入侵检测应该与操作系统绑定(1) 黑客攻击的目标主要是用户终端,如果入侵检测系统不能和操作系统内核很好地配合,那么产品再多,做得再好,也是治标不治本。 主流的入侵检测方法有三种 通常,入侵检测系统按照其工作原理主要分为三种类型:基于网络的入侵检测系统、基于主机的入侵检测系统和分布式入侵检测系统。其中前两种应用得最广泛,国内大多数的产品都是基于这样的工作原理。基于网络的入侵检测系统检测的数据来源于网络中的数据包,与受保护网段内的主机无关,适用范围比较广,并且一般不影响网络流量和受保护主机的性能;基于主机的入侵检测系统检测的数据来源于系统日志、审计记录,与受保护主机的操作系统等有关,因此一般只适用保护特定的计算机。 分布式入侵检测系统这种工作方式比较新,目前这种技术在例如ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包,不同的是,它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子,该黑匣子相当于基于网络的入侵检测系统,只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大,但对网络流量有一定的影响。 在漏报率方面国内产品有待提高 现在国际上比较有名的入侵检测系统有ISS公司的RealSecure、Enterasys公司的 Dragon等。他们将基于主机和基于网络的入侵检测技术基础集成在一起,扩大了检测的数据源,降低了漏报率,并且对于检测针对主机的攻击效果比较好。但是这种方法的实施难度特别大,还要考虑到网络中不同计算机操作系统的差异,需要将数据格式进行转换,以达到统一。这些产品系统性能相对比较稳定,特征知识库更新速度比较快。 国内公司生产的入侵检测系统也比较多,如上海复旦光华信息股份有限公司的光华S-Audit网络入侵检测与安全审计系统V3.0、常州远东科技有限公司的“黑客煞星”、长沙天一银河信息产业有限公司的“天一猎鹰入侵检测系统(V1.0)、上海三零卫士信息安全有限公司的鹰眼网络安全监测仪、上海金诺网安的KIDS Ver3.0等。它们的体系结构大同小异,性能相差不大,都能检测到以下一些攻击事件,如多数的扫描、嗅探、后门、病毒、拒绝服务、分布式拒绝服务、非授权访问、欺骗等。由于它们大多是以误用检测的分析方法为主,因此有的漏报率相对高一些,特征知识库更新速度相对也要慢一些。 入侵检测应该与操作系统绑定 目前的入侵检测产品的固有缺陷是,与操作系统结合程度不紧,这样对于新出现的、比较隐秘的攻击手法和技术,一般很难检测出来,即使对于同一种攻击手法和技术,如果变化复杂些,也很难发现。它们也不能确定黑客攻击系统到了什么程度,如黑客现在的攻击对系统是否造成了威胁,黑客现在拥有了系统哪个级别的权限,黑客是否控制了一个系统等。由于一般情况下,只要有攻击,入侵检测系统就会发出警报,这样就可能被黑客利用,不停地发送具有攻击特征的数据包,虽然这对被攻击对象没有什么危险,但能使入侵检测系统淹没在一片报警声中,从而使入侵检测系统失效。此外,它们还会对数据包的内容进行检查,因此对于加密了的数据包,这部分功能就失效了。 由于计算机网络出现的初衷是为了方便通信和交流,充分利用资源,在其发展之初没考虑到安全方面的问题,因此在到了出现网络安全事故时候,才开始采取补救措施,而这种补救是外加的,如现在流行的防火墙、入侵检测系统等,很少涉及到通信协议的修改。操作系统出现之初,也很少考虑到安全,如操作系统的核心是内存管理、进程管理、文件管理,只是考虑如何有效地去管理资源,没有加入被黑客攻击时如何去应对这一部分功能。这就造成了在传输部分、终端部分存在很多安全隐患,由于整个系统庞大,不可避免地存在大量漏洞。由于黑客攻击的目标主要是终端部分,因此入侵检测系统最好能与操作系统内核结合起来,现在的lids在这方面进行了比较深入的研究,否则无论做得怎样好,也是治标不治本。 数据分析的两类常用方法
