--- 入侵检测 ---

浅谈入侵检测 毛毛

01-5-22 上午 10:59:12

入侵检测系统

随着计算机网络技术的飞速发展、应用范围的不断扩大，从早期的文件传输、电子邮件传输到目前的电子商务、Internet/Intranet,计算机网络在现代生活中的重要性正不断加强。但随之而来的计算机网络攻击也不断增加，由于系统脆弱性的客观存在以及各种各样入侵行为的存在，使得信息系统的安全保护难度大为提高。

网络入侵检测系统（IDS）是一项很新的网络安全技术，目前虽只有几年的历史，但已受到广泛的关注，它的出现是对原有安全系统的一个重要补充。入侵检测系统收集计算机系统和网络的信息，并对这些信息加以分析，对保护的系统进行安全审计、监控、攻击识别以及作出实时的反应。

入侵检测系统的功能：

* 监控、分析用户和系统的活动

* 审计系统的配置和弱点

* 评估关键系统和数据文件的完整性

* 识别攻击的活动模式

* 对异常活动的统计分析

* 操作系统审计跟踪管理，识别违反政策的用户活动

入侵检测产品的优点：

* 提高信息安全构造的其他部分的完整性

* 提高系统的监控

* 从入口点到出口点跟踪用户的活动

* 识别和汇报数据文件的变化

* 侦测系统配置错误并纠正他们

* 识别特殊攻击类型，并向管理人员发出警报，进行防御

入侵检测的缺点：

* 不能弥补差的认证机制

* 如果没有人的干预，不能管理攻击调查

* 不能知道安全策略的内容

* 不能弥补网络协议上的弱点

* 不能弥补系统提供质量或完整性的问题

* 不能分析一个堵塞的网络

* 不能处理有关packet-level的攻击

入侵检测的必要性:

图1是一个具有检测模块的安全系统管理

由图1可以看到，安全系统是在动态环境里的一个连续的进程。其中，防御模块包括加密、认证和防火墙；检测模块包括监控目标系统，分析收集的信息，对发生的问题做出响应，并汇报问题；调查模块记录问题发生的原因，并改正问题；诊断和方案分析将来如何抵制类似入侵行为。

目前，网络安全的解决主要采取的技术手段有防火墙、安全路由器等，它们对于防止系统非法入侵都有一定的效果。但是它们只是起着防御功能，而计算机系统的安全总是防不胜防的，一旦它们被人攻破，整个系统则毫无办法。因此仅仅具有这些手段还不足以对付非法攻击，为改变这种被动局面，一个安全的网络系统应该既要有防火墙等防御手段，还需要有能够对网络安全进行实时监控、攻击与反攻击的网络入侵检测系统。

防火墙是作为内部网和INTERNET的一个界限，它根据安全策略来过滤进入内部网的数据。但是，仅有防火墙是不够的，因为：

1、并非所有的威胁都来自防火墙的外部；

2、防火墙本身易遭到攻击。

防火墙，身份认证产品，访问控制产品，加密产品，病毒扫描器等，他们都完成系统安全最基本的功能，然而，他们自己也是被攻击的对象。他们一旦受到攻击，则他们保护的系统的安全就会处于危险。

防火墙等安全设备都属于静态安全技术范畴，它们不能主动跟踪侵入者。而入侵检测属于动态安全技术，它能主动检测网络的易受攻击点和安全漏洞，动态安全技术的最大优点在于"主动性"，通过将实时的捕捉和分析系统与网络监视系统相结合，入侵检测系统能够发现危险攻击的特征，进而探测出攻击行为并发出警报，同时采取保护措施。若要使某个网络得到高水平的安全保护，则应该选择更加主动和智能的网络安全技术。面对存在于网络安全的种种现实问题和用户的需求，入侵检测通过与传统的防火墙和验证技术措施相结合，最大程度地保证了网络安全。

入侵检测软件的分类

一、基于主机

即在每个要保护的主机上运行一个代理程序。例如Intrusion Detection公司的Kane Security Monitor。代理程序会定期给一个管理站点发出“心跳”信号，当然也包括报警。这种心跳使管理站点能检测到拒绝服务类的攻击，这种攻击可能会使一个主机完全瘫痪，那它当然也就无法回应或正常工作了。

基于主机的方法有以下优点：

1、性能价格比高。在主机数量较少的情况下，这种方法的性能价格比可能更高。

2、更加细腻。这种方法可以很容易的监测一些活动，如对敏感文件、目录、程序或端口的存取，而这些活动很难在基于协议的线索中被发现。

3、视野集中。一旦入侵者得到了一个主机的用户名和口令，基于主机的代理是最有可能区分正常的活动和非法的活动的。

4、易于用户剪裁。每一个主机有其自己的代理，当然用户剪裁更方便了。

5、较少的主机。基于主机的方法有时不需要增加专门的硬件平台。

对网络流量不敏感。用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。

二、基于网络

通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者。例如Network Associates公司的CyberCop以及NetRanger。当这些产品发现某些可疑的现象时也一样会产生告警，而且也可能会向一个中心管理站点发出“心跳”信号。

基于网络的检测有以下优点：

1、侦测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。

2、隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容易遭受攻击。由于不是主机，因此一个基于网络的监视器不用去响应Ping，不允许别人存取其本地存储器，不能让人家跑程序，而且不让多个用户使用它。

3、视野更宽。基于网络的方法甚至可以在网络的边缘上，即攻击者还没能接入网络时就被制止。

4、较少的监测器。由于使用一个监测器就可以保护一个共享的网段，所以你不需要很多的监测器。相反地，如果基于主机，则在每个主机上都需要一个代理，这样的话，花费昂贵，而且难于管理。但是，如果在一个交换环境下，每个主机就得配一个监测器，因为每个主机都在自己的网段上。

5、占资源少。 在被保护的设备上不用占用任何资源。

以上两种技术是互补的。实施基于网络的监测，同时在特定的敏感主机上增加代理是一个可以考虑的策略。

入侵检测系统模型

系统运行环境： UNIX，Windows NT

系统功能： ·监控、分析用户和系统的活动

·审计系统的配置和弱点

·评估关键系统和数据文件的完整性

·识别攻击的活动模式

·发现非法访问做出及时的反应

·做出入侵响应

系统框架：图2是一个入侵检测系统的框架

此系统包括一个中央监视器和数个监视主机的代理（agent）。中央监视器有监视管理系统和专家系统两部分组成。监视管理器为被监视主机提供安全管理功能，它对整个监视系统进行管理，收集个代理送来的审计数据，交专家系统进行分析，并根据专家系统得出的结果作出相应的反应。

代理则在被监视的主机上运行，它可获取两方面的数据：一是直接获取被审计主机的审计模块所收集到的审计数据，二是根据实际情况收集有关系统运行的数据。

 

入侵检测产品介绍

目前国外不但有多个实验室在从事入侵检测系统的研究和开发，并已完成一些原型系统和商业产品，但国内的研究现状相对落后。下面介绍一些国外的产品：

Cisco公司的NetRanger

1996年3月，WheelGroup基于多年的业界经验推出了NetRanger。产品分为两部分：监测网络包和发告警的传感器（9000美元），以及接收并分析告警和启动对策的控制器（1万美元）。

NetRanger以其高性能而闻名，而且它还非常易于裁剪。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。NetRanger的最大名声在于其是针对企业而设计的。这种名声的标志之一是其分销渠道，EDS、PerotSystems、IBM Global Services都是其分销商。

NetRanger在全球广域网上运行很成功。例如，它有一个路径备份(Path-doubling)功能。如果一条路径断掉了，信息可以从备份路径上传过来。它甚至能做到从一个点上监测全网或把监测权转给第三方。

NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容，而且还看上下文，即从多个包中得到线索。这是很重要的一点，因为入侵者可能以字符模式存取一个端口，然后在每个包中只放一个字符。如果一个监测器只观察单个包，它就永远不会发现完整的信息。NetRanger是目前市场上基于网络的入侵检测软件中经受实践考验最多的产品之一。

但是，对于某些用户来讲，NetRanger的强项也可能正好是其不足。它被设计为集成在OpenView或NetView下，在网络运行中心（NOC）使用，其配置需要对Unix有详细的了解。NetRanger相对较昂贵，这对于一般的局域网来讲未必很适合。

Network Associates公司的CyberCop

Network Associates 公司是1977年由以做Sniffer类探测器闻名的NetworkGeneral公司和以做反病毒产品为专业的 McAfee Associates公司合并而成的。NetWork Associates从Cisco那里取得授权，将NetRanger的引擎和攻击模式数据库用在CyberCop中。

另外，CyberCop被设计成一个网络应用程序，一般在20分钟内就可以安装完毕。它预设了6种通常的配置模式：Windows NT和Unix的混合子网、Unix子网、NT子网、远程访问、前沿网和骨干网。它没有Netware的配置。

前端设计成浏览器方式主要是考虑易于使用，发挥NetworkGeneral在提炼包数据上的经验，用户使用时也易于查看和理解。像在Sniffer中一样，它在帮助文档里结合了专家知识。CyberCop还能生成可以被Sniffer识别的踪迹文件。与NetRanger相比，CyberCop缺乏一些企业应用的特征，如路径备份功能等。

CuberCop入侵保护产品系列包括cybercop scanner、cybercop monitor 和cybercop sting。

cybercop scanner检查计算机系统和网络设备的安全脆弱性，它可以测试NT和UNIX工作站、服务器、hubs。

cybercop monitor是一个基于主机的入侵检测工具，它提供优质服务实时的包分析和系统事件异常检测、警告和响应，防止恶意的攻击。它可以运行在Windows NT和UNIX平台上。

cybercop sting对于防止网络上的攻击提供一个信息收集的设备。攻击是否来自网络内部还是外部，cybercop sting用分析工具记录攻击的行为，收集并记录攻击来源和技术的证据。它可以运行在Windows NT。

Internet Security System公司的RealSecure

RealSecure的优势在于其简洁性和低价格。与NetRanger和CyberCop类似，RealSecure在结构上也是两部分。引擎部分负责监测信息包并生成报警，控制台接收报警并作为配置及产生数据库报告的中心点。两部分都可以在NT、Solaris、SunOS和Linux上运行，并可以在混合的操作系统或匹配的操作系统环境下使用。它们都能在商用微机上运行。

对于一个小型的系统，将引擎和控制台放在同一台机器上运行是可以的，但这对于NetRanger或CyberCop却不行。RealSecure的引擎价值1万美元，控制台是免费的。一个引擎可以向多个控制台报告，一个控制台也可以管理多个引擎。

RealSecure可以对CheckPoint Software的FireWall-1重新进行配置。根据入侵检测技术经理Mark Wood的说法，ISS还计划使其能对Cisco的路由器进行重新配置，同时也正开发OpenView下的应用。

Intrusion Detection公司的Kane Security Monitor for NT

基于主机的Kane Security Monitor（KSM）for NT是1997年9月推出的。它在结构上由三部分组成，即一个审计器、一个控制台和代理。代理用来浏览NT的日志并将统计结果送往审计器。系统安全员用控制台的GUI界面来接收告警、查看历史记录以及系统的实时行为。KSM对每个被保护的服务器报价1495美元（包括审计器和控制台），在此基础上每个工作站代理报价295美元。

KSM在TCP/IP监测方面特别强，但是，Intrusion Detection的产品不是为较快的广域网设计的。

Axent Technologies公司的OmniGuard/Intruder Alert

与KSM的审计器、控制台、代理所对应的OmniGuard/IntruderAlert(ITA)在结构上的三个组成部分为一个管理器（1995美元）、控制台（免费）和代理（每个服务器为995美元，每个工作站为95美元）。

ITA比IntrusionDetection的KSM提供了更广泛的平台支持。它的管理器和代理能在WindowsNT、95、3.1和Netware3.x、4.x上运行，所有的部分在多种Unix下都能运行，如Solaris、SunOS、IBMAIX、HP-UX以及DEC的Unix。

Trusted Information System公司的Stalkers

由Haystack Labs于1993年推出的Stalker是一个基于主机的监测器，它能用于NT以及多种版本的Unix，包括Solaris、AIX、HP-UX和SCO的UnixWare。2.1版的管理器价格为9995美元，每个代理为695美元。

Haystack Labs在1996年6月推出了WebStalkerPro，其操作系统运行平台和Stalker是一样的，但其使用对象是Web服务器。它在Unix下的报价是4995美元，在NT下的报价是2995美元。Sun的NetraWeb服务器在销售时就带有一个WebStalker的专门版。IBM GlobalServices也销售WebStalker。

开发基于NT防火墙产品Gauntlet的Trusted InformationSystem公司于1997年10月收购了Haystack。于1997年12月宣布了只在NT下运行且为微软的Proxy Server2.0设计的监测器——ProxyStalker。ProxyStalker计划于第一季度推出，其价格尚未宣布，但估计和Proxy Server应该是同等档次的产品，即少于1000美元。

所有三种Stalker产品都可以对防火墙产品Gauntlet重新配置，三种产品也都可以在发现入侵的同时消灭入侵。例如，WebStalkerPro可以终止一个登录或一个进程，它也可以重启一个Web服务器。Stalker家族也能与TME集成在一起。

入侵监测仅仅是完整的安全性系统的一个组成部分。因为如果你不用验证、授权和加密等技术去锁紧你的门，即使你安装了报警系统也没用。入侵检测是为那些已经采取了结合防火墙和验证技术措施的客户准备的，入侵检测在其上又增加了一层安全性