入侵检测系统的概念及组成?
随着Internet的迅猛发展,网络安全越来越受到政府、企业、乃至个人的重视。过去,防范网络攻击最常见的方法是防火墙。然而,仅仅依赖防火墙并不能保证足够的安全,如果把防火墙比作守卫网络大门的门卫,那么我们还需要可以主动寻找罪犯的巡警 D 入侵检测系统(IDS)。
基本概念
入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。
系统组成
IETF(Internet工程任务组)将一个入侵检测系统分为四个组件:事件产生器(Event generators);事件分析器(Event analyzers);响应单元(Response units );事件数据库(Event databases )。
事件产生器的功能是从整个计算环境中捕获事件信息,并向系统的其他组成部分提供该事件数据。事件分析器分析得到的事件数据,并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等有效反应,当然也可以只是报警。事件数据库是存放各种中间和最终数据的地方的统称,用于指导事件的分析及反应,它可以是复杂的数据库,也可以是简单的文本文件。
目前研究状况
国内经过近几年的发展,IDS产品开始步入一个快速的成长期,用户也开始认可IDS在网络安全防御中不可替代的作用。但是,与此同时,大家也逐渐意识到IDS自身有难以克服的缺点 D “较高的漏报率和误报率”。那么,如何通过解决这个问题使IDS产品的价值最大化呢?本文试图通过介绍一些技术和产品发展的新动向,使读者了解从网络安全业界试图解决这个问题的若干思路。
在IDS系统中,所谓漏报(False Negatives),是指攻击事件没有被IDS检测到。而误报(False Positives)是指IDS将正常事件识别为攻击。发生这些问题主要有两个原因:
一、IDS通过网络嗅探(Sniffer)技术获取网络数据包后,需要进行协议分析、模式匹配或异常统计才可能发现入侵行为。可是我们知道,协议分析是很复杂的,当涉及到数目庞大的应用协议、各种加密或编码方式、以及针对IDS的规避技术时,则更是如此。在没有透彻分析数据包涉及协议的情况下,发生漏报和误报是在所难免的。
二、随着网络系统结构的复杂化和大型化,系统的弱点和漏洞将趋向于分布式。此外,随着黑客入侵水平的提高,入侵行为也不再是单一的行为,单个的IDS设备(无论是主机型还是网络型)应对分布式、协同式、复杂模式攻击的入侵行为时,就显得十分力单势薄。
要解决第一类问题,除了加大协议分析的深度和细度外,还有待于理论和技术上的突破。目前,国内外这方面的研究取得了迅速的发展。首先是基于神经网络的入侵检测技术,该技术的关键在于在正式检测之前要用入侵样本进行训练,使其具备对某些入侵行为进行分类的能力,从而能够正确地“认识”各种入侵行为。另外,基于模型推理的入侵检测技术和基于免疫的入侵检测技术也是研究的热点。但值得注意的是,这些技术大多只是做为高校和研究所的科研成果,可运行的系统一般也只是远未成熟的演示版本,到真正产品化和进入网络安全市场仍然有很长的距离。
应对第二类问题的方法是:入侵检测系统也向分布式结构发展,采用分布收集信息,分布处理多方协作的方式。这里的“协作”有多个层次的含义:同一系统不同入侵检测部件间的协作,尤其式主机型(HIDS)和网络型(NIDS)入侵检测部件之间的协作;异构平台部件之间的协作;不同安全工具之间的协作;不同厂家安全产品之间的协作;不同组织间预警能力和信息的协作。可以说,“协作”是网络安全产品的一个重要发展方向!
目前,业界在“协作”方面有两个方向的努力:一是系统结构的改善。二是协同工作接口的标准化和开放。
系统结构改善方面具有代表性的是基于Agents的分布式入侵检测系统。这种Agent代理结构具有适应性和自主性,能连续外界和内部的变化,并作出相应的反应。利用Agent的推理机制和多Agent间的协同工作,可以完成知识库更新、模型过程描述、动态模式识别等功能,比传统的专家系统效率要高。
协同工作接口的标准化首先要解决的是交换信息格式标准化。目前正在制定的相关标准有:IETF的入侵检测信息交换格式(Intrusion Detection Message Exchange Format,简称IDMEF)和事件对象描述交换格式(Incident Object Description and Exchange Format,简称IODEF);还有一个项目引发的通用入侵检测框架(Common Intrusion Detection Framework,简称CIDF)协议组和开发接口。此外,还有DMTF组织制定的更通用的标准 - 通用信息模型(Common Information Model,简称CIM),其中也包含不少网络安全和网络管理产品协同工作的标准格式。值得一提的是,在近来标准制定的过程中,XML(eXtensible Markup Language)语言成为基本信息交换格式的首选。
结束语
在上述相关标准没有正式在业界流行之前,安全产品厂商之间主动的相互合作就显得尤为重要。正是基于对上述观点的深刻认识,为了全面推动国内安全产品之间的“协同工作、动态防护”的互操作性,中科网威在国内推出第一个IDS互动开放接口 - “Netpower OpenIDS V1.0”(详情及开发包请参见公司网站www.netpower.com.cn)。该开发包提供了一个接口供各个防火墙厂商使用,以完成IDS和防火墙之间的报警联动,该接口的特点是:简单易用、灵活可靠。此外,中科网威公司的研发队伍也密切关注着网络安全标准的制定进程,随时准备为国内网络安全界的“协作”做出自己的贡献!
