扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
3.3 监控和防御
3.3.1 入侵检测技术
大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意图攻击的模 式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补充。一种真正有效的入侵检测系统应将二者结合。本节讨论了基于主机和基于网络入侵检测技术的不同之 处,以说明如何将这二种方式融合在一起,以提供更加有效的入侵检测和保护措施。
3.3.1.1 基于网络的入侵检测:
基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别攻击标志:
· 模式、表达式或字节匹配
· 频率或穿越阀值
· 低级事件的相关性
· 规统学意义上的非常规现象检测
一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。
3.3.1.2 基于主机的入侵检测:
基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操 作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。
现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录,但自动化程度大大提 高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监探系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。
基于主机的IDS在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法,是通过定期检查校验和来进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。
3.3.1.3 将基于网络和基于主机的入侵检测结合起来:
基于网络和基于主机的IDS方案都有各自特有的优点,并且互为补充。因此,下一代的IDS必须包括集成的主机和网络组件。将这两项技术结合,必将大幅度提高网络对攻击和错误使用的抵抗力,使安全策略的实施更加有效,并使设置选项更加灵活。
有些事件只能用网络方法检测到,另外一些只能用主机方式检测到,有一些则需要二者共同发挥作用,才能检测到。
3.3.2 推荐的安全产品—ISS的入侵检测产品RealSecure
ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地,实时地攻击检测 与响应。这种领先产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。
ISS 网络入侵检测(RealSecure Network Sensor)在检测到网络入侵后,除了可以及时切断攻 击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的智能的的防护体系。
ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自主地,实时地 攻击检测与响应。一旦发现对主机的入侵,RealSecure可以马上切断的用户进程,和做出各种安全反应。
ISS实时服务器传感器 (RealSecure Server Sensor)包括了所有的OS Sensor功能,也具备部分Network Sensor的功能,为灵活的安全配置提供了必要的手段。
RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络引 擎和系统传感器进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。
ISS RealSecure是一个完整的,一致的实时入侵监控体系。
ISS Realsecure对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志,并可采 取一定的防御和反入侵措施。它能完全满足《吉通上海IDC技术需求 书》所提要求:
支持统一的管理平台,可实现集中式的安全监控管理:
①
④
③
②
⑤
RealSecure Workgroup Manager是RealSecure系统的控制台。可以对多台RealSecure 网络 Sensor和系统Sensor进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。在吉通IDC项目中可以利用这一特点,实现对各结点的集中监控管理。例如,从上海IDC的RealSecure Workgroup Manager,对其下其它城市的 IDC 进行统一的Sensor监控策略配置,Sensor所发现的安全事件将实时地报告给Manager;对各个Sensor安全特征库的升级也可以从Manager统一分发完成。
①主菜单和工具栏
②监控安全事件的综合窗口
③按安全级别分成高、中、低三个事件窗口
④列出所有被管理的网络Sensor和系统Sensor
⑤对被管理的网络传感器和系统传感器进行配置的弹出窗口
自动识别类型广泛的攻击:
网络Sensor能够识别以下种类的攻击和误用行为:
类型
说明
拒绝服务攻击
通过消耗系统资源使目标主机的部分或全部服务功能丧失。例如,SYN FLOOD攻击,PING FLOOD攻击,WINNUK攻击等。
分布式拒绝服务攻击
检查分布拒绝服务攻击的主控程序和代理之间的通讯和通讯企图。例如,TFN、Trinoo和Stacheldraht等。
未授权访问攻击
攻击者企图读取、写或执行被保护的资源。如FTP ROOT攻击,EMAIL WIZ攻击等。
预攻击探测
攻击者试图从网络中获取用户名、口令等敏感信息。如SATAN扫描、端口扫描、IP HALF扫描等。
可疑行为
非 “正常”的网络访问,很可能是需要注意的不安全事件。如IP地址复用,无法识别IP协议的事件。
协议解码
对协议进行解析,帮助管理员发现可能的危险事件。如FTP口令解析,EMAIL主题解析等。
普通网络事件
识别各种网络协议包的源、目的IP地址,源、目的端口号,协议类型等。
系统Sensor能够监控并识别的攻击类型有:
类型
说明
安全事件
监控NT或Unix系统事件login成功/失败,logout,管理员行为异常,系统重启动等;
监控特殊的系统事件,包括对重要文件的读写、删除行为,系统资源情况异常现象等;
监控Windows环境下的未授权事件,如企图访问未授权文件,访问特权服务,企图改变登录权限等。
对未用端口监控
监控对未提供服务端口的连接企图,这种连接企图应视为可疑行为。例如,对未提供FTP服务的主机尝试FTP连接被认为是可疑的。
远程UNIX Syslog事件
对远程的UNIX主机进行监控。监控用户的login成功/失败,logout,管理员行为异常等;监控的服务包括IMAP2bis,IPOP3,Qpopper,Sendmail和SSH等。
自定义事件
用户自定义的基于系统审计事件的监控
支持按行为特征的入侵检测:
图RS-2 RealSecure Sensor工作过程示意图
如图所示,Realsecure的入侵检测主要是依据用户事先定义的监控策略,将发生的入侵事件与已有的安全事件特征库进行特征匹配,匹配成功,则认为是有威胁事件发生,采取适当的响应动作。
具体分析过程的输入包括:
· 用户或者安全管理人员定义的配置规则;
· 以及作为事件检测的原始数据。对于Network Sensor来讲原始数据是原始网络包; 对于OS Sensor来讲原始数据是操作系统日志项。
具体分析过程的输出包括:
· 系统发起的对安全事件的响应过程;
· 监控器在收到数据后,将数据和特征库进行对比,如果匹配会发出对应的响应。特征数据库主要来源于ISS的Xforce研究开发小组,而且是目前业界最全面的攻击特征数据库。另外,Network Sensor和System Sensor都支持用户自定义特征。
· Network Sensor检测过程--安装Realsecure Network Sensor主机的网络适配卡连接 到被监控的网段上。Realsecure将网络适配卡设成promiscuous模式,可收到本地网段上的所有数据流。当一个包符合了当前有效的过滤规则时,会被解码并进行攻击特征识别分析。每个活动的过程都被保持和跟踪,这样跨越了许多包的攻击特征就可以被检测出来。因此,当一个“感兴趣事件”被检测到时,Realsecure会采取合适的动作。
· OS Sensor检测过程--RealSecure O
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号