入侵检测(ID)是分辨试图进行未经授权的系统访问或操纵的监督过程。大多数网络管理员每时每刻都在从事ID工作。大多数的IDS都是安装在操作系统之上的软件程序,但是由于技术需要,网络嗅探IDS越来越多的被部署于硬件设施。当IDS注意到一个可能存在的恶意威胁事件时,它可以记录这个事件的全部过程,并采取适当的措施。这些措施包括简单的进行日志记录、发送预警信号、重定向该攻击或者阻止恶意行为等。如果威胁属于高等级风险时,IDS将提醒技术人员来进行处理。IDS可支持深度防护安全规则,并且可以用于检测大范围的欺诈事件。图1、
IDS防护攻击事件详细信息
通常来说,一个企业或机构准备进军此领域时,往往选择从基于网络的IDS入手,因为网上有很多这方面的开放源代码和资料,实现起来比较容易。基于网络的IDS(NIDS)在IDS中是经常提到的一种,它可以捕捉和分析在网络中运行的网络数据包,并为一台以上的主机提供保护。
下面笔者将以基于网络的IDS为例,介绍较为典型的IDS构建过程。
具体实现起来,一般都将数据采集子系统(又称探测器)和数据分析子系统在Linux或Unix平台上实现,我们称之为数据采集分析中心;将控制台子系统在Windows NT或2000上实现,数据库管理子系统基于Access或其他功能更强大的数据库,多跟控制台子系统结合在一起,我们称之为控制管理中心。本文以Linux和Windows NT平台为例介绍数据采集分析中心和控制管理中心的实现。可以按照如下步骤构建一个基本的入侵检测系统。
首先获取libpcap和tcpdump
首先获取libpcap和tcpdump。审计踪迹是IDS的数据来源,而数据采集机制是实现IDS的基础,否则,巧妇难为无米之炊,入侵检测就无从谈起。数据采集子系统位于IDS的最底层,其主要目的是从网络环境中获取事件,并向其他部分提供事件。目前比较流行的做法是:使用libpcap和tcpdump,将网卡置于“混杂”模式,捕获某个网段上所有的数据流。
libpcap是Unix或Linux从内核捕获网络数据包的必备工具,它是独立于系统的API接口,为底层网络监控提供了一个可移植的框架,可用于网络统计收集、安全监控、网络调试等应用。tcpdump是用于网络监控的工具,可能是Unix上最著名的sniffer了,它的实现基于libpcap接口,通过应用布尔表达式打印数据包首部,具体执行过滤转换、包获取和包显示等功能。tcpdump可以帮助我们描述系统的正常行为,并最终识别出那些不正常的行为,当然,它只是有益于收集关于某网段上的数据流(网络流类型、连接等)信息,至于分析网络活动是否正常,那是程序员和管理员所要做的工作。
构建并配置探测器,实现数据采集功能
应根据自己网络的具体情况,选用合适的软件及硬件设备,如果你的网络数据流量很小,用一般的PC机安装Linux即可,如果所监控的网络流量非常大,则需要用一台性能较高的机器。在Linux服务器上开出一个日志分区,用于采集数据的存储。创建libpcap库。从网上下载的通常都是libpcap.tar.z的压缩包,所以,应先将其解压缩、解包,然后执行配置脚本,创建适合于自己系统环境的Makefile,再用make命令创建libpcap库。libpcap安装完毕之后,将生成一个libpcap库、三个include文件和一个man页面(即用户手册)。 创建tcpdump。与创建libpcap的过程一样,先将压缩包解压缩、解包到与libpcap相同的父目录下,然后配置、安装tcpdump。 如果配置、创建、安装等操作一切正常的话,到这里,系统已经能够收集到网络数据流了。
设计数据分析模块的工作量浩大,并且,考虑到“道高一尺,魔高一丈”的黑客手法日益翻新,所以,这注定是一个没有终点的过程,需要不断地更新、升级、完善。在这里需要特别注意三个问题:第一、应优化检测模型和算法的设计,确保系统的执行效率;第二、安全规则的制订要充分考虑包容性和可扩展性,以提高系统的伸缩性;第三、报警消息要遵循特定的标准格式,增强其共享与互操作能力,切忌随意制订消息格式的不规范做法。
建立数据分析模块。网上有一些开放源代码的数据分析软件包,这给我们构建数据分析模块提供了一定的便利条件,但这些“免费的午餐”一般都有很大的局限性,要开发一个真正功能强大、实用的IDS,通常都需要开发者自己动手动脑设计数据分析模块,而这往往也是整个IDS的工作重点。数据分析模块相当于IDS的大脑,它必须具备高度的“智慧”和“判断能力”。所以,在设计此模块之前,开发者需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究,然后制订相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,让机器模拟自己的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。
控制台子系统负责向网络管理员汇报各种网络违规行为,并由管理员对一些恶意行为采取行动(如阻断、跟踪等)。由于Linux或Unix平台在支持界面操作方面远不如常用的Windows产品流行,所以,为了把IDS做成一个通用、易用的系统,笔者建议将控制台子系统在Windows系列平台上实现。
控制台子系统的主要任务有两个:一个是管理数据采集分析中心,以友好、便于查询的方式显示数据采集分析中心发送过来的警报消息;另外根据安全策略进行一系列的响应动作,以阻止非法行为,确保网络的安全。
构建数据库管理子系统
构建数据库管理子系统。一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些网络事件。数据库管理子系统的前端程序通常与控制台子系统集成在一起,用Access或其他数据库存储警报信息和其他数据。
以上几步完成之后,一个IDS的最基本框架已经完成,但要使这个IDS顺利地运转起来,还需要保持各个部分之间安全、顺畅地通信和交互,这就是联调工作所要解决的问题。首先,要实现数据采集分析中心和控制管理中心之间的通信,二者之间是双向的通信。控制管理中心显示、整理数据采集分析中心发送过来的分析结果及其他信息,数据采集分析中心接收控制管理中心发来的配置、管理等命令。
注意确保这二者之间通信的安全性,最好对通信数据流进行加密操作,以防止被窃听或篡改。同时,控制管理中心的控制台子系统和数据库子系统之间也有大量的交互操作,如警报信息查询、网络事件重建等。联调通过之后,一个基本的IDS就搭建完毕。后面要做的就是不断完善各部分功能,尤其是提高系统的检测能力。图2、
IDS webadmin控制台登陆界面
优化方案 提高IDS检测速度
应该如何进行调整取决于IDS产品本身和网络环境,虽然可以具体到IDS那些检查和优化规则通常可以作为开始操作的起点。大多数IDS管理员开始都要监听所有数据包并捕捉包的完整解码。其实可以缩小IDS应该检查的范围,例如,如果用户比较注意保护服务器,可以修改IDS包的检查引擎,使之只能捕捉有服务器目的地址的数据包。另一种常见包过滤程序是路由器之间广播包中没有包括在内的规则。路由器一般都忙于广播处理,但是如果管理员可以确保网络中不会被ARP病毒所感染,那就不必捕捉ARP数据包。IDS可以安全忽略的数据包越多,检测速度当然也就越快。
另一个方法是让其他更快的周边设备进行过滤操作。路由器和防火墙一般速度要比IDS快,所以如果可能,在路由器和防火墙上配置包过滤程序,一边首先拒绝不应该在网络上的通信量,例如,设置路由器拒绝IP地址欺骗,并告诉防火墙丢弃所有来自英特网的NETBIOS通信量。使用设备阻断的通信量越多,IDS的能效就越高。在每个安全设备应该配置在最能够发挥作用的层面上,便能发挥出去非常好的效果。
总结:入侵检测系统应该是每个网络安全管理员保护计划中的一个部分。随着其他一些ID工具和方法的使用,IDS可以舰艇主机的系统变化,嗅探离开网络的数据包,查找其中的恶意企图。安全管理员应该使用HIDS和NIDS的组合,利用签名检测和基于异常的两种引擎。在自己需要并且十分重要的主机上设置HIDS,并且适当的跨网设置NIDS,可以进一步提高预警检测,因为中央管理控制台在涉及到多个代理和分布式代理时是很有用途的。
IDS单纯安装作为监听和检测设备,或者也可以参与作为内线设备并预防威胁,IDS最大的弱点是大量的“假正”,并且为了保持更新需要进行大量维护工组和微调工作,但是随着科技的不断发展,我们相信IDS的准确性、性能和功能就会不断完善,不断提高。
