四项下一代入侵检测关键技术分析（3）

　　 
　　四项下一代入侵检测关键技术分析
     2.告警泛滥抑制

IDS产品使用告警泛滥抑制技术可以降低误警率。在利用漏洞的攻击势头逐渐变强之时，IDS短时间内会产生大量的告警信息；而IDS传感器却要对同一攻击重复记录，尤其是蠕虫在网络中自我繁殖的过程中，这种现象最为严重。NFR(一家网络安全公司)称这种现象为“告警饱和”。

所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。下一代IDS产品利用一些规则(规则的制定需要考虑传感器)筛选产生的告警信息来抑制告警泛滥；IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样，网管人员可以专注于公司网络的安全状况，不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中，使传感器能够识别告警饱和现象并实施抑制操作。有了这种技术，传感器可以在告警前对警报进行预处理，抑制重复告警。例如，可以对传感器进行适当配置，使它忽略在30秒内产生的针对同一主机的告警信息；IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。

3.告警融合

该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息，这有助于解决误报和漏报问题。

当与低级别警告有关的条件或规则满足时，安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件，如果单独考虑每次扫描，可能认为每次扫描都是独立的事件，而且对系统的影响可以忽略不计；但是，如果把在短时间内产生的一系列事件整合考虑，会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件，而且扫描强度在不断升级，安全管理人员可以认为是攻击前的渗透操作，应该作为高级别告警对待。这个例子告诉我们告警融合技术可以发出早期攻击警告，如果没有这种技术，需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆；而通过设置元警告相关性规则，安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义的参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。

4.可信任防御模型

改进的IDS中应该包含可信任防御模型的概念。事实上，2004年多数传统的IDS供应商已经逐渐地把防御功能加入到IDS产品中。与此同时，IPS（入侵防御系统）产品的使用率在增长，但是安全人士仍然为IDS产品预留了实现防御功能的空间。IDS产品供应商之所以这样做，部分原因在于他们认识到防御功能能否有效地实施关键在于检测功能的准确性和有效性。没有精确的检测就谈不上建立可信任的防御模型；所以，开发出好的内嵌防御功能的IDS产品关键在于提高检测的精确度。

下一代IDS产品中，融入可信任防御模型后，将会对第一代IPS产品遇到的问题(误报导致合法数据被阻塞、丢弃；自身原因造成的拒绝服务攻击泛滥；应用级防御)有个圆满的解决。

可信任防御模型中采用的机制：

(1)信任指数：IDS为每个告警赋予一个可信值，即在IDS正确评估攻击/威胁后对是否发出告警的自我确信度。如对于已知的SQLSlammer攻击，IDS在分析数据流中的数据报类型和大小后，以高确信度断定数据流包含SQLSlammer流量。因为这种攻击使用UDP，数据报大小为376，所用端口为1434；有了这样的数据，IDS会为相应的告警赋予高信任指数。

(2)拒绝服务攻击(DOS)：攻击者可能冒充内网IP(如邮件服务器IP)进行欺骗攻击，传统防御系统将会拒绝所有来自邮件服务器的流量，导致网内机器不能接受外部发来的邮件，下一代IDS产品能够识别这种自发的DOS情形，并且降低发生概率。

(3)应用级攻击：这是一种针对被保护力度低的应用程序(如即时通信工具、VoIP等)发起的攻击，攻击造成的后果非常严重。下一代IDS产品提供深度覆盖技术来保护脆弱的应用程序免遭攻击。

综上所述，下一代IDS技术有效地解决IDS的高误报率、高漏报率以及无主动防御功能的问题。对于如何提高入侵检测系统的检测速度，以适应高速网络通信的要求，一些厂商也提出了相应的实现技术。今后，我们需要做的将是如何将这些技术有效的融合在入侵检测系统中，形成一个统一的标准，并且能够做到与其他网络安全设备协同工作，提高整个系统的安全性能。（完）

原文转自：http://www.ltesting.net