网络安全 频道

浅谈大型网络入侵检测建设

  一、前言

  伊朗2010年被报出核工厂遭受“超级工厂”(Stuxnet)病毒攻击,蠕虫通过多个漏洞潜伏在工控系统近两年未被发现。相信诸如上述案例中的伊朗核工厂,大多网络中都会部署有各种形形色色的安全产品,杀毒软件,waf或IDS。但为什么那么大范围的攻击却依然久未被察觉?大型网络怎样才能更有效的做好入侵检测呢?本文讲介绍一些建设经验。

  二、监测体系

  2.1、架构选择

  常规的安全产品可能是一个杀毒软件,一个IDS,一个WAF,这能解决一个单点安全问题,但如果没有全局的信息汇聚与分析,很难实现对全局态势的感知。

  云计算与云安全是常被提起的概念,在大型网络中,因应用服务器对于性能消耗较为敏感,很多复杂的安全分析逻辑不易被业务部门接受,部署于主机和网络上的设备只被限制在实现提取数据功能。分析与计算在后端也就是所谓的云端来实现。

  同时,采集与计算的分离带来了诸多优点:

  1. 假设(几乎是必然出现)单点系统被黑客攻陷,安全策略不易被逆向与窃取,避免因策略失窃带来的,对手针对性研究绕过手法;

  2. 可快速更新检测策略,减少对各子节点和探测设备的变更,避免干扰业务系统的稳定;

  3. 原始数据的短时存储,便于对事件演变过程的重现,方便追溯审计,以及预研新检测逻辑的验证。

  2.2、功能模块

  大型网络的安全监测产品通常有各类SOC系统,分布式安全产品,以及云安全产品。产品形式千变万化,但功能模块这里将其简化如下归纳:

浅谈大型网络入侵检测建设
图 1 入侵检测体系模块

  2.3、态势感知能力

  通常SOC系统会收集各种日志,各种NIDS\HIDS 都有数据采集功能。尽可能多的采集数据对于入侵分析是很有帮助的。

  但我们面对入侵事件时,常常面临两种尴尬局面:

  2.3.1、数据很少:仅有部分系统\应用默认日志

  如侦探破案一般,发现入侵事件最重要的是有证据。通常系统默认的日志等数据无法满足入侵事件分析需求,必须开发专门的探测器。先需要梳理场景对抗需求,搞清楚检测某类攻击所需数据类别与纬度,并将此作为数据采集系统的开发需求。

浅谈大型网络入侵检测建设
图 2数据需求

  2.3.2、数据很多:大型网络中各类数据很多,甚至多至无法记录。

  数据并非越多越好,特别是大型网络的海量数据,如全部汇集存储是难以支撑的。且大量的噪音数据也只会带来硬件与人力成本的增加。真正流入最后存储与分析系统的数据,必然是经过精简与格式化之后的。

浅谈大型网络入侵检测建设
图3 数据精简

  2.4、数据分析

  有了数据不等于有检测能力,首先第一个问题就是如何理解你获得的数据,这就是数据格式化。

  如何定义格式化数据:

  1) 分析规则决定数据纬度

  2) 关联逻辑定义字段扩展

  有了格式化好的数据,就实现了数据自动化分析的第一步,接下来才是分析引擎与规则建设。

0
相关文章