2.2.3主流的入侵检测基于网络的NIDS
NIDS是Network Intrusion Detection System的缩写,即网络入侵检测系统,它以网络包
作为分析数据源称为NIDS。NIDS常常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流,其分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。如果检测到了攻击行为,IDS的响应模块会发出适当的响应,比如报警、切断相关用户的网络连接等。与SCANER收集网络中的漏洞不同,NIDS收集的是网络中的动态流量信息。正因如此,NIDS识别入侵行为的能力是根据攻击特征库数目多少以及数据处理能力来决定的。NIDS的处理能力绝大多数是100兆级的,有部甚至达到了1000兆级。NIDS在防火墙后设置了一个流动岗哨,利用它能够适时发觉在网络中的攻击行为,来采取相应的措施。
1994年,Mark Crosbie和Gene Spafford 提出使用自治代理(Autonomous Agents )来提高IDS的可维护性、效率以及容错性,这个构想已经达到了计算机科学中其他领域的研究的先锋的位置,比如说软件代理。另一个解决当时多数入侵检测技术系统伸缩性不足的研究成果是1996年提出的GRIDS( Graph-based Intrusion Detection System)系统,该系统对大规模自动或协同攻击的检测技术很有效,这种跨越多个管理区域的自动协同,显然是今后入侵行为发展的方向。
1997年,CISCO提出WheelGroup公司将入侵检测技术与他的路由器结合。同年,ISS成功开发了RealSecure,他是在Windows NT 下运行的分布式网络入侵检测技术系统,被人们广泛使用。在1996年的第一次开发,传统的基于探测器的NIDS(网络入侵检测技术系统,监视整个网络段)在Windows和Solaris2.6上运行。1998年后期,混合式的入侵检测技术系统已经由RealSecure发展而成。他对入侵行为有深刻的研究,包括断开连接、发送SNMP信息、Email提醒、运行客户程序记录会话内容等,并能根据检测技术自动产生审计策略。
NIDS系统由安全控制中心完成整个分布式安全监测预警系统的管理与配置。探测器负责检测其所在网段上的数据流,还负责进行实时自动攻击识别和响应。
近年来的技术创新还有:免疫原理被Forrest运用到分布式入侵检测技术中;1998年信息检索技术被Ross Anderson 和 AbidaKhattk 引入这个领域。
3、 入侵检测技术的原理
入侵检测技术(Intrusion Detection)的定义为:“通过对行为、安全日志或审计数据
或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。IDS则是完成如入
侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。
作为一种积极主动的安全防护技术,入侵检测技术提供了对内部攻击、外部攻击和误操作的实时保护,拦截和响应入侵避免网络系统受到危害。 入侵检测技术系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充,帮助系统应对网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到侵袭的迹象。入侵检测技术被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,因而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
◆ 监视、分析用户及系统活动; ◆ 系统构造和弱点的审计;
◆ 识别反映已知进攻的活动模式并向相关人士报警; ◆ 异常行为模式的统计分析; ◆ 评估重要系统和数据文件的完整性;
◆ 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测技术系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,并给网络安全策略的制订提供指南。更重要的一点是它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测技术的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测技术系统在发现入侵会及时做出响应,例如切断网络连接、记录事件和报警等。
3.1 入侵检测技术的第一步——进行信息收集 在日常生活中,检察官要证明罪犯有罪,必须先收集证据。只有掌握了充足的证据,
才能成功指证罪犯。IDS也是一样。一般来说,IDS通过2种方式获得信息:
3.1.1 网络入侵检测技术的模块方式
当一篇文章从网络的一端传向另一端时,是被 封装成一个个小包(叫做报文)来传送的。每个包包括了文章中的一段文字,在到达另一端之后,这些包再被组装起来。因此,我们可以通过检测技术网络中的报文,为了监视其他机器的报文,需要把网卡设置为混杂模式。通过在网络中放置一块入侵检测技术模块,我们可以监视近观保护机器的数据报文。在受保护的机器将要受到攻击之前,入侵检测技术模块可最先发现它。
实际应用中网络结构千差万别,用户只有具体情况分别设计实施方案,才能让网络入侵检测技术模块检测技术到需要保护机器的状况。同时,网络入侵检测技术模块得到的只是网络报文,获得的信息没有主机入侵检测技术模块全面,所检测技术的结果也没有主机入侵检测技术模块准确。网络入侵检测技术模块方式的优点是方便,不增加受保护机器的负担。在网段中只要安装一台网络入侵检测技术模块既可。
3.1.2 主机入侵检测技术模块方式
另外一种获取信息的方式是主机入侵检测技术模块方式。它是在受保护的机器上安
装了主机入侵检测技术模块,专门收集受保护机器上的信息。其信息来源可以是系统日志和特定应用程序日志,也右以是捕获特定的进和和系统调用等等。
采用主机入侵检测技术模块方式的缺点是依赖特定的系统平台。用户必须针对不同的操作系统开发相应的模块。由于一个网络中有多种不同的操作系统,很难保证每个操作系统都有对应的主机入侵检测技术模块,而一个主现信侵检测技术模块只能保护本机,所以在使用上有很大的局限性。此外,它要求在每个机器上安装,如果装数量大时,对用户来说,是一笔很大的投入。不过,这种模式不受网络结构的限制,在使用中还能够利用操作系统的资源,以更精确地判断出入侵行为。
在具体应用中,以上2种获得信息的方式是互补充的。
3.1.3 信息来源的四个方面
就信息收集来说,内容包括系统、网络、数据及用户活动的状态和行为。而且,需
要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测技术范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看
不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。 当然,入侵检测技术很大和度上依赖于收集信息的可靠性和下确性,因此,很有必要只利用 当前的优秀软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被 程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被 替换为一个不显示侵入过程的指令,攻其无备是编辑被替换成一个读取不同于指定文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测技术网络系统的软件的完整性,特别是入侵检测技术系统软本身应具有相当强的坚因性,防止被篡必而收集到错误的信息。
入侵检测技术利用的信息一般来处以下四个方面: (1)系统和网络日志文件
黑客在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络上日志文件信息是检测技术入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人下在入侵或已成功入侵了系统。通过看日志文件,能够发现成功的入侵或入侵企图,并垫脚快地启动相应响应程序。日志文件中了各种行类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行不就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
(2)目录和文件中的不期望的改变
网络不幸中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都在尽力支离替换系统程序或修改系统日志文件。
(3)程序执行中的不期望行为
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据
文件等。一个进程的执行行为由它运行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。
一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。
(4)物理形式的入侵信息
这包括两个方面的内容,一是未授权的对网络硬件连接;二是对物理资源的未授权访问。黑客会想方设法突破网络的周边防卫,如果他们能够在物理上访问内部网,就能够安装他们自己的设备和软件。依此,黑客就可以知道网上的由用户加上支离的不安全(未授权)设备,然后自用这些设备访问网络。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。
3.2 入侵检测技术的第二步——信号分析
当收集到证据后,用户判断它是否就是入侵呢?一般来说,IDS有一个知识库,知
识库记录了特定的安全策略。IDS获得信息后,与知识库中的安全策略进行比较,进而发现违反规定的安全策略的行为。
定义知识库有很多种方式,最普遍的做法是检测技术报文国是否含有攻击特征。知识库给出何种报文是攻击的定义。这种方式的实现由简单到复杂分了几个层次,主要差别在于检测技术的准确性和效率上。简单的实现方法是把攻击特征和报文的数据进行了字符串比较,发现匹配即报警。这种做法使准确性和工作效率大为降低。为此,开发人员还有很多工作要做,如进行校验和检查,进行IP碎片重组或TCP重组,实现协议解码等等。
构建知识库的多种方法只是手段,目的是准确定义入侵行不,这是IDS的核心,也是IDS和普通的网上行为管理软件的差别所在。虽然它们都能监视网络行为,但是IDS增加了记录攻击牲的知识库,所以比风上行为管理软件提高了一个层次。而定义攻击特