別攻擊的目的。模式匹配利用對攻擊的特徵字符進行匹配完成對攻擊的檢測。數據重組是對網絡連接的數據流進行重組再加以分析，而不僅僅分析單個數據包。

協議分析技術是在對網絡數據流進行重組的基礎上，理解應用協議，再利用模式匹配和統計分析的技術來判明攻擊。例如：某個基於HTTP協議的攻擊含有ABC特徵，如果此數據分散在若干個數據包中，如：一個數據包含A，另外一個包含B，另外一個包含C，則單純的模式匹配就無法檢測，只有基於數據流重組才能完整檢測。而利用協議分析。則只在符合的協議(HTTP)檢測到此事件纔會報警。假設此特徵出現在Mail裏，因爲不符合協議，就不會報警。利用此技術，有效的降低了誤報和漏報。

行爲分析技術不僅簡單分析單次攻擊事件，還根據前後發生的事件確認是否確有攻擊發生，攻擊行爲是否生效，是入侵檢測分析技術的最高境界。但目前由於算法處理和規則制定的難度很大，目前還不是非常成熟，但卻是入侵檢測技術發展的趨勢。目前最好綜合使用多種檢測技術，而不只是依靠傳統的統計分析和模式匹配技術。另外，規則庫是否及時更新也和檢測的準確程度相關。

(2)．內容恢復和網絡審計功能的引入

前面已經提到，入侵檢測的最高境界是行爲分析。但行爲分析前還不是很成熟，因此，個別優秀的入侵檢測產品引入了內容恢復和網絡審計功能。

內容恢復即在協議分析的基礎上，對網絡中發生的應爲加以完整的重組和記錄，網絡中發生的任何行爲都逃不過它的監視。網絡審計即對網絡中所有的連接事件進行記錄。入侵檢測的接入方式決定入侵檢測系統中的網絡審計不僅類似防火牆可以記錄網絡進出信息，還可以記錄網絡內部連接狀況，此功能對內容恢復無法恢復的加密連接尤其有用。

內容恢復和網絡審計讓管理員看到網絡的真正運行狀況，其實就是調動管理員參與行爲分析過程。此功能不僅能使管理員看到孤立的攻擊事件的報警，還可以看到整個攻擊過程，瞭解攻擊確實發生與否，查看攻擊着的操作過程，瞭解攻擊造成的危害。不但發現已知攻擊，同時發現未知攻擊。不當發現外部攻擊者的攻擊，也發現內部用戶的惡意行爲。畢竟管理員是最瞭解其網絡的，管理員通過此功能的使用，很好的達成了行爲分析的目的。但使用此功能的同時需注意對用戶隱私的保護。

(3)．集成網絡分析和管理功能

入侵檢測不但對網絡攻擊是一個檢測。同時，侵檢測可以收到網絡中的所有數據，對網絡的故障分析和健康管理也可起到重大作用。當管理員發現某臺主機有問題時，也希望能馬上對其進行管理。入侵檢測也不應只採用被動分析方法，最好能和主動分析結合。所以，入侵檢測產品集成網管功能，掃描器(Scanner)，嗅探器(Sniffer)等功能是以後發展的方向。

(4)．安全性和易用性的提高

入侵檢測是個安全產品，自身安全極爲重要。因此，目前的入侵檢測產品大多采用硬件結構，黑洞式接入，免除自身安全問題。同時，對易用性的要求也日益增強，例如：全中文的圖形界面，自動的數據庫維護，多樣的報表輸出。這些都是優秀入侵產品的特性和以後繼續發展細化的趨勢。

(5)．改進對大數據量網絡的處理方法

隨着對大數據量處理的要求，入侵檢測的性能要求也逐步提高，出現了千兆入侵檢測等產品。但如果入侵檢測檢測產品不僅具備攻擊分析，同時具備內容恢復和網絡審計功能，則其存儲系統也很難完全工作在千兆環境下。這種情況下，網絡數據分流也是一個很好的解決方案，性價比也較好。這也是國際上較通用的一種作法。

(6)．防火牆聯動功能

入侵檢測發現攻擊，自動發送給放火牆，防火牆加載動態規則攔截入侵，稱爲防火牆聯動功能。目前此功能還沒有到完全實用的階段，主要是一種概念。隨便使用會導致很多問題。目前主要的應用對象是自動傳播的攻擊，如Nimda等，聯動只在這種場合有一定的作用。無限制的使用聯動。如未經充分測試，對防火期的穩定性和網絡應用會造成負面影響。但隨着入侵檢測產品檢測準確度的提高，聯動功能日益趨向實用化。

5．總結

目前入侵檢測是一項全新的技術，對網絡的安全起着重大的作用，但也有一些技術問題需要解決或正在解決，入侵檢測的應用也會日益廣泛，以下是評價目前評價一個入侵檢測產品是否優秀的標準：

1． 高效的數據截取
2． 智能的數據流重組
3． 強大的入侵識別
4． 全面的內容恢復
5． 完整的網絡審計
6． 實時的網絡監控
7． 集成的網絡管理
8． 簡便的接入
9． 易用的管理
10．靈活的部署
11．豐富的報警方法
12．多樣的輸出結果
13．嚴格的自身安全
14.高度的可集成性

總之，入侵檢測產品的目標是成爲“全面的網絡健康分析管理平臺”。（天極論壇）