科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>IDS系统工具分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络级IDS程序同时充当管理者和代理的身份,安装IDS的主机完成所有的工作,网络只是接受被动的查询。

来源: 2007年10月21日

关键字:入侵防御 入侵检测 IPS IDS

  我们已经接触了手工和自动运行的扫描程序。这些工具在审计过程中是非常有用的。你还使用了包嗅探器,这是另一个确定网络中存在哪些活动类型的工具。入侵监测系统会在两方面引起你的注意。首先,这种保护网络的形式变得越来越流行。你需要了解网络当前的结构来确定配置是否合适。第二,你可能在推荐这种产品,因此,你必须知道如何为特殊的网络情况推荐这种产品。

  在测试过程中你可以使用多种类型的工具。这些工具在整个的审计过程中是必不可少的。它们会帮助你在枯燥乏味的分析过程中节省时间。

  什么是入侵监测

  入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。例如,你的IDS可以重新配置来禁止从防火墙外部进入的恶意流量。你应当理解入侵监测系统是独立于防火墙工作的。

  入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的,它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上,即使正在运行着扫描程序,也无法识别这种攻击。

  IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话,配置合理的IDS会发出许多报警。

  入侵监测的功能

  大多数的IDS程序可以提供关于网络流量非常详尽的分析。它们可以监视任何定义好的流量。大多数的程序对FTP,HTTP和Telnet流量都有缺省的设置,还有其它的流量像NetBus,本地和远程登录失败等等。你也可以自己定制策略。下面讨论一些更常见的检测技巧。

  网络流量管理

  像Computer Associates’ eTrust Intrusion Detection(以前是SessionWall),Axent Intruder Alert和ISS RealSecure等IDS程序允许你记录,报告和禁止几乎所有形式的网络访问。你还可以用这些程序来监视某一台主机的网络流量,eTrust Intrusion Detection可以读取这台主机上用户最后访问的Web页。

  如果你定义了策略和规则,便可以获得FTP,SMTP,Telnet和任何其它的流量。这种规则有助于你追查该连接和确定网络上发生过什么,现在正在发生什么。这些程序在你需要确定网络中策略实施的一致性情况时是非常有效的工具。

  虽然IDS是安全管理人员或审计人员非常有价值的工具,但公司的雇员同样可以安装像eTrust Intrusion Detection或Intrude Alert这样的程序来访问重要的信息。攻击者不仅可以读取未加密的邮件,还可以嗅探密码和收集重要的协议方面的信息。所以,你首要的工作是要检查在网络中是否有类似的程序在运行。

  系统扫描,Jails和IDS

  在本教程的早些时候,你学习到如何应用不同的策略来加强有效的安全。这项任务需要在网络中不同的部分实施控制,从操作系统到扫描器、IDS程序和防火墙。你已经使用过系统扫描器,许多安全专家将这些程序和IDS结合起来。系统完整性检查,广泛地记录日志,黑客“监狱”和引诱程序都是可以同IDS前后配合的有效工具。

  追踪

  IDS所能做到的不仅仅是记录事件,它还可以确定事件发生的位置,这是许多安全专家购买IDS的主要原因。通过追踪来源,你可以更多的了解攻击者。这些经验不仅可以帮你记录下攻击过程,同时也有助于确定解决方案。

  入侵监测系统的必要性

  防火墙看起来好像可以满足系统管理员的一切需求。然而,随着基于雇员的攻击行为和产品自身问题的增多,IDS由于能够在防火墙内部监测非法的活动正变得越来越必要。新的技术同样给防火墙带来了严重的威胁。例如,VPN可穿透防火墙,所以需要IDS在防火墙后提供安全保障。虽然VPN本身很安全,但有可能通过VPN进行通信的其中一方被root kit或NetBus所控制,而这种破坏行为是防火墙无法抵御的。基于以上两点原因,IDS已经成为安全策略的重要组成部分。

  我们还需要注意的是,攻击者可以实施攻击使IDS过载,其结果可能是IDS系统成为拒绝服务攻击的参与者。而且,攻击者会尽量调整攻击手法,从而使IDS无法追踪网络上的活动。

  入侵监测系统的构架

  有两种构架的IDS可供选择,每种都有它的适用环境。虽然主机级的IDS具有更强的功能而且可以提供更详尽的信息,但它并不总是最佳选择。

  网络级IDS

  你可以使用网络级的产品,象eTrust Intrusion Detection只需一次安装。程序(或服务)会扫描整个网段中所有传输的信息来确定网络中实时的活动。网络级IDS程序同时充当管理者和代理的身份,安装IDS的主机完成所有的工作,网络只是接受被动的查询。CA的Session Wall也是这种IDS产品,其主界面如下图:

  优点和缺点

  这种入侵监测系统很容易安装和实施;通常只需要将程序在主机上安装一次。网络级的IDS尤其适合阻止扫描和拒绝服务攻击。但是,这种IDS构架在交换和ATM环境下工作得不好。而且,它对处理升级非法账号,破坏策略和篡改日志也并不特别有效。在扫描大型网络时会使主机的性能急剧下降。所以,对于大型、复杂的网络,你需要主机级的IDS。

  主机级IDS

  像前面所讲的,主机级的IDS结构使用一个管理者和数个代理。管理者向代理发送查询请求,代理向管理者汇报网络中主机传输信息的情况。代理和管理者之间直接通信,解决了复杂网络中的许多问题。

  技术提示:在应用任何主机级IDS之前,你需要在一个隔离的网段进行测试。这种测试可以帮助你确定这种Manager-to-agent的通信是否安全,以及对网络带宽的影响。

  管理者Managers

  管理者定义管理代理的规则和策略。管理者安装在一台经过特殊配置过的主机上,对网络中的代理进行查询。有的管理者具有图形界面儿其它的IDS产品只是以守护进程的形式来运行管理者,然后使用其它程序来管理它们。

  物理安全对充当管理者的主机来说至关重要。如果攻击者可以获得硬盘的访问权,他便可以获得重要的信息。此外,除非必需管理者的系统也不应被网络用户访问到,这种限制包括Internet访问。

  

  安装管理者的操作系统应该尽可能的安全和没有漏洞。有些厂商要求你使用特定类型的操作系统来安装管理者。例如,ISS RealSecure要求你安装在Windows NT Workstation而不是Windows NT Server,这是由于在NT Workstation上更容易对操作系统进行精简。

特殊的考虑
每种IDS厂商对他们的产品都有特殊的考虑。通常这些考虑是针对操作系统的特殊设置的。例如,许多厂商要求你将代理安装在使用静态IP地址的主机上。因此,你也许需要配置DHCP和WINS服务器来配合管理者。这种特殊的考虑在一定程度上解释了为什么大多数IDS程序用一个管理者来管理数台主机。另外,安装管理者会降低系统的性能。而且,在同一网段中安装过多的管理者会占用过多的带宽。
另外,许多IDS产品在快于10MB的网络中工作起来会有问题。通常IDS的厂商要求你不要将管理者安装在使用NFS或NFS+的UNIX操作系统上,因为这种文件系统允许远程访问,管理者会使它们缺乏稳定和不安全。
除非特殊情况,你不应将IDS的管理者安装在装了双网卡或多网卡的用做路由器的主机上,或者安装在防火墙上。例如,Windows NT PDC或BDC也不是安装大多数IDS管理者的理想系统,不仅因为管理者会影响登录,而且PDC或BDC所必须的服务会产生trap door和系统错误。
管理者和代理的比例
管理者和代理的比例数字会因生产厂商和版本的不同而不同。例如,Axent Intruder Alert建议在UNIX或NT的网络上不要使用超过100个代理,NetWare网络中每个管理者不应使用超过50个代理。然而,你需要建立基线来确定IDS结构的理想配置。理想配置是指IDS可以在不影响正常地网络操作的前提下实时监测网络入侵。
代理
由于代理负责监视网络安全,所以大多数的IDS允许你将代理安装在任何可以接受配置的主机上。当你在考虑产品时,你应当确保它可以和网络上的主机配合工作。大多数的产品在UNIX,NT和Novell网络环境中可以出色的工作。有些厂商也生产在特殊网络环境下工作的代理,例如DECnet,mainframes等等。无论如何,你应当通过测试来选择最适合你的网络的产品。所有的代理都工作在混杂模式,并且捕捉网络上传递的信息包。
理想的代理布局
请考虑将代理安装在像数据库,Web服务器,DNS服务器和文件服务器等重要的资源上。像eTrust Intrusion Detection这样的基于扫描的IDS程序也许更适合在某些特定的时段扫描个别的主机。这个工具能够确保你在占用最小带宽的前提下监视网络活动。
下列是部分适合放置代理资源的列表:
·账号、人力资源和研发数据库
·局域网和广域网的骨干,包括路由器和交换机
·临时工作人员的主机
·SMTP,HTTP和FTP服务器
·Modem池服务器和交换机、路由器、集线器
·文件服务器
许多新的网络连接设备限制了IDS扫描。
管理者和代理的通信
在你学习如何为网络挑选产品时,需要明确管理者和代理的通信方式。大多数的IDS程序要求你首先和管理者通信,然后管理者会查询代理。
通常,管理者和代理在通信时使用一种公钥加密。例如,Axent的产品使用400位长Diffie-Helman加密。标准的SSL会话使用128位的加密。比较这两种标准,你可以发现大多数的IDS厂商都采用安全的通信。
有些老的主机级的产品采用明文或经过非常弱地加密的会话。这种功能很具讽刺意味,由于明文传输易遭受hijacking和Man-in-the-middle攻击,这样会严重地破坏你监测和保护网络安全。
有些管理者可以和其它管理者通信。这种管理者之间的通信可以节省带宽并减轻你的管理负担。通过使用组织结构有可能避免这种通信。例如,Axent Intruder Alert(ITA)使用被称作domain的层次结构来组织代理。
审计管理者和代理的通信
作为审计人员,你应该对用户名和密码进行核实,而不应保留缺省设置。同时,你还要确保通信要经过加密和尽可能的安全。
混合入侵检测
基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面。但是,它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系,综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。
规则
就像应用防火墙,你必须为IDS建立规则。大多数的IDS程序都有预先定义好的规则。你最好编辑已有的规则并且增加新的规则来为网络提供最佳的保护。通常建立的规则有两大类:网络异常和网络误用。企业级的IDS通常可以实施上百条规则。
不同厂商在使用审计的术语时有所差别。例如,eTrust Intrusion Detection用“rules”来讨论安全审计的规则,而Intruder Alert却使用“policies”。你将会了解到Intruder Alert使用“policies”时意味更深远,它允许你为个别策略建立规则。因此,在理解各个厂商的产品时,不要被术语所迷惑。
网络异常的监测
IDS程序会报告协议级别的异常情况。如果配置正确的话,它可以提示你有关NetBus,Teardrop或Smurf攻击。例如,如果存在过多的SYN连接,IDS程序会向你报警。
网络误用监测
网络误用包括非工作目的的Web浏览,安装未授权的服务(如WAR FTP服务),和玩儿游戏(如Doom或Quake)。你可以对其进行日志记录,阻塞流量或主动地制止。例如,你可以利用程序实施反击或设置“dummy”系统或网络进行诱导。
网络误用是物理的,操作系统的或远程攻击的结果。物理攻击包括偷取硬盘或物理操纵机器来获取信息。操作系统攻击指经过验证的用户试图获得root的访问权限。远程攻击指攻击者通过网络来攻击设备。
常用检测方法
入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
特征检测
特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。

统计检测
统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:
1、操作模型,该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击;
2、方差,计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;
3、多元模型,操作模型的扩展,通过同时分析多个参数实现检测;
4、马尔柯夫过程模型,将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件;
5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
专家系统
用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
文件完整性检查
文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则未发生变化。
文件的数字文摘通过Hash函数计算得到。不管文件长度如何,它的Hash函数计算结果是一个固定长度的数字。与加密算法不同,Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法,如MD5、SHA时,两个不同的文件几乎不可能得到相同的Hash结果。从而,当文件一被修改,就可检测出来。在文件完整性检查中功能最全面的当属Tripwire,其开放源代码的版本可从www.tripwire.org中获得。
文件完整性检查系统的优点
从数学上分析,攻克文件完整性检查系统,无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的检测文件被修改的工具。实际上,文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。
文件完整性检查系统具有相当的灵活性,可以配置成为监测系统中所有文件或某些重要文件。
当一个入侵者攻击系统时,他会干两件事,首先,他要掩盖他的踪迹,即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动;其它,他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。
文件完整性检查系统的弱点
文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样,这些数据可能被入侵者修改。当一个入侵者取得管理员权限后,在完成破坏活动后,可以运行文件完整性检查系统更新数据库,从而瞒过系统管理员。当然,可以将文摘数据库放在只读的介质上,但这样的配置不够灵活性。
做一次完整的文件完整性检查是一个非常耗时的工作,在Tripwire中,在需要时可选择检查某些系统特性而不是完全的摘要,从而加快检查速度。
系统有些正常的更新操作可能会带来大量的文件更新,从而产生比较繁杂的检查与分析工作,如,在Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。
入侵检测技术分析
执行动作 Action
在大多数的IDS程序中,你可以为规则赋予动作。在你定义规则时,通常必须考虑将规则实施到网络上的时机和方式。一项规则的其它元素包括:
·需要保护的主机。你可以指定某台主机或某一范围内的主机。
·需要做日志记录的和禁止的主机。你可以指定某台主机或某一范围内的主机。
·实施策略的时间段
·事件的描述
·对发生的事件如何反应,包括:
·重新配置防火墙
·阻塞特定的TCP连接日志记录机制
·邮件,传真,电话提示
·启动其它程序来阻止攻击
·SNMP陷阱
IDS程序要求你先建立规则,进而赋予动作。你可以自己定义规则。然而,大多数的IDS厂商已经设想了许多场景。这并不意味着你不需要建立自己的规则或编辑已经存在的规则来确保它们符合你的需求。
误报
如同实施防火墙,IDS也需要仔细地设置。否则,你将收到并不实际存在的攻击和问题的报告。误报“false positive”就是指这种不准确的报告。
然而,完全忽略误报是不明智的。IDS程序有时候会检测到一些非法的网络活动,即使并没有对这些活动定义规则。例如,许多IDS系统会报告说存在过多的与NetBus和某些UNIX的root kit相关的SYN连接。虽然你需要对误报引起重视,但你还必须培养识别何时忽略误报何时认真对待它们的能力。网络级的IDS更容易发生误报情况,尤其在它们被配置成检测对某些主机的攻击时,例如NetBus,密码攻击等等。
入侵检测产品选择要点
当您选择入侵检测系统时,要考虑的要点有:
1. 系统的价格
当然,价格是必需考虑的要点,不过,性能价格比、以及要保护系统的价值可是更重要的因素。
2. 特征库升级与维护的费用
象反病毒软件一样,入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。
3. 对于网络入侵检测系统,最大可处理流量(包/秒 PPS)是多少
首先,要分析网络入侵检测系统所布署的网络环境,如果在512K或2M专线上布署网络入侵检测系统,则不需要高速的入侵检测引擎,而在负荷较高的环境中,性能是一个非常重要的指标。
4. 该产品容易被躲避吗
有些常用的躲开入侵检测的方法,如:分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。
5. 产品的可伸缩性
系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。
6. 运行与维护系统的开销
产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。
7. 产品支持的入侵特征数
不同厂商对检测特征库大小的计算方法都不一样,所以不能偏听一面之辞。
8. 产品有哪些响应方法
要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能,但是,自动配置防火墙可是一个极为危险的举动。
9. 是否通过了国家权威机构的评测
主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题