入侵检测产品的发展趋势
1.入侵检测产品发展现状
��入侵检测系统(Intrusion Detect System),目前基本上分为以下两种:主机入侵检测系统(HIDS);网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志,所以需 要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。本文分析的为目前使用广泛的网络入侵监测系统。
��2.为什么需要入侵检测系统?
��目前在网络安全方面,国内的用户对防火墙已经有了很高的认知程度,而对入侵检测系统的作用大多不是非常了解。防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用,是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析,保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无能为力。
��
��同时,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能.如果把放火防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机,入侵检测通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案。
3. 入侵检测系统目前存在的问题
�
��入侵检测系统有如此重大的作用,但在国内的应用远远谈不到普及,一方面是由于用户的认知程度较底,另一方面是由于入侵检测是一门比较新的技术,还存在一些技术上的困难,不是所有厂商都有研发入侵检测产品的实力。目前的入侵检测产品大多存在这样一些问题:
��(1). 误报和漏报的矛盾
��入侵检测系统对网络上所有的数据进行分析,如果攻击者对系统进行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么这一次攻击是否需要报警,这就是一个需要管理员判断的问题。因为这也代表了一种攻击的企图。但大量的报警事件会分散管理员的精力,反而无法对真正的攻击作出反映。和误报相对应的是漏报,随着攻击的方法不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
��(2). 隐私和安全的矛盾
��入侵检测系统可以收到网路的所有数据,同时可以对其进行分析和记录,这对网络安极其重要,但难免对用户的隐私构成一定风险,这就要看具体的入侵检测产品是否能提供相应功能以供管理员进行取舍。
��(3). 被动分析与主动发现的矛盾
��入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问题。
��(4). 海量信息与分析代价的矛盾
��随着网路数据流量的不断增长,入侵检测产品能否处理高效处理网路中的数据也是衡量入侵检测产品的重要依据。
��(5). 功能性和可管理性的矛盾
��随着入侵检测产品功能的增加,可否在功能增加的同时,不增大管理的难度。例如,入侵
检测系统的所有信息都储存在数据库中,此数据库能否自动维护和备份而不需管理员的干预?另外,入侵检测系统自身安全性如何?是否易于部署?采用何种报警方式?也都是需要考虑的因素。
6). 单一的产品与复杂的网络应用的矛盾
��入侵检测产品最出的目的是为了检测网络的攻击,但仅仅检测网络中的攻击远远无法满足目前复杂的网应用需求.通常,管理员难以分清网路问题:是由于攻击引起的还是网络故障。入侵检测检测出的攻击事件又如何处理,可否和目前网络中的其他安全产品进行配合。
��4.入侵检测技术的发展趋势
��(1).分析技术的改进
��入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。
��统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
��协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明攻击。例如:某个基于HTTP协议的攻击含有ABC特征,如果此数据分散在若干个数据包中,如:一个数据包含A,另外一个包含B,另外一个包含C,则单纯的模式匹配就无法检测,只有基于数据流重组才能完整检测。而利用协议分析。则只在符合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里,因为不符合协议,就不会报警。利用此技术,有效的降低了误报和漏报。
��行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的最高境界。但目前由于算法处理和规则制定的难度很大,目前还不是非常成熟,但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术,而不只是依靠传统的统计分析和模式匹配技术。另外,规则库是否及时更新也和检测的准确程度相关。
��(2).内容恢复和网络审计功能的引入
��前面已经提到,入侵检测的最高境界是行为分析。但行为分析前还不是很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功能。
��内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用。
��内容恢复和网络审计让管理员看到网络的真正运行状况,其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的攻击事件的报警,还可以看到整个攻击过程,了解攻击确实发生与否,查看攻击着的操作过程,了解攻击造成的危害。不但发现已知攻击,同时发现未知攻击。不当发现外部攻击者的攻击,也发现内部用户的恶意行为。毕竟管理员是最了解其网络的,管理员通过此功能的使用,很好的达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。
��(3).集成网络分析和管理功能
��入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的方向。
(4).安全性和易用性的提高
��入侵检测是个安全产品,自身安全极为重要。因此,目前的入侵检测产品大多采用硬件结构,黑洞式接入,免除自身安全问题。同时,对易用性的要求也日益增强,例如:全中文的图形界面,自动的数据库维护,多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。
��(5).改进对大数据量网络的处理方法
��随着对大数据量处理的要求,入侵检测的性能要求也逐步提高,出现了千兆入侵检测等产品。但如果入侵检测检测产品不仅具备攻击分析,同时具备内容恢复和网络审计功能,则其存储系统也很难完全工作在千兆环境下。这种情况下,网络数据分流也是一个很好的解决方案,性价比也较好。这也是国际上较通用的一种作法。
��(6).防火墙联动功能
��入侵检测发现攻击,自动发送给放火墙,防火墙加载动态规则拦截入侵,称为防火墙联动功能。目前此功能还没有到完全实用的阶段,主要是一种概念。随便使用会导致很多问题。目前主要的应用对象是自动传播的攻击,如Nimda等,联动只在这种场合有一定的作用。无限制的使用联动。如未经充分测试,对防火期的稳定性和网络应用会造成负面影响。但随着入侵检测产品检测准确度的提高,联动功能日益趋向实用化。
��5.总结
��目前入侵检测是一项全新的技术,对网络的安全起着重大的作用,但也有一些技术问题需要解决或正在解决,入侵检测的应用也会日益广泛,以下是评价目前评价一个入侵检测产品是否优秀的标准:
��1. 高效的数据截取
��2. 智能的数据流重组
��3. 强大的入侵识别
��4. 全面的内容恢复
��5. 完整的网络审计
��6. 实时的网络监控
��7. 集成的网络管理
��8. 简便的接入
��9. 易用的管理
��10.灵活的部署
��11.丰富的报警方法
��12.多样的输出结果
��13.严格的自身安全
��14.高度的可集成性
网络入侵是威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自互联网的攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行的非法访问。入侵检测就是对发生在计算机系统或者网络上的事件进行监视、分析是否出现入侵的过程。入侵检测系统(英文称IDS:Intrusion Detection System)是自动进行入侵检测的监视和分析过程的硬件或软件产品。入侵监测系统处于防火墙之后对网络活动进行实时监测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。防火墙看起来好像可以满足系统管理员的一切需求。然而,随着基于内部人员的攻击行为和产品自身问题的增多,IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁,这些破坏行为也是防火墙无法抵御的。IDS已经成为企业网络安全防护系统的三大重要组成部分之一。
一、入侵检测系统基础原理
1、入侵检测系统的产品分类
根据采集数据源的不同,IDS可分为主机型入侵检测系统(Host-based IDS,简称HIDS)和网络型入侵检测系统(Network-based IDS,简称NIDS)。HIDS从主机/服务器上采集数据,包括操作系统日志、系统进程、文件访问和注册表访问等信息。HIDS的检测引擎被称为主机代理,HIDS的主机代理安装在所保护的主机/服务器上,不同的操作系统平台需要不同的主机代理。NIDS直接从网络中采集原始的数据包。NIDS的检测引擎被称为网络引擎。NIDS的网络引擎放置在需要保护的网段内,不占用网络资源,可以保护整个网段。
主机型入侵检测系统的特点:主机型入侵检测系统通常情况下比网络型入侵检测系统误报率要低,因为检测在主机上运行的命令序列比检测网络流更简单,系统的复杂性也少得多。主机型入侵检测系统安装在我们需要保护的设备上,这会降低应用系统的效率。主机型入侵检测系统依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能,则必需重新配置,这将会给运行中的业务系统带来不可预见的性能影响。
网络型入侵检测系统的特点:网络型入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。网络型入侵检测系统只检查它直接连接网段的通信,不能检测在不同网段的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络型入侵检测系统的传感器会使布署整个系统的成本大大增加。
2、入侵检测的主要技术
●模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。该过程可以很简单,也可以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。
●异常检测
异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。
●协议分析
协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,这种技术正逐渐进入成熟应用阶段。协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有的数据包。
3、入侵检测技术的对比
●模式匹配技术:预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。对系统资源的消耗较高。
●异常检测技术:最大优点就是它可以统计用户的网络使用习惯,从而具有较高检测率与可用性。但是它的统计能力也给入侵者以机会通过逐步测试而使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
●协议分析技术:充分利用通信协议的已知结构,可以更快更有效地处理信息数据帧和连接。将命令解析技术与协议分析技术相结合,来模拟执行一个命令字符串,可以在通信连接到达操作系统或应用系统之前准确判断该通信是否恶意。对系统资源的极低消耗。
4、入侵检测术语
Alerts(警报)
当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示。如果是远程控制台,那么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员。
Anomaly(异常)
当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警。一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警,例如有人做了以前他没有做过的事情的时候,例如,一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能。
Attacks(攻击)
Attacks可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信息以及破坏目标网络或系统功能的行为。
Enumeration(列举)
经过被动研究和社会工程学的工作后,攻击者就会开始对网络资源进行列举。列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。由于现在的行动不再是被动的,它就有可能被检测出来。当然为了避免被检测到,他们会尽可能地悄悄进行。
Evasion(躲避)
Evasion是指发动一次攻击,而又不被IDS成功地检测到。其中的窍门就是让IDS只看到一个方面,而实际攻击的却是另一个目标,所谓明修栈道,暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL(有效时间)值,这样,经过IDS的信息看起来好像是无害的,而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。一旦经过了IDS并接近目标,无害的部分就会被丢掉,只剩下有害的。
Exploits(漏洞利用)
对于每一个漏洞,都有利用此漏洞进行攻击的机制。为了攻击系统,攻击者编写出漏洞利用代码或脚本。对每个漏洞都会存在利用这个漏洞执行攻击的方式,这个方式就是Exploit。为了攻击系统,黑客会编写出漏洞利用程序。
False Negatives(漏报)
漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。
False Positives(误报)
误报是指实际无害的事件却被IDS检测为攻击事件。
Fragmentation(分片)
如果一个信息包太大而无法装载,它就不得不被分成片断。分片的依据是网络的MTU(Maximum Transmission Units,最大传输单元)。例如,灵牌环网(token ring)的MTU是4464,以太网(Ethernet)的MTU是1500,因此,如果一个信息包要从灵牌环网传输到以太网,它就要被分裂成一些小的片断,然后再在目的地重建。虽然这样处理会造成效率降低,但是分片的效果还是很好的。黑客将分片视为躲避IDS的方法,另外还有一些DOS攻击也使用分片技术。
Heuristics(启发)
Heuristics就是指在入侵检测中使用AI(artificial intelligence,人工智能)思想。真正使用启发理论的IDS已经出现大约10年了,但他们还不够"聪明",攻击者可以通过训练它而使它忽视那些恶意的信息流。有些IDS使用异常模式去检测入侵,这样的IDS必须要不断地学习什么是正常事件。一些产商认为这已经是相当"聪明"的IDS了,所以就将它们看做是启发式IDS。但实际上,真正应用AI技术对输入数据进行分析的IDS还很少很少。
Honeypot(蜜罐)
蜜罐是一个包含漏洞的系统,它模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。与此同时,最初的攻击目标受到了保护,真正有价值的内容将不受侵犯。
Promiscuous(混杂模式)
默认状态下,IDS网络接口只能看到进出主机的信息,也就是所谓的non-promiscuous(非混杂模式)。如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地。这对于网络IDS是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量。交换型HUB可以解决这个问题,在能看到全面通信量的地方,会都许多跨越(span)端口。
二、市场上常见的硬件入侵检测系统
1、安氏领信LinkTrust?IDS NetworkDefender 200
安氏互联网安全系统有限公司自1999年在中国成立,公司总部位于北京,在上海、广州、成都等地设有分公司及办事处。以领信入侵检测系统为代表的安氏入侵检测类产品,在国内入侵检测(IDS)市场更是拥有绝对优势的市场份额。LinkTrust?IDS采用了许多先进技术和设计,如专用硬件承载平台设计;复杂协议分析和模式匹配的融合技术;多层分布式体系结构设计;完全远程升级技术;数据相关性分析技术等。领信入侵检测系统由网络传感器、主机传感器以及管理器组成,在网络和主机层面,将基于攻击特征分析和协议分析的入侵检测技术完美结合,监控分析网络传输和系统事件,自动检测和响应可疑行为,使用户在系统受到危害之前截取并防范非法入侵和内部网络误用,最大程度降低安全风险,保护企业网络系统安全。安氏公司通过强大的安氏安全实验室为用户提供技术支持与升级服务。
2、Enterasys Networks 公司Dragon Sensor
Enterasys Networks 公司诞生于2000年,是世界领先网络设计及制造商美国Cabletron 公司年初进行战略性结构重组后形成的四家独立专业化子公司之一。Dragon Sensor对正在使用的网络分组进行监控,寻找计算机犯罪、网络攻击、网络滥用迹象及异常现象。当它观察一个事件时,Dragon Sensor可以发送寻呼和电子邮件信息,然后采取相应措施来终止该事件,并对事件进行记录以用于以后的诉讼分析。一般来说,Dragon Sensor可以部署在防火墙前的独立系统上,或位于网络的关键位置。
3、启明星辰天阗入侵检测系统 N500
启明星辰信息技术有限公司成立于1996年,是一家由中国留学生创立的专业网络安全公司。拥有网络安全自主知识产权产品,提供整体安全解决方案与服务。天阗入侵检测与预警系统是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品,同时天阗还通过了所有权威管理部门的测评和认证。它是一种动态的入侵检测与响应系统。它能够实时监控网络传输,自动检测可疑行为,及时发现来自网络外部或内部的攻击,并可以实时响应,切断攻击方的连接。天阗系统可以与防火墙紧密结合,弥补了防火墙的访问控制不严密的问题。其联机文档提供了丰富的事件说明及恢复措施,可以最大程度地为网络系统提供安全保障。天阗N500为一种具有国际先进水平的多级分布式管理功能的IDS, 主要应用在安全需求明显,投资规模较大,安全要求较高,业务管理有多层次的结构,分支和下属单位多,网络结构较复杂,有核心业务的主机需要保护,有特殊的网络行为需要监控,网络流量在百兆环境下较高的单位。
4、中科网威天眼入侵检测系统NPIDS-N-HP-SB
北京中科网威信息技术有限公司于1999年在北京成立,一直专注于解决政府、银行、证券、电信等重点行业的安全问题。天眼入侵检测系统作为安全检测的最后一道防线,能提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,是其它安全措施的必要补充。系统采用引擎/控制台结构,引擎在网络中各个关键点部署,通过网络和中央控制台交换信息。网络引擎部分运行于安全操作系统Open BSD之上,负责网络数据的获取、分析、检测,对警报进行过滤和实时响应,并发送给控制台进行显示和记录。控制台运行于Windows平台,负责警报信息的及时显示、记录、查阅,支持用户定制检测、响应策略和控制网络引擎。
5、中联绿盟冰之眼入侵检测系统NIDS100-P
中联绿盟信息技术(北京)有限公司2000年成立于北京目前在广州、上海设有分公司,在湖南、沈阳设有办事处,是中国第一家专业从事网络安全服务的高科技公司。基于国际公认的安全实施标准和评估标准,推行绿盟科技的 DIEM 系统安全工程实施模型,进一步提高了安全服务和安全集成的实施质量,更有效的保障了客户的网络安全。冰之眼网络入侵检测系统由网络探测器、内网探测器、SSL加密传输通道、中央控制台、日志分析系统、SQL 日志数据库系统及绿盟科技中央升级站点几部分组成。能够准确地对入侵行为进行识别,并采取有效措施进行防护和干预。冰之眼网络入侵检测系统加强了对内网行为(内网拨号、IP-MAC对应关系改变、主机是否在线等发生在企业内网中的特定事件)的有效监控和跟踪,能够很好的帮助网络管理者发现和跟踪内网异常,确保对内网安全事件进行有效的监控管理。
6、金诺网安KIDS 3000
金诺网络安全技术发展股份有限公司2000年成立于上海,自主开发的拥有知识产权的部分产品有:金诺网安入侵检测系统KIDS、金诺网安外联监控系统KNCS、金诺网安介质取证系统DISKFOREN等。KIDS采用了智能的检测技术,它综合了特征匹配、协议分析和流量异常监测等多种检测技术的优点,能检测多种入侵攻击行为,包括扫描、嗅探、后门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异常和欺骗等11大类的安全事件,目前拥有的检测规则超过1800条,安全报警事件1200多条。系统具有完善的攻击事件库,并与国际上标准的漏洞库CVE、BugTraq和Whitehats等保持兼容。KIDS提供了多种分析工具,具有强大的安全事件追踪分析功能。KIDS采用了新一代的包处理技术和协议分析算法,传感器具备强劲的流量处理引擎。
7、东软NetEye IDS 2100 - FE2
东软集团来自东北大学,创立于1991年,总部位于中国沈阳。东软NetEye IDS利用独创的数据包截取技术对网络进行不间断的监控,扩大网络防御的纵深,同时采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图,进行报警、响应和防范。是防火墙之后的第二道安全闸门。同时具备强大的网络信息审计功能,可对网络的运行,使用情况进行全面的监控、记录、审计和重放,使用户对网络的运行状况一目了然。并且提供网络嗅探器和扫描器用于分析网络的问题,定位网络的故障。不但保障网络的安全,同时保障网络的健康运行。NetEye入侵检测系统可对自身的数据库进行自动维护,不需要用户的干预。学习和使用及其简易,不对网络的正常运行造成任何干扰,是完整的网络审计、监测、分析和管理系统。NetEye 入侵检测系统可与防火墙联动,自动配置防火墙策略,配合防火墙系统使用,可以全面保障网络的安全,组成完整的网络安全解决方案。
三、实际应用实例
应用环境:在一个企业级的Intranet网络中,在多个关键网段中(DMZ网络服务区、内网区、工作组区)分别部署IDS系统,以实现多处设防;采用IDS管理中心进行集中监控,同时也可与防火墙、网管平台等外围设备进行集成互动。
图1 网络拓扑结构
IDS通常只有两个端口,1个管理口与1个网络监听端口。管理口与控制中心连接,监听端口连接到所要检测区域的中心交换机上。
1、配置交换机的端口镜像
在非共享式的交换机上需要配置端口镜像。交换机端口镜像功能将从指定的交换机端口中复制端口流量到镜像端口中,以便进行流量和协议分析。下面以思科的3500、2900系统的交换机为例讲述如何配置端口镜像:
型号
配置方式
命令步骤
说明
3500,2900 系列
IOS
enable,password
configure
configure terminal
interface fastethernet moudle/port
模块 / 端口
port monitor {moudal/port | vlanID}
镜像源端口或 vlan
end
write
show intterface fastethernet moudle/port mornitor
查看镜像
2、设置控制中心
控制中心的任何操作都是通过菜单来完成的,为了增加操作的方便,对常用的一些操作设置了专门的按钮。
图2 主界面
3、配置探测引擎
探测引擎分两部分,工具栏和探测引擎/子控制列表。工具栏里罗列了和探测引擎控制相关的常用工具按钮。列表里面是受控制中心直接管理的探测引擎、和子控制中心。有名称、IP地址、运行策略、通道状态、应用策略的时间等信息。添加、修改探测引擎配置如下:
4、编辑策略
策略分为系统策略以及衍生策略两类,系统策略为系统固有的策略,不可以进行编辑、删除及重命名。衍生策略为系统固有策略的衍生策略,可以由用户更改。
选中一个策略,并按动"衍生策略"按钮,系统则复制一份完全一样的模板,名称是在原有的名字后面加上"衍生策略"。选中一个衍生策略,原"查看策略"按钮就会自动变成"编辑策略",按动该按钮,系统则以读写方式打开策略编辑器。如图:
图4 策略定义
5、分析报表
IDS的一个最大的特点就是有详细的入侵检测报表分析,对每一件的网络攻击事件都有详细的记录(如:事件发生的时间、源IP与目的IP、攻击事件等)。根据不同的条件分为几组,方便查找。如图:
图5 分析报表
6、联动
由于IDS的接入方式都是采用旁路方式来监听网络上的数据流,所以这就限制了IDS本身的阻断功能,IDS只有靠发阻断数据包来阻断当前的行为,阻断的范围很小,只能阻断建立在TCP基础之上的一些行为,如TELNET、FTP、HTTP等,对建立在UDP基础之上或已经完成了TCP三次握手之后的行为就无能为力了。IDS与防火墙联动的目的就是为了更有效的阻断所发生的攻击事件。在联动菜单的设置如下:
图6 防火墙联动
在窗口中,选择防火墙的类型;添加防火墙的IP地址即可。当IDS发现有黑客攻击的时候,就会发出阻断数据包传输到防火墙,由防火墙来阻断攻击行为,更好的保护网络。
四、入侵检测系统的一些比较
1、入侵检测系统和等其他安全产品的区别
不同的安全产品会起到不同的作用。单位虽然有了防火墙,但只能对外部来的网络攻击起到防御作用,对于调制解调器的后门却是毫无能力。据国际IDC统计,70%以上的攻击都是来自防火墙管不到的网络内部。依据目前黑客所掌握的攻击能力,使得现有的安全产品如防火墙、身份认证、防病毒、加密等,在现有的操作系统本身以及各种应用软件的环境下, 都不能阻止黑客对系统网络的攻击。
另外,针对不同的行业需求, 比如金融机构对数据防篡改、防抵赖、身份认证的高度重视程度,政府机构对信息的保密性、隐蔽性、防窃密、防泄密的要求,以及电信、电力等行业对数据业务连续性的保障需求等等,我们应该利用各种安全产品的不同功效提出不同的解决方案,同时也要考虑到一些黑客的攻击的共性,例如操作系统一旦被攻破,整个系统的数据和业务都将全部被黑客掌握,信息网络安全的保密性、防篡改性、业务连续性都将被彻底破坏。这些问题是值得各行各业都要关注和重视的。相关安全产品对比表如下:
2、性能与价格的比较
五、如何选购入侵检测系统
1. 入侵检测系统的价格
入侵检测系统本身的价格是必需考虑的要点,不过,性能价格比、以及要保护系统的价值可是更重要的因素。象反病毒软件一样,入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。特征库升级与维护是需要额外的费用。
2. 部署入侵检测系统的环境
在选购入侵检测系统之前,首先要分析产品所部署的网络环境,如果在512K或2M专线上部署网络入侵检测系统,则只需要100M的入侵检测引擎;而在负荷较高的环境中,则需要采用1000M的入侵检测引擎
3. 入侵检测系统的实际性能
产品的实际检测性能是否稳定,对于一些常见的针对入侵检测系统的攻击手法(如:分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击)是否能清楚的识别。
4. 产品的可伸缩性
入侵检测系统所支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽是否可以升级。
5. 产品的入侵响应方式
要从本地、远程等多个角度考虑,通常的一些响应方式有:短信、手机、传真、邮件、警报、SNMP等。
6. 是否通过了国家权威机构的评测
产品是否获得了《计算机信息系统安全专用产品销售许可证》、《国家信息安全产品测评认证证书》、《军用信息安全产品认证证书》和《涉密网网络安全产品科技成果鉴定》。