入侵檢測(IntrusionDetection)是對入侵行為的檢測。它透過收集和分析網路行為、安全日誌、審計資料、其它網路上可以獲得的資訊以及計算機系統中若干關鍵點的資訊,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門,在不影響網路效能的情況下能對網路進行監測。入侵檢測透過執行以下任務來實現:監視、分析使用者及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式並向相關人士報警;異常行為模式的統計分析;評估重要系統和資料檔案的完整性;作業系統的審計跟蹤管理,並識別使用者違反安全策略的行為。入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴充套件了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了資訊保安基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集資訊,並分析這些資訊,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。 入侵檢測技術 入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術。進行入侵檢測的軟體與硬體的組合便是入侵檢測系統 入侵檢測技術的分類: 入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。 1.特徵檢測: 特徵檢測(Signature-baseddetection)又稱Misusedetection,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。 2.異常檢測: 異常檢測(Anomalydetection)的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。 入侵檢測系統的工作步驟 對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程式、檔案和硬體裝置等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連線、記錄事件和報警等。 資訊收集 入侵檢測的第一步是資訊收集,內容包括系統、網路、資料及使用者活動的狀態和行為。而且,需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集資訊,這除了儘可能擴大檢測範圍的因素外,還有一個重要的因素就是從一個源來的資訊有可能看不出疑點,但從幾個源來的資訊的不一致性卻是可疑行為或入侵的最好標識。 當然,入侵檢測很大程度上依賴於收集資訊的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟體來報告這些資訊。因為駭客經常替換軟體以搞混和移走這些資訊,例如替換被程式呼叫的子程式、庫和其它工具。駭客對系統的修改可能使系統功能失常並看起來跟正常的一樣,而實際上不是。例如,unix系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同於指定檔案的檔案(駭客隱藏了初試檔案並用另一版本代替)。這需要保證用來檢測網路系統的軟體的完整性,特別是入侵檢測系統軟體本身應具有相當強的堅固性,防止被篡改而收集到錯誤的資訊。 1.系統和網路日誌檔案 駭客經常在系統日誌檔案中留下他們的蹤跡,因此,充分利用系統和網路日誌檔案資訊是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統。透過檢視日誌檔案,能夠發現成功的入侵或入侵企圖,並很快地啟動相應的應急響應程式。日誌檔案中記錄了各種行為型別,每種型別又包含不同的資訊,例如記錄“使用者活動”型別的日誌,就包含登入、使用者ID改變、使用者對檔案的訪問、授權和認證資訊等內容。很顯然地,對使用者活動來講,不正常的或不期望的行為就是重複登入失敗、登入到不期望的位置以及非授權的企圖訪問重要檔案等等。 2.目錄和檔案中的不期望的改變 網路環境中的檔案系統包含很多軟體和資料檔案,包含重要資訊的檔案和私有資料檔案經常是駭客修改或破壞的目標。目錄和檔案中的不期望的改變(包括修改、建立和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和訊號。駭客經常替換、修改和破壞他們獲得訪問權的系統上的檔案,同時為了隱藏系統中他們的表現及活動痕跡,都會盡力去替換系統程式或修改系統日誌檔案。 3.程式執行中的不期望行為 網路系統上的程式執行一般包括作業系統、網路服務、使用者起動的程式和特定目的的應用,例如資料庫伺服器。每個在系統上執行的程式由一到多個程序來實現。每個程序執行在具有不同許可權的環境中,這種環境控制著程序可訪問的系統資源、程式和資料檔案等。一個程序的執行行為由它執行時執行的操作來表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、檔案傳輸、裝置和其它程序,以及與網路間其它程序的通訊。 一個程序出現了不期望的行為可能表明駭客正在入侵你的系統。駭客可能會將程式或服務的執行分解,從而導致它失敗,或者是以非使用者或管理員意圖的方式操作。 4.物理形式的入侵資訊 這包括兩個方面的內容,一是未授權的對網路硬體連線;二是對物理資源的未授權訪問。駭客會想方設法去突破網路的周邊防衛,如果他們能夠在物理上訪問內部網,就能安裝他們自己的裝置和軟體。依此,駭客就可以知道網上的由使用者加上去的不安全(未授權)裝置,然後利用這些裝置訪問網路。例如,使用者在家裡可能安裝Modem以訪問遠端辦公室,與此同時駭客正在利用自動工具來識別在公共電話線上的Modem,如果一撥號訪問流量經過了這些自動工具,那麼這一撥號訪問就成為了威脅網路安全的後門。駭客就會利用這個後門來訪問內部網,從而越過了內部網路原有的防護措施,然後捕獲網路流量,進而攻擊其它系統,並偷取敏感的私有資訊等等。 訊號分析 對上述四類收集到的有關係統、網路、資料及使用者活動的狀態和行為等資訊,一般透過三種技術手段進行分析:模式匹配,統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測,而完整性分析則用於事後分析。 1.模式匹配 模式匹配就是將收集到的資訊與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如透過字串匹配以尋找一個簡單的條目或指令),也可以很複雜(如利用正規的數學表示式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得許可權)來表示。該方法的一大優點是隻需收集相關的資料集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火牆採用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的駭客攻擊手法,不能檢測到從未出現過的駭客攻擊手段。 2.統計分析 統計分析方法首先給系統物件(如使用者、檔案、目錄和裝置等)建立一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網路、系統的行為進行比較,任何觀察值在正常值範圍之外時,就認為有入侵發生。例如,統計分析可能標識一個不正常行為,因為它發現一個在晚八點至早六點不登入的帳戶卻在凌晨兩點試圖登入。其優點是可檢測到未知的入侵和更為複雜的入侵,缺點是誤報、漏報率高,且不適應使用者正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法,目前正處於研究熱點和迅速發展之中。 3.完整性分析 完整性分析主要關注某個檔案或物件是否被更改,這經常包括檔案和目錄的內容及屬性,它在發現被更改的、被特絡伊化的應用程式方面特別有效。完整性分析利用強有力的加密機制,稱為訊息摘要函式(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了檔案或其它物件的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用於實時響應。儘管如此,完整性檢測方法還應該是網路安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模組,對網路系統進行全面地掃描檢查。 入侵檢測系統典型代表 入侵檢測系統的典型代表是ISS公司(國際網際網路安全系統公司)的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為,在系統受到危害之前擷取和響應安全漏洞和內部誤用,從而最大程度地為企業網路提供安全。 入侵檢測功能 ·監督並分析使用者和系統的活動 ·檢查系統配置和漏洞 ·檢查關鍵系統和資料檔案的完整性 ·識別代表已知攻擊的活動模式 ·對反常行為模式的統計分析 ·對作業系統的校驗管理,判斷是否有破壞安全的使用者活動。 ·入侵檢測系統和漏洞評估工具的優點在於: ·提高了資訊保安體系其它部分的完整性 ·提高了系統的監察能力 ·跟蹤使用者從進入到退出的所有活動或影響 ·識別並報告資料檔案的改動 ·發現系統配置的錯誤,必要時予以更正 ·識別特定型別的攻擊,並向相應人員報警,以作出防禦反應 ·可使系統管理人員最新的版本升級新增到程式中 ·允許非專家人員從事系統安全工作 ·為資訊保安策略的建立提供指導 ·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望:這些產品並不是無所不能的,它們無法彌補力量薄弱的識別和確認機制 ·在無人干預的情況下,無法執行對攻擊的檢查 ·無法感知公司安全策略的內容 ·不能彌補網路協議的漏洞 ·不能彌補由於系統提供資訊的質量或完整性的問題 ·它們不能分析網路繁忙時所有事務 ·它們不能總是對資料包級的攻擊進行處理 ·它們不能應付現代網路的硬體及特性 入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。從網路安全立體縱深、多層次防禦的角度出發,入侵檢測理應受到人們的高度重視,這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內,隨著上網的關鍵部門、關鍵業務越來越多,迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品(缺乏升級和服務)階段,或者是防火牆中整合較為初級的入侵檢測模組。可見,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究
入侵檢測(IntrusionDetection)是對入侵行為的檢測。它透過收集和分析網路行為、安全日誌、審計資料、其它網路上可以獲得的資訊以及計算機系統中若干關鍵點的資訊,檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門,在不影響網路效能的情況下能對網路進行監測。入侵檢測透過執行以下任務來實現:監視、分析使用者及系統活動;系統構造和弱點的審計;識別反映已知進攻的活動模式並向相關人士報警;異常行為模式的統計分析;評估重要系統和資料檔案的完整性;作業系統的審計跟蹤管理,並識別使用者違反安全策略的行為。入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴充套件了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了資訊保安基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集資訊,並分析這些資訊,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。 入侵檢測技術 入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術。進行入侵檢測的軟體與硬體的組合便是入侵檢測系統 入侵檢測技術的分類: 入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。 1.特徵檢測: 特徵檢測(Signature-baseddetection)又稱Misusedetection,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。 2.異常檢測: 異常檢測(Anomalydetection)的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。 入侵檢測系統的工作步驟 對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網路系統(包括程式、檔案和硬體裝置等)的任何變更,還能給網路安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網路安全。而且,入侵檢測的規模還應根據網路威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵後,會及時作出響應,包括切斷網路連線、記錄事件和報警等。 資訊收集 入侵檢測的第一步是資訊收集,內容包括系統、網路、資料及使用者活動的狀態和行為。而且,需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集資訊,這除了儘可能擴大檢測範圍的因素外,還有一個重要的因素就是從一個源來的資訊有可能看不出疑點,但從幾個源來的資訊的不一致性卻是可疑行為或入侵的最好標識。 當然,入侵檢測很大程度上依賴於收集資訊的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟體來報告這些資訊。因為駭客經常替換軟體以搞混和移走這些資訊,例如替換被程式呼叫的子程式、庫和其它工具。駭客對系統的修改可能使系統功能失常並看起來跟正常的一樣,而實際上不是。例如,unix系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同於指定檔案的檔案(駭客隱藏了初試檔案並用另一版本代替)。這需要保證用來檢測網路系統的軟體的完整性,特別是入侵檢測系統軟體本身應具有相當強的堅固性,防止被篡改而收集到錯誤的資訊。 1.系統和網路日誌檔案 駭客經常在系統日誌檔案中留下他們的蹤跡,因此,充分利用系統和網路日誌檔案資訊是檢測入侵的必要條件。日誌中包含發生在系統和網路上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統。透過檢視日誌檔案,能夠發現成功的入侵或入侵企圖,並很快地啟動相應的應急響應程式。日誌檔案中記錄了各種行為型別,每種型別又包含不同的資訊,例如記錄“使用者活動”型別的日誌,就包含登入、使用者ID改變、使用者對檔案的訪問、授權和認證資訊等內容。很顯然地,對使用者活動來講,不正常的或不期望的行為就是重複登入失敗、登入到不期望的位置以及非授權的企圖訪問重要檔案等等。 2.目錄和檔案中的不期望的改變 網路環境中的檔案系統包含很多軟體和資料檔案,包含重要資訊的檔案和私有資料檔案經常是駭客修改或破壞的目標。目錄和檔案中的不期望的改變(包括修改、建立和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和訊號。駭客經常替換、修改和破壞他們獲得訪問權的系統上的檔案,同時為了隱藏系統中他們的表現及活動痕跡,都會盡力去替換系統程式或修改系統日誌檔案。 3.程式執行中的不期望行為 網路系統上的程式執行一般包括作業系統、網路服務、使用者起動的程式和特定目的的應用,例如資料庫伺服器。每個在系統上執行的程式由一到多個程序來實現。每個程序執行在具有不同許可權的環境中,這種環境控制著程序可訪問的系統資源、程式和資料檔案等。一個程序的執行行為由它執行時執行的操作來表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、檔案傳輸、裝置和其它程序,以及與網路間其它程序的通訊。 一個程序出現了不期望的行為可能表明駭客正在入侵你的系統。駭客可能會將程式或服務的執行分解,從而導致它失敗,或者是以非使用者或管理員意圖的方式操作。 4.物理形式的入侵資訊 這包括兩個方面的內容,一是未授權的對網路硬體連線;二是對物理資源的未授權訪問。駭客會想方設法去突破網路的周邊防衛,如果他們能夠在物理上訪問內部網,就能安裝他們自己的裝置和軟體。依此,駭客就可以知道網上的由使用者加上去的不安全(未授權)裝置,然後利用這些裝置訪問網路。例如,使用者在家裡可能安裝Modem以訪問遠端辦公室,與此同時駭客正在利用自動工具來識別在公共電話線上的Modem,如果一撥號訪問流量經過了這些自動工具,那麼這一撥號訪問就成為了威脅網路安全的後門。駭客就會利用這個後門來訪問內部網,從而越過了內部網路原有的防護措施,然後捕獲網路流量,進而攻擊其它系統,並偷取敏感的私有資訊等等。 訊號分析 對上述四類收集到的有關係統、網路、資料及使用者活動的狀態和行為等資訊,一般透過三種技術手段進行分析:模式匹配,統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測,而完整性分析則用於事後分析。 1.模式匹配 模式匹配就是將收集到的資訊與已知的網路入侵和系統誤用模式資料庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如透過字串匹配以尋找一個簡單的條目或指令),也可以很複雜(如利用正規的數學表示式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得許可權)來表示。該方法的一大優點是隻需收集相關的資料集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火牆採用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的駭客攻擊手法,不能檢測到從未出現過的駭客攻擊手段。 2.統計分析 統計分析方法首先給系統物件(如使用者、檔案、目錄和裝置等)建立一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網路、系統的行為進行比較,任何觀察值在正常值範圍之外時,就認為有入侵發生。例如,統計分析可能標識一個不正常行為,因為它發現一個在晚八點至早六點不登入的帳戶卻在凌晨兩點試圖登入。其優點是可檢測到未知的入侵和更為複雜的入侵,缺點是誤報、漏報率高,且不適應使用者正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法,目前正處於研究熱點和迅速發展之中。 3.完整性分析 完整性分析主要關注某個檔案或物件是否被更改,這經常包括檔案和目錄的內容及屬性,它在發現被更改的、被特絡伊化的應用程式方面特別有效。完整性分析利用強有力的加密機制,稱為訊息摘要函式(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了檔案或其它物件的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用於實時響應。儘管如此,完整性檢測方法還應該是網路安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模組,對網路系統進行全面地掃描檢查。 入侵檢測系統典型代表 入侵檢測系統的典型代表是ISS公司(國際網際網路安全系統公司)的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為,在系統受到危害之前擷取和響應安全漏洞和內部誤用,從而最大程度地為企業網路提供安全。 入侵檢測功能 ·監督並分析使用者和系統的活動 ·檢查系統配置和漏洞 ·檢查關鍵系統和資料檔案的完整性 ·識別代表已知攻擊的活動模式 ·對反常行為模式的統計分析 ·對作業系統的校驗管理,判斷是否有破壞安全的使用者活動。 ·入侵檢測系統和漏洞評估工具的優點在於: ·提高了資訊保安體系其它部分的完整性 ·提高了系統的監察能力 ·跟蹤使用者從進入到退出的所有活動或影響 ·識別並報告資料檔案的改動 ·發現系統配置的錯誤,必要時予以更正 ·識別特定型別的攻擊,並向相應人員報警,以作出防禦反應 ·可使系統管理人員最新的版本升級新增到程式中 ·允許非專家人員從事系統安全工作 ·為資訊保安策略的建立提供指導 ·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望:這些產品並不是無所不能的,它們無法彌補力量薄弱的識別和確認機制 ·在無人干預的情況下,無法執行對攻擊的檢查 ·無法感知公司安全策略的內容 ·不能彌補網路協議的漏洞 ·不能彌補由於系統提供資訊的質量或完整性的問題 ·它們不能分析網路繁忙時所有事務 ·它們不能總是對資料包級的攻擊進行處理 ·它們不能應付現代網路的硬體及特性 入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網路系統受到危害之前攔截和響應入侵。從網路安全立體縱深、多層次防禦的角度出發,入侵檢測理應受到人們的高度重視,這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內,隨著上網的關鍵部門、關鍵業務越來越多,迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品(缺乏升級和服務)階段,或者是防火牆中整合較為初級的入侵檢測模組。可見,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究