入侵检测系统(简称IDS)。计算机网络的安全是一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。进入新世纪之后, 政府、银行、各大企业等机构都有自己的内网资源。从这些组织的网络办公环境可以看出,行政结构是金字塔型,但是局域网的网络管理却是平面型的,从网络安全的角度看,当公司的内部系统被入侵、破坏与泄密是一个严重的问题,以及由此引出的更多有关网络安全的问题都应该引起我们的重视。据统计,全球80%以上的入侵来自于内部。此外,不太自律的员工对网络资源无节制的滥用对企业可能造成巨大的损失。当商户、银行与其他商业与金融机构在电子商务热潮中纷纷进入Internet,以政府上网为标志的数字政府使国家机关与Internet互联。通过Internet 实现包括个人、企业与政府的全社会信息共享已逐步成为现实。随着网络应用范围的不断扩大,对网络的各类攻击与破坏也与日俱增。无论政府、商务,还是金融、媒体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防安全的重要组成部分,同时也是国家网络经济发展的关键。
对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问控制、安全审计等。入侵检测技术是安全审计中的核心技术之一,是网络安全防护的最后一道防线。
2. 天一入侵检测系统简介
格方天一网络入侵检测系统(IDS),是北京格方天一网络安全技术有限公司针对目前网络系统严重的安全隐患而开发的安全产品。该产品是一款技术先进、性能优越、功能强大的防黑客入侵并实时报警响应和自动防范危害行为的入侵检测系统,它从计算机网络系统中的关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到攻击的迹象。在内部局域网的主机和服务器遭受破坏之前阻止入侵行为,保证企业网络的安全运行。系统采用引擎/控制台结构,网络引擎部署于网络中的各个关键点,通过网络和中央控制台交换信息。入侵检测引擎为专用硬件设备,可以安装在标准的机架上,一个检测引擎可以保护一个网段。管理控制台是对检测引擎进行配置、管理和数据查询的软件程序,它可以安装在内网的管理员主机(Windows 2000/NT操作系统)上。
格方天一入侵检测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以格方天一入侵监测系统可以说是防火墙的延续。它们可以和防火墙和路由器配合工作。例如,格方天一入侵检测系统可以重新配置来禁止从防火墙外部进入的恶意流量。格方天一入侵检测系统作为一种主动保护自己免受攻击的一种网络安全技术产品是作为防火墙的合理补充,能够帮助系统对付网络的攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门。
天一入侵检测系统功能是针对入侵行为、违规活动等网络行为进行检测、预警与响应工作,它能够有效地防止攻击事件的发生。它不仅能够防止来自外部的攻击行为,而且能够防止防止内部发起的入侵行为,同时它是实时的,是信息与网络系统安全实施的主要领域。任何具有一定规模的网络系统均对此系统有较大的需求。
3. 天一入侵监测系统的组成
天一入侵检测系统由两部分组成,控制中心和探测引擎.
3.1. 控制中心
控制中心是整个网络预警系统的集中显示和控制软件系统.它负责接收分布在TCP/IP网络上的探测引擎传送的网络预警信息,处理这些信息,并提供报警显示(根据控制中心制定的策略),同时它还要负责控制探测器系统的运行状态,提供对预警信息的记录和检索、统计功能。
3.2. 探测引擎
探测引擎实际是天一入侵检测系统运行的核心,它监听该引擎所在的物理网络上的所有通信信息,分析这些网络通信信息,将分析结果与探测引擎上运行的策略集相匹配,依照匹配结果对网络信息的交换执行报警、阻断、日志等功能。同时它还需要完成对控制中心指令的接收和响应工作。探测引擎是由策略驱动的网络监听和分析系统。
Libpcap
虚拟机
过滤器
记录器
告警器
数 据 库
磁盘管理器
CGI程序
WEB服务器
配置管理进程
引擎
实时告警数据
智能分析模块
攻击特征库
4.天一入侵监测系统检测功能
天一入侵检测系统可以同时对敏感网段实现监测,并实现集中管理,符合企业用户的需求。天一入侵检测系统是网络攻击和违规行为识别与响应系统。它运行于有敏感数据需要保护的网络上,通过实时监视网络上的数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其它违规网络活动。当检测到网络攻击和违规网络活动时, 天一入侵检测系统能够按用户安全策略自动进行攻击响应。
4.1.天一入侵监测系统的主要功能
▼ 实时网络数据流跟踪:
天一入侵检测系统运行于有敏感数据需要保护的网络上。系统监视网络上的数据流,分析网络通讯会话轨迹。
▼ 实时系统审计信息分析跟踪:
天一入侵检测系统运行于重要的网络服务器上。实时监视系统活动,对敏感事件和用户关注的事件实时报警。
▼ 网络攻击模式识别:
天一入侵检测系统内置已知网络攻击模式数据库,能够根据网络数据流和网络通讯会话轨迹,寻找网络攻击模式。
▼ 网络安全违规活动捕获:
网络安全策略对网络活动进行检查,用户可以根据要检查的实际系统制定相应的策略, 捕获网络安全违规活动。
▼ 网络安全事件报警:
天一入侵检测系统够根据所发生的网络安全事件,以不同的事件等级产生控制台报警。
▼ 网络安全事件的自动响应:
天一入侵检测系统能够根据系统策略自动响应网络安全事件,包括记录网络事件发生的日期和时间,事件的源与目的IP地址,也可以和其它网络安全设备(如:防火墙)制定互动规则,实时阻断非法事件的连接等。
▼ 记录网络攻击的内容:
记录网络攻击的内容,以多种文档格式显示,并提示系统安全管理员应该采取什么样的安全措施。
▼ 提供智能化网络安全审计方案:
天一入侵检测系统能够对大量的网络数据进行分析处理和过滤,生成按用户策略筛选的网络日志,大大减少了需要人工处理的日志数据,使系统更有效。
4.2.天一入侵检测系统防范的典型的攻击方式
▼ 探测攻击:
寻找攻击目标并收集相关信息及漏洞,如Ping Sweeps, TCP/UDP scan, SATAN, IPHalfScan, Port Scan等;
▼ 拒绝服务攻击:
抢占目标系统资源阻止合法用户使用系统或使系统崩溃,如Ping of Death ,SYN Flood, TearDrop, UDPBomb, Land, Trinoo, TFN2K, Stacheldraht等。
▼ 缓冲区溢出攻击:
利用系统应用程序中存在的错误,执行特定的代码以获取系统的超级权限,如DNS overflow, statd overflow等。
▼ WEB攻击:
利用CGI、WEB服务器和浏览器中存在的安全漏洞,损害系统安全或导致系统崩溃。例如URL, HTTP, HTML, JavaScript, Frames, Java, and ActiveX等攻击。
▼ 非授权访问:
越权访问文件、执行无权操作,如Admind, EvilFTP Backdoor, Finger_perl, FTP_Root, FTP_PrivilegedBounce, BackOrifice等。
▼ 网络服务缺陷攻击:
利用NFS,NIS,FTP等服务存在的漏洞,进行攻击和非法访问,如NfsGuess, NfsMknod, MmapMnt等。
▼ 利用型攻击:
利用多种协议、多种手段依次进行的探测、攻击行为,如口令扫描、木马程序等等。
5. 天一入侵检测系统的管理功能
天一入侵检测系统网络入侵侦测系统其主要的管理功能描述如下:
5.1. 警报信息查询功能
警报查询功能为用户提供了对警报信息的简单、实用的查询和处理能力。用户可以根据各种可选条件,例如网络引擎的IP地址、源IP地址、目的IP地址、源端口号、目的端口号、警报产生的时间、危险级别等等,使用单一条件或者复合条件进行查询,当警报信息数量大、信息来源广泛的时候,网络管理员可以很轻松的对警报信息进行分类,从而突出显示网络管理员需要的信息。同时,警报查询功能还提供了对于警报信息的处理能力,可以使网络管理员在经过有条件查询后对查询结果进行处理,包括保存为本地文件、生成格式报表和删除。
5.2.引擎管理功能
引擎管理功能使用户可以一次性管理多个网络引擎,查询各个网段的安全状况,针对不同的情况及时的修改安全策略。
网络管理员对引擎的管理包括:启动网络引擎、停止网络引擎、查看引擎的运行状态、本地警报信息的同步、网络引擎的运行环境的配置、应用于网络引擎的安全策略的定制、本地网络日志的离线分析等等。
5.3.规则管理功能
规则管理功能为用户提供了一个根据不同网段的危险程度灵活的配置安全策略的工具。网络管理员可以利用规则管理功能,轻松的针对特定的网络引擎定制策略,以满足不同的网段对网络安全的要求。一次定制可以应用于多个网络引擎。同时,规则管理功能还向用户提供了入侵侦测规则的扩充能力,网络管理员可以根据自己需要,定制入侵侦测规则,直接应用于网络引擎,可以很快实现网络管理员的安全意图。
策略管理窗口
策略管理窗口4-3
5.4. 警报信息的统计和报表功能
天一入侵检测系统提供了非常简便的入侵警报统计和报表工具。通过管理员,可以使用限制条件,对入侵警报进行过虑,并进行统计或报表。其统计结果包括文字和图形两种方式。
5.5.用户管理功能
用户管理功能可以对系统的访问权限进行全面的控制,不仅可以阻止非法用户使用天一入侵检测系统,而且对合法用户的权限也进行了严格的分配,有效的保护了系统数据的安全性。用户管理功能提供了口令修改、添加用户、删除用户、用户权限配置等等功能。
6.天一入侵检测系统的主要特点
6.1 方便、简单的控制端操作界面
天一入侵检测系统控制台提供了友好的视窗界面,操作简单、容易掌握、易于管理。
6.2 丰富、强大的入侵侦测特征库
拥有一个内容丰富、准确的入侵侦测特征库,是天一入侵检测系统可以侦测多种入侵行为,包括:拒绝服务攻击、溢出攻击、未受权访问、网络资源滥用、涉密信息传输、病毒传输等的可靠保证。
6.3 支持多平台
天一入侵检测系统可以满足不同用户选用不同的操作系统的需求,在系统设计过程中采用了大量的跨平台技术和。同时对通讯进行加密,保证自身信息传输的可靠性.
6.4灵活、多变的应用方式
天一入侵检测系统分为网络引擎和控制台两个完全独立的部分。网络管理员可以根据所需保护网络的具体情况和安全策略,灵活的布置网络引擎,实现对网络的立体式,多层监控与保护。并且通过一个控制台就可以控制所有网络引擎,达到了分布式安装、集中管理,管理员可以高效的完成对大型网络的安全管理的任务,提高工作效率。
6.5 实现大型网络的分层、分级管理
天一入侵检测系统使用了严格的用户身份认证与控制机制,根据用户的权限赋予该用户对系统功能的使用能力。例如:规则定制与应用、警报结果查询与删除、用户的管理、网络引擎的管理、入侵行为的响应动作定制等等,使不同级别的网络管理员具备不同的对整个网络的管理能力。实现对大型网络的分层、分级管理。
6.6 提供多种入侵响应技术
天一入侵检测系统提供了多种入侵行为响应技术,用户可以根据网络的安全策略进行选择。包括:记录现场数据、发送邮件、阻断连接、分级上报等功能。分级上报又分为向上级数据库记录现场数据和向上级管理员发送警报邮件两种形式。
7.天一入侵检测系统的安装
7.1.探测器的安装
探测器的工作原理依赖于以太网的物理特性,因此探测器应连接在集线器的一个端口上。若网络环境中只有交换设备,可以将探测器连接在交换设备的监视(Probe)端口上或在交换机上定义一个VLAN使其包含该交换机上所有需要监视的端口,或特意地构造一个局部的共享总线式的以太网环境,使应被监视的主机或网络能够与探测器处于一个共享的以太网环境内,否则探测器无法接收到网上的所有数据流。
7.2.控制中心的安装
控制中心原则上可以连接在网络的任何部位。但由于安全控制中心担负着重要的管理任务,应将其放置在网络中的安全部位。控制中心通过与探测器的通信来控制它们的运行,加载安全规则、接收报警信息。因此,网络中必须存在安全控制中心到各探测器的物理网络通路。
8.天一入侵监测系统的接入结构
结构图:
9.天一入侵监测系统的性能特点
9.1 策略设置
9.1.1 最大事策略集:报告策略库中所有的事件.
9.1.2 用户自定义策略:根据所保护的对象的不同定义不同的策略.
9.1.3 最小策略集:报告极重要的事件.
9.2 信息收集与分析
9.2.1 信息的收集与分析是在探测器端进行,当发现异常行径时才与控制端进行通信,只占用很小的网络带宽.信息的收集与分析同步进行,快速反应.
9.3 实时的检测与追踪
9.3.1 当发现可疑信息, 天一入侵检测系统可以准确的显示可疑数据的来源,及时向管理员报告,便于及时调整.
9.4 实时记录检测结果
9.4.1 实时的记录收集与分析的结果并存储,便于进一步的统计与分析.
9.5 离线报警
9.5.1 天一入侵检测系统可以自动将报警信息发送到通信工具.
9.6 人性化报告
9.6.1 通过调用保存的日志文件,形成方便易懂的用户报告.
10. 天一入侵监测系统主要技术参数
主要技术参数
功能测试
攻击检测预警能力
支持
保护 IDS 防止 IP Desync
支持
重复制止攻击能力
支持
过滤器自定义能力
支持
实施阻断能力
支持
报警能力
支持
日志能力
支持
报告能力
支持
分布式设计方案
支持
性能测试
引擎速度
100Mb之60%流量测试,系统正常工作
包重组
支持
过滤器效率
支持
解码能力
支持
安全策略的定义
支持
产品可用性
界面可用性
GUI/Console,黑盒子/Sensor
支持的操作系统与应用
Windows NT/2000 Console
产品的完善性
成熟的产品
产品的安全性
安全可靠
11. 天一入侵监测系统涉及的技术
11.1. 天一入侵监测系统技术分析
天一入侵检测系统所采用的技术可分为特征检测与异常检测两种。
11.1.1.1 特征检测:
特征检测这一检测是假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
11.1.1.2 异常检测:
异常检测是假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
11.2. 常用检测方法
天一入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
11.2.1 特征检测:
特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
11.2.2统计检测:
统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量
间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:
11.2.2.1 操作模型,该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击;
11.2.2.2 方差,计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;
11.2.2.3 多元模型,操作模型的扩展,通过同时分析多个参数实现检测;
11.2.2.4 马尔柯夫过程模型,将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件;
11.2.2.5 时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
总之,统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。
11.2.3专家系统
用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
12. 攻击特征的发展方向
无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面:
12.1. 入侵或攻击的综合化与复杂化
入侵的手段有多种,入侵者往往采取一种攻击手段。由于网络防范技术的多重化,攻击的难度增加,使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。
12.2. 入侵主体对象的间接化
入侵主体对象的间接化(即实施入侵与攻击的主体的隐蔽化),通过一定的技术,可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后,对于被攻击对象攻击的主体是无法直接确定的。
12.3. 入侵或攻击的规模扩大
对于网络的入侵与攻击,在其初期往往是针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息战。对于信息战,无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。
12.4. 入侵或攻击技术的分布化
以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。
12.5. 攻击对象的转移
入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统。
13. 入侵检测技术的发展方向
13.1. 分布式入侵检测
第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
13.2. 智能化入侵检测
即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。
13.3. 全面的安全防御方案
即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
