入侵检测系统往往被认为是保护网络系统的“最后一道安全防线”。
今天的网络黑客已经学会将真正的攻击动作隐藏在大量虚假报警之中,这使得用户质疑——IDS值得投资吗
近年来,针对网络系统发起的攻击技术大有水涨船高之势,入侵检测系统的开发者正在面临一个两难选择:发现异常现象时,是报警,还是不报警?不报警,担心有漏网之鱼;报警,则有可能正中攻击者的圈套。
根据国外权威机构近来发布的入侵检测产品评测报告,目前主流的入侵检测系统大都存在三个问题:一、存在过多的报警信息,即使在没有直接针对入侵检测系统本身的恶意攻击时,入侵检测系统也会发出大量报警。二、入侵检测系统自身的抗强力攻击能力差。我们知道,入侵检测系统的智能分析能力越强,处理越复杂,抗强力攻击的能力就越差。目前入侵检测系统的设计趋势是,越来越多地追踪和分析网络数据流状态,使系统的智能分析能力得到提高,但由此引起的弊端是系统的健壮性被削弱,并且,对高带宽网络的适应能力有所下降。三是缺乏检测高水平攻击者的有效手段。现有的入侵检测系统一般都设置了阀值,只要攻击者将网络探测、攻击速度和频率控制在阀值之下,入侵检测系统就不会报警。鉴于以上三点,许多用户质疑:按照入侵检测系统目前的技术现状,它值得投资部署吗?
这种质疑不是没有道理。一个配置合理的防火墙加上完善的网络安全管理策略,完全可以对付低水平的攻击行为。人们费尽心机构建的“最后的防线”——入侵检测系统,必须能够有效防范“高手”攻击。但是,如果没有一个全新的设计思路,目前的入侵检测系统是不能完全胜任此项重任的。究其原因,主要在于以下三点。
首先,现有的入侵检测系统依赖于一个攻击特征库来识别已知攻击。从这个角度来看,它并不比一般的病毒检测方法高明多少。基于攻击特征库的设计有着两个明显的缺点。其一,很难发现新的攻击手段;其二,攻击者同样可以利用Inte.net上公布的攻击特征库,在一分钟之内,使一个入侵检测系统产生上千条报警。
第二,在网络安全体系结构的设计上,入侵检测系统通常被部署于防火墙之内。这并不是担心入侵检测系统会受到直接攻击,真正原因是,现有的网络攻击已经非常频繁,一个放置于防火墙之外的入侵检测系统会让安全管理者没有片刻的安宁。但这却是一个设计失误——被防火墙系统阻拦住的外部攻击包对于入侵检测系统进行有效网络攻击智能分析具有非常重要的价值。实际上,缺乏有效的信息源是现有的入侵检测系统表现“低能”的根本原因。
第三,网络中上演的攻击和反攻击与人类战争有相似之处,都是攻与防的较量,如果防守者不采取积极防御措施,永远只能处于被动挨打局面。具体到入侵检测系统,积极防御并不是在发现攻击者时发送警告,甚至回敬几个攻击包“打死”对方,而是一种“欺骗战术”,其基本思想是,建立一个完整的信息保护体系,使各种虚假信息和真实信息混于一体,从而达到信息保护的目的。就网络入侵检测而言,当一个攻击者在全面摸清了目标网络的详细情况之后,人们要想防止其进攻几乎是不可能的。一个攻击高手往往会用很长时间去探查一个网络,在进行一番详细侦察之后,攻击者只须静待一个新的系统漏洞的出现。例如,如果攻击者获悉了Windows 2000服务器存在的一个堆栈溢出漏洞,他就可能在一分钟之内,占领目标主机,并在另外一分钟之内,控制整个目标网络。
从积极防御的角度看,保护一个网络必须从两方面入手。一是在入侵者早期网络侦察时及时发现对方,二是通过回应欺骗信息给窥探者,并在随后发生的实际攻击时准确判定入侵者的身份。以上两点是相辅相成的。需要指出的是,这种基于欺骗战术的积极防御,不同于传统的陷阱系统设计,大多数安全专家认为,一个配置有误的陷阱系统无疑是一扇敞开的大门,而且一个被攻占的陷阱系统会给用户带来法律上的麻烦,他们不赞成使用。
ActiveDefense(积极防御)技术是由广州前卫信息安全技术有限公司自主研发的技术,它应用在其eDefence 2000入侵检测系统之中,可以使一个实际网络变得真假难辨。部署于防火墙之外的eDefence 2000系统能够实时检测网络攻击,同时还能够在入侵者前来窥探时施放各种“烟幕弹”。
该系统另一个与众不同的设计是,它将检测系统分为前后两台机器,后台系统不再是一个简单的管理终端,而是一个有着丰富知识库的专家系统。利用专家系统提供的面向分析推理的规则语言,只须编写几条规则,而后存入知识库,就可以一眼看出入侵者的真面目。一前一后的双机设计从根本上改善了整个入侵检测系统的抗攻击能力。
在网络世界中上演的的攻防战争将永远是一场没有尽头、“魔高一尺,道高一丈”的斗争。