隨著網(wǎng)際網(wǎng)路的普及�����,加上電子商務(wù)的催化����,以及在全球一連串網(wǎng)路安全事件登上頭條新聞�����,企業(yè)與個人已不能再單靠防火墻來保證完善的網(wǎng)路安全��。有鑒於此���,建置與部署入侵偵測系統(tǒng)(Intrusion Detection System�;IDS)將成為加強網(wǎng)路安全的一股新力量����。
作者簡介∶本文作者賴左罕為畢業(yè)于倫敦大學(xué)皇家學(xué)院(RoyalHolloway,UniversityofLondon)之資訊安全碩士�����,目前任職顧問公司�����,擔(dān)任資訊安全顧問一職�����,主要專長包含安全管理(SecurityManagement)、資訊安全政策制定(SecurityPolicy)����、防火墻(FirewallImplementation)、入侵偵測系統(tǒng)(IntrusionDetectionSystems)�、入侵安全測試(PenetrationTesting)、電腦犯罪搜證(Computerforensics)及緊急事件應(yīng)變程序��。
入侵偵測系統(tǒng)其實可以算是一個偵測程序��,主要在于偵測外部攻擊者以及內(nèi)部人員對未經(jīng)授權(quán)之資訊系統(tǒng)做不正當(dāng)?shù)拇嫒』蚬?�。接下來將為大家介紹入侵偵測系統(tǒng)的基本概念,其所使用的偵測技巧以及各項偵測技巧與建置方式的優(yōu)缺點比較�。
基本上入侵偵測系統(tǒng)分為兩種建置方式∶主機端入侵偵測系統(tǒng)(Host-basedIDS)以及網(wǎng)路端入侵偵測系統(tǒng)(Network-basedIDS)。
什么是主機端入侵偵測系統(tǒng)��?
「主機端」入侵偵測系統(tǒng)主要是靠記錄并分析該主機上的各項活動程序以偵測是否有不適當(dāng)?shù)拇嫒⌒袨?。藉由這樣的方式來判斷該主機上某個特定的處理程序或使用者是否正在進行可疑的攻擊行為。
主機端入侵偵測系統(tǒng)的優(yōu)缺點
優(yōu)點∶
「主機端」入侵偵測系統(tǒng)可以偵測到「網(wǎng)路端」入侵偵測系統(tǒng)所偵測不到的攻擊行為�,因為它是針對本地主機做事件記錄的檢視。
「主機端」入侵偵測系統(tǒng)可以在有加密(encrypted)的網(wǎng)路環(huán)境下運作�,只要加密的記錄資訊,能在監(jiān)聽的主機上解密(decrypted)或在送達監(jiān)聽主機之前解密即可���。
「主機端」入侵偵測系統(tǒng)可以在交換式網(wǎng)路(switchednetwork)環(huán)境下運作使用���。因為「主機端」入侵偵測系統(tǒng)僅針對該監(jiān)聽主機所接收到的封包做分析,因此對是否建置在交換網(wǎng)路上并不會有任何影響��。
缺點∶
收集監(jiān)聽記錄的機制通常必須在每一臺所要監(jiān)聽的主機上安裝并維護����。正因為「主機端」入侵偵測系統(tǒng)部份的系統(tǒng)是安裝在所要監(jiān)聽的主機上,所以當(dāng)所監(jiān)聽的主機受到攻擊時����,「主機端」入侵偵測系統(tǒng)可能也會同時受到攻擊�����,或者可能會被較高明的攻擊者在入侵后將其監(jiān)聽功能關(guān)閉���。[nextpage]
「主機端」入侵偵測系統(tǒng)對網(wǎng)段上的掃瞄并不能有效地偵測,因為其僅能偵測到該主機所收到的封包而不能得知其它主機是否也收到類似的攻擊����。「主機端」入侵偵測系統(tǒng)通常對阻斷服務(wù)式攻擊(Denial-of-Serviceattack)有偵測上的困難�,而且也無法有效地在阻斷服務(wù)式攻擊下正常運作?��!钢鳈C端」入侵偵測系統(tǒng)在運作時是占用所被監(jiān)聽主機的硬體資源。
什么是網(wǎng)路端入侵偵測系統(tǒng)����?
「網(wǎng)路端」入侵偵測系統(tǒng)以記錄并分析網(wǎng)路封包的方式來偵測入侵行為,其主要建置在網(wǎng)路的骨干上����。單一的「網(wǎng)路端」入侵偵測系統(tǒng)便可監(jiān)聽大量的網(wǎng)路資訊?����!妇W(wǎng)路端」入侵偵測系統(tǒng)通常包含一組監(jiān)聽裝置,用于監(jiān)聽記錄網(wǎng)路封包并將所偵測到疑似攻擊的封包回報到單一獨立的管理控制臺(ManagementConsole)�����。大多數(shù)的入侵偵測系統(tǒng)是處在隱形模式(StealthMode)下運作�����,所以對攻擊者而言�,在偵測這些系統(tǒng)的存在以及其所部署的位置是非常困難的。
網(wǎng)路端入侵偵測系統(tǒng)的優(yōu)缺點
優(yōu)點∶
少數(shù)���、但位置部署良好的「網(wǎng)路端」入侵偵測系統(tǒng)��,對偵測大型網(wǎng)路活動具有非常高的效率��。由于「網(wǎng)路端」入侵偵測系統(tǒng)為被動式的裝置(passivedevice)���,因此其建置與部署并不會對原本的網(wǎng)路流量及運作有顯著的影響。所以建置「網(wǎng)路端」入侵偵測系統(tǒng)可以說是一項花費最少成本卻可得到最有效率的投資�����。「網(wǎng)路端」入侵偵測系統(tǒng)可以被設(shè)定為隱形模式���,安全地保護其主機以避免成為攻擊者的目標(biāo)�����。
缺點∶
「網(wǎng)路端」入侵偵測系統(tǒng)對處理流量頻繁的大型網(wǎng)路之封包有某種程度的困難�,因此在封包流量高時�����,可能會有遺漏偵測到正潛在進行的攻擊行為的可能性�。部份廠商試著將「網(wǎng)路端」入侵偵測系統(tǒng)完全地建置在硬體平臺上以得到較好的效能來解決這樣的缺點。但是對「網(wǎng)路端」入侵偵測系統(tǒng)而言�����,最重要的是如何以最低的電腦運算效能去分析網(wǎng)路封包�����,而達到最高的偵測準(zhǔn)確率���。
大部份較先進的「網(wǎng)路端」入侵偵測系統(tǒng)并不完全適用于交換式網(wǎng)路環(huán)境(switchednetwork)�����。因為大部份的交換式網(wǎng)路并不提供通用的監(jiān)聽埠(monitoringport)而導(dǎo)致「網(wǎng)路端」入侵偵測系統(tǒng)僅能監(jiān)聽單一主機����。
「網(wǎng)路端」入侵偵測系統(tǒng)無法對加密(encrypted)的資訊進行分析����。這將會成為一個嚴重的問題,因為無論是企業(yè)界或是攻擊者使用加密技術(shù)(encryption)來傳遞資訊的情況已日益頻繁���。
大部份的「網(wǎng)路端」入侵偵測系統(tǒng)并不會對攻擊行為是否成功作回報����,它們僅會對是否有攻擊行為的發(fā)生作回報���。所以對系統(tǒng)管理者而言���,在每次偵測到有攻擊行為發(fā)生時,他們必須親自對疑似被攻擊的主機作檢視調(diào)查以判斷攻擊行為是否成功���。[nextpage]
入侵偵測系統(tǒng)的偵測技術(shù)
目前入侵偵測系統(tǒng)所使用的偵測技術(shù)主要分為兩種方式∶不當(dāng)使用偵測方式(MisuseDetection)及異常使用偵測方式(AnomalyDetection)�����?!覆划?dāng)使用」偵測方式目前廣泛地被各大入侵偵測系統(tǒng)的廠商所采用;而「異常使用」偵測方式目前尚在研究階段����,主要為入侵偵測系統(tǒng)研究機構(gòu)以及少數(shù)廠商所采用。
1.不當(dāng)使用偵測方式
「不當(dāng)使用」偵測方式又可被稱為「特征比對」方式(signature-based)�,主要是以比對的方式將所偵測到的可疑攻擊行為與系統(tǒng)事先所定義的入侵攻擊模式資料庫進行分析比對,而入侵攻擊模式資料庫中則詳細定義著各種入侵攻擊方式的特征資料(attackpattern/signature)��,一旦比對出相似的入侵攻擊模式��,便將其視為是一種入侵攻擊行為�。采用此方式的入侵偵測系統(tǒng)必須事先進行設(shè)定微調(diào)以得到最高的效能及準(zhǔn)確的偵測率。
優(yōu)點∶
「不當(dāng)使用偵測方式」的入侵偵測系統(tǒng)在偵測攻擊行為上非常有效率而且不會產(chǎn)生過多的誤判警訊(falsepositive)���。
「不當(dāng)使用偵測方式」的入侵偵測系統(tǒng)能夠快速并可靠地偵測出特定的攻擊手法���,能有效的幫助資訊安全人員迅速地整理出正確的應(yīng)對之策。
缺點∶
「不當(dāng)使用」偵測方式的入侵偵測系統(tǒng)必須經(jīng)過手動微調(diào)設(shè)定以偵測各種不同的攻擊�����,因此必須經(jīng)常不斷地更新最新的入侵攻擊方式特征資料�����,以便有效地偵測最新的攻擊行為����。
大部份「不當(dāng)使用」偵測方式的入侵偵測系統(tǒng)刻意地縮小入侵攻擊方式特征的定義范圍,以避免偵測到不同版本的一般攻擊行為����。其目的是為了提高偵測的準(zhǔn)確率,但卻犧牲了偵測的彈性空間�����。
2.異常使用偵測方式
「異常使用」偵測方式又可被稱為「政策比對」方式(policy-based)��?��!府惓J褂谩箓蓽y方式的入侵偵測系統(tǒng)以識別不尋常的主機或網(wǎng)路運作行為的方式來偵測是否有攻擊行為發(fā)生�。此種方式以觀察攻擊行為不同于一般使用狀態(tài)的相異處來進行偵測�����。通常需事先建立正常使用狀態(tài)下的基準(zhǔn)線(baseline),再對網(wǎng)路系統(tǒng)上的各種活動進行比對是否有別于一般正常狀態(tài)下的使用�。很可惜的是因為技術(shù)層面上的瓶頸,采用此方式的入侵偵測系統(tǒng)一般來說產(chǎn)生過多的誤判警訊����,因為一般的使用者行為及網(wǎng)路上的各項活動是非常難掌握的。另外�����,研究學(xué)者強烈地認為「異常使用」偵測方式的入侵偵測系統(tǒng)將有效地提供偵測未知攻擊方式的能力��,有別于「不當(dāng)使用」偵測方式的入侵偵測系統(tǒng)僅能對已知的攻擊方式做偵測����。
優(yōu)點∶
「異常使用」偵測方式的入侵偵測系統(tǒng)以偵測不尋常的行為模式的方式,因此不需要經(jīng)過特定的微調(diào)設(shè)定即可偵測到各種不同的攻擊行為���,而且也不需要如「不當(dāng)使用」偵測方式一般��,需經(jīng)常性地更新及維護入侵攻擊模式資料庫���。
「異常使用」偵測方式入侵偵測系統(tǒng)所收集的資訊可以提供給「不當(dāng)使用」偵測方式入侵偵測系統(tǒng)用來作各種入侵攻擊方式特征的定義�。
缺點∶
「異常使用」偵測方式通常會產(chǎn)生大量的錯誤警訊����,主要是因為使用者行為及網(wǎng)路活動之不可預(yù)測的天性��。
「異常使用」偵測方式通常需要大量經(jīng)過篩選的系統(tǒng)事件記錄�����,以便確實地描述一般行為的特征�����。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺��。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的����,皆為無意。如您是字體廠商��、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材�,請聯(lián)系我們����,本站核實后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用����,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�����,將不予任何的法律和經(jīng)濟賠償����!敬請諒解!
粵公網(wǎng)安備 44030402000264號