目前IDS自防护体系的建立仅仅把IDS作为一般的信息系统考虑,而在实际的网络安全防御系统中,IDS是一类工作在敌对网络环境下具有指挥控制特点的防御系统。IDS自防护除了考虑作为一般信息防御系统的自防护外,还必须考虑在攻防对抗环境下的IDS的生存问题。 IDS的体系结构 IDS是一类在网络攻防对抗环境中实现网络入侵检测、预警、评估与响应的指挥控制系统,其体系结构如图1所示。 图1 IDS的体系结构 IDS从网络或主机获取信息,然后依据现有知识对获取信息进行检测、识别、评估并依据检测结果做出相应告警与响应。信息的获取、判断、响应是一个循环过程,这与对抗中广泛应用的OODA环(观察、适应、决策、行动)相一致。 在攻防对抗条件下,根据IDS的体系结构,IDS可表现出如图2所示的六类脆弱点。 图2 IDS图脆弱点分布 这六类脆弱点分别是传感器与链路脆弱点、攻击检测脆弱点、状态和威胁评估脆弱点、融合系统知识库脆弱点、传感器/信号源控制系统脆弱点以及传感器行为检测脆弱点。 1、传感器与链路脆弱点。攻击者影响传感器和信息链路,抑制正确的信息并插入错误的信息; 2、攻击检测脆弱点。攻击者通过对传感器(如干扰或欺骗)或对攻击检测的直接渗透,降低系统集成、关联、跟踪效能及对单个目标的检测识别能力; 3、状态和威胁评估脆弱点。攻击者通过组合具有特殊结构的数据或信息,降低或欺骗入侵行为的推断程序性能; 4、融合系统知识库脆弱点。攻击者一旦获得对融合的数据库或操作显示部分的访问,将会暴露传感器和融合系统中可用于信息攻击的一些性能; 5、传感器/信号源控制系统脆弱点。对传感器控制的攻击会使传感器丧失工作能力或降低工作性能; 6、传感器行为监测脆弱点。攻击者对传感器行为进行监测(尤其是主动传感器),以观察融合系统的行为,推断它的关注焦点及信息需求,以及收集计划的周期和方式。 在攻防对抗条件下,对于不同类型和不同程度的攻击,攻击者想取得的效果并不相同,即攻击者对IDS的OODA环的预期影响程度、方式不同。按照攻击的效果,总体上可以将IDS面临的威胁分为四类。 1、利用:攻击者根据公开获取的可用于攻击系统的信息、融合系统获取的信息、监测攻击是否成功的信息实现对IDS系统的工作机制、工作过程的分析。 2、欺骗:“欺骗”的目的是要导致融合系统用户做出错误的决策。对融合系统采用“欺骗”时,各种刺激因素要与融合处理知识协调一致。只有这样,才会产生错误数据和错误融合决策。 3、干扰:对传感器融合系统的干扰将会对融合处理所用信息的可用性或准确性产生影响。干扰方法包括传感器的干扰、网络上的“洪水”广播、过载以及对所选链路或融合节点实施的软件或暂时性干扰。 4、破坏:软硬件破坏基于物理手段实施,这一实施过程需要建立在基于对融合节点进行准确定位的基础上。
IDS的自防护原则与技术途径
自身安全是网络 安全系统的一个重要特性,如果没有完善的自身防护体系作为保障,即使拥有再强大的功能也无法实现。如同其他信息安全产品一样,IDS自防护问题一直都是IDS研发与实际应用中的一个热点问题。
IDS的六类脆弱点
IDS面临的四类威胁