网络安全 频道

智能分析成入侵检测系统(IDS)新方向

  面对越来越多的攻击,网络安全产品为保护我们的系统、数据发挥了重要作用。目前绝大部分网络安全产品是基于边界防御的,比如防火墙、UTM、IPS等,这些产品部署在网络边界,对进出的网络数据流量进行检测,确认是否符合访问控制规则、是否存在攻击行为、是否携带病毒文件等,然后放行或阻断网络数据。边界防护类产品能根据设定的策略自动过滤流量,降低了安全风险的同时还极大简化了管理人员的工作量,因此深受欢迎。然而攻防双方技术交替发展,边界防御产品并不能保证万无一失。加上不合理的配置或人为疏忽,存在边界防御产品保护的网络也会碰到一定的安全问题。对于安全程度要求高的网络来说,必须有进一步的方法来解决这个问题。

 

  一般来说,攻击分为扫描探测、攻击、安置后门几个步骤。入侵检测产品都能对这几种行为进行分析、检测,因此入侵检测产品早已成为网络安全的必需品。等级保护等相关行业也明文规定了各级网络中应该部署入侵检测产品。

  由于IDS可以监听网络内部的通讯,无论是内部主机直接的威胁还是从外到内的威胁,都可以及时报警,从而提醒网络管理员来处理存在的威胁。在大规模蠕虫爆发时,正是IDS的预警,使得管理员能及时采取行动,从而极大地避免了网络崩溃导致的危害。然而还是有人认为IDS用处不大,这到底是什么原因呢?

  IDS作为对网络攻击检测的产品,检测的全面性毫无疑问是其重要指标。而特征库是IDS的检测核心部分,因而很多时候检测的全面性被简化为特征库的数量,出现在招标要求或者产品的指标中。而另一个方面,同一个网络数据包,在有的网络环境下是威胁,而在有的网络环境下则是完全正常的行为,这样就只有将这样的行为都定义在默认的特征库中,因此通 常情况下特征库中会出现“Ping”、“HTTP连接”甚至“TCP连接”这样的事件。这样事件还是非常容易区分,然而很多事件却没有那么直截了当,比如说SNMP(简单网络管理协议)查询。SNMP是使用得很普遍的协议,通常用于集中的网络管理软件管理多台设备,用于获取设备的信息,甚至可以用来控制设备。也正是由于这个原因,攻击者也常利用SNMP协议来获取目标的信息,从而到达进一步攻击的目的或者直接利用SNMP的功能控制设备。这样网络管理员只有将这样的特征都包含在检测策略中。几乎所有的IDS都是仅从网络数据包进行分析,当IDS检测到网络中存在SNMP查询时,是无法分辨到底是正常的网络管理软件还是攻击者在收集信息,只能报警存在扫描行为甚至给出具体的每次查询报警。

 

  同样的情况还包括正常的漏洞管理软件与恶意的扫描、大量的连接与DDoS攻击、一些特殊的应用等情况。通常情况下,网络中的每台主机每分钟会产生一条事件,如果网络中有五百台主机的话,一个星期产生的日志将达到五百万条报警。很显然处理这样数量的事件是一个艰巨的任务。

  当前各种入侵检测产品产生的报警,往往都需要经过人工分析,才能筛选掉出重点关注事件。分析步骤一般如下:

  1. 对事件本身的性质进行判断。大多数IDS产品都能对ping、tcp连接等事件进行报警,一般情况下安全级别较低的报警不需要关注,如果有大量报警产生的话,确认一下是否是正常业务产生即可。

  2. 通过结合网络环境来判断。首先需要确定攻击对象和攻击者的性质、在网络中的位置。比如SNMP查询这样的事件,需要确认源地址是否正常的网管软件,如果就是合法的网管软件在工作,这样的事件就不需要继续关注了,如果不是则需要确认是错误地配置了网管软件还是被控制来扫描了。而对于攻击对象需要确认漏洞是否真实存在。

 

  3. 这个攻击是否流行。如果攻击针对的漏洞是几年前出现的,这样攻击的威胁成都就比较低。

  4. 是否是特定关注,比如有些网络中不允许出现网络共享,因此如果出现针对网络共享的攻击必定需要仔细核实。

  从以上步骤可以看出人工分析事件的时候,需要结合多个维度的信息进行分析。据了解,作为入侵检测产品领头羊的启明星辰公司正在研发新一代的入侵检测产品,结合其多年产品研发经验和对大量客户使用过程的研究,将实现对报警的智能分析系统,抑制海量事件,突出展现重点关注事件,必将推动行业向智能化方法发展。

0
相关文章