“入侵检测需要吗?不需要吗?”当您看到“大话西游”经典台词式的问句,一定会回想起影片中菩提老祖和至尊宝纠缠不休、毫无结果的对话场景。的确,是否有必要构建入侵检测系统(Intrusion Detecti on System,IDS)一直是困扰企业或机关网络安全主管的首要问题。
伴随众多媒体与厂商日益广泛的宣传,企业用户对IDS已经有了初步了解,然而,当他们真正面临产品选择和技术应用时,或处理网络安全和投资力度关系时,又会表露出茫然、无所适从的神色。
入侵检测(Intrusion Detection),顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS。
IDS和其他网络安全组件的关系
一般说来,和IDS关系比较密切的网络安全组件主要有防火墙、扫描器、防病毒软件和安全审计4大类。
防火墙 防火墙通常被比喻为网络安全的大门,用来鉴别什么样的数据包可以进出企业内部网。在应对黑客入侵方面,可以阻止基于IP包头的攻击和非信任地址的访问。但防火墙无法阻止和检测基于数据内容的黑客攻击和病毒入侵,同时也无法控制内部网络之间的违规行为。
扫描器 扫描器可以说是入侵检测的一种,主要用来发现网络服务、网络设备和主机的漏洞,通过定期的检测与比较,发现入侵或违规行为留下的痕迹。当然,扫描器无法发现正在进行的入侵行为,而且它还有可能成为攻击者的工具。
防毒软件 防毒软件是最为人熟悉的安全工具,可以检测、清除各种文件型病毒、宏病毒和邮件病毒等。在应对黑客入侵方面,它可以查杀特洛伊木马和蠕虫等病毒程序,但对于基于网络的攻击行为(如扫描、针对漏洞的攻击)却无能为力。
安全审计 安全审计通过独立的、对网络行为和主机操作提供全面与忠实的记录,方便用户分析与审查事故原因,很像飞机上的黑匣子。由于数据量和分析量比较大,目前市场上鲜见特别成熟的产品,即使存在冠以审计名义的产品,也更多的是从事入侵检测的工作。
综上所述,我们不难看出4种安全组件的一个共同欠缺:对正在进行的外部入侵和网络内部攻击缺乏检测和实时响应功能。因此,IDS应运而生。
正确认识IDS的作用
通常,IDS的主要功能包括检测并分析用户在网络中的活动,识别已知的攻击行为,统计分析异常行为,核查系统配置和漏洞,评估系统关键资源和数据文件的完整性,管理操作系统日志,识别违反安全策略的用户活动等。
一般来说,IDS可分为主机型和网络型2种。
主机型入侵检测系统(Host Intrusion Detection System,HIDS)往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段从所在的主机收集信息,并进行分析。HIDS主要针对其所在的系统进行非法行为的检测。
网络型入侵检测系统(Network Intrusion Detection System,NIDS)的数据源来自网络上的数据包。一般地,用户可将某台主机网卡设定为混杂模式,以监听本网段内所有数据包,判断其是否合法。NIDS担负着监视整个网段的任务。
NIDS的优点主要是使用简便。一个网段上只需安装一个或几个这样的检测系统,便可以检测整个网段的入侵状况。另外,由于往往分出单独的计算机做这种旁路应用,不会给运行关键业务的主机和网络增加任何负担。但是,随着现有网络结构日趋复杂化和高速网络普及化,这种检测方式开始面临越来越大的挑战。
HIDS的缺点显而易见: 它必须为不同平台开发不同的应用程序,增加了网络系统运行负荷,而且所需安装的产品数量众多。不过,HIDS的优点也非常突出:首先,其内在结构不受任何约束,其次,它可利用操作系统本身提供的功能,结合异常分析,更准确地报告攻击行为。
结合IDS和其他相关网络安全组件的特点,我们可以得出一个结论; 由于自身的限制,安全组件不可能把入侵检测和防护做到一应俱全。所以,用户不要指望通过使用某一种网络安全产品实现高枕无忧一劳永逸的安全。 值得注意的是,我们绝不能因为上面的原则而排斥这些安全组件。任何一种安全组件都可以对维护网络安全起到一定作用,就好比人感冒了一般要吃感冒药,尽管未必药到病除,但可以缓解感冒症状,促使人体早日恢复健康。看待网络安全,实际上与看待感冒一样异曲同工。
所以,对于“入侵检测需要吗?不需要吗?”的疑问,我们给出的答案是需要。
如何获取IDS
身处网络化时代,获取信息变得异常容易。我们知道,操作系统有2种获取方式,一种是商业产品,需要付费购买,如微软的Windows系列,价格自然不菲;另外一种是风靡全球的Linux,基本无须付费。即使是Redhat,购买价格相当便宜。同样,IDS也有2种:一种是免费的,一种是付费的。
1.免费型IDS(或公开源码型)
免费IDS的获取方法是: 用IDS作为关键词在网上(如http://www.google.com、http://www.yahoo.com等)搜索,看看哪些是可以免费下载的。
附表显示的是从国内某个安全站点下载的免费IDS简介。
免费的IDS主要是由一些著名的黑客组织、大学和部分安全公司的人员编写的,其特点是:大多是针对个人用户的HIDS,所编写的软件短小精悍,容易下载,但功能单一,且需要使用者拥有较好的计算机和安全技术基础。这些IDS主要来自于国外。
附表介绍了名为Snort的工具,它在免费IDS中最具代表性。
Snort是一个开放源代码的NIDS,其主要功能包括以下几点。
采用Libpcap捕获数据链路层的分组并进行协议栈分析(TCP/IP协议)。
在网络内部,Snort使用Misused检测模型进行入侵检测,即通过一个完整的入侵规则库来实时匹配并探测入侵行为。这个规则库非常全面,具有探测缓冲区溢出、端口扫描和CGI攻击等功能,还可实时更新。如果使用Nmap或Trin00等手段进行攻击,很可能会被Snort发现。此外,Snort还允许用户方便地编写并加入自己的规则。
日志可以存储成Tcpdump二进制格式、ASCII格式数据库格式(包括MySQL、PostgreSQL)或XML格式。
Snort是一个轻量级产品,因此很难应用于大型网络。但Snort的规则语言非常经典,以至于一些商业化的产品中也套用其规则描述语言。
对于免费的IDS,应该说是适合一些个人、有研究兴趣的单位(如学校)或是计算机技术能力较强的小型企业。这样不需要花费任何投资,只要有能力和时间来进行很好的配置,便可让它发挥检测和分析作用。
免费IDS的主要缺点是功能单一,对用户友好性差,不像商业产品那样具有支持、服务和后续升级能力,其不明背景很难保证其可用性和自身安全性,不适于大中型企业或关键行业部门的应用。但我们建议一些大型企业的安全建设和管理人员在小范围内使用免费IDS,以积累入侵检测技术分析的经验,增强认识,有助于选取或应用商业产品。
2.付费的IDS(商业化产品)
近年来,国内的IDS商业产品如同雨后春笋一般蓬勃发展起来,据悉在公安部取得销售许可证的安全厂商已超过30家,同时还有一批国外的产品也进入了国内市场。在国内,较早从事入侵检测研究并推出成熟产品、具有相对较高知名度的品牌主要有启明星辰的天阗入侵检测产品和北方计算中心的NIDS detector等。对于国外产品,由于美国ISS公司进入国内时间比较早,其Realsecure知名度也很高。另外还有Cisco公司的NetRanger、Axent Technologies公司(现被Symantec收购)的Netprowler/Intruder Alert、CA公司的SessionWall-3/eTrust Intrusion Detection等,也是非常有特点、技术领先的IDS产品。但除了ISS公司的产品外,由于其他公司本身的全球市场战略或主打产品策略差异很大,这些产品在国内的销售和应用方面尚未广为人知。
3.两类IDS比较
与免费的IDS相比,IDS商业产品具有明显的优势。首先,知名的IDS商业产品提供商都是具有丰富安全技术背景的安全公司,具有强大的开发团队,并具有对黑客技术的安全研究能力,保证了对IDS技术的跟踪和发展。其次,由于是商业化产品,在产品的需求设计、新技术应用、产品功能和性能以及用户友好性上非常关注,产品易用性、功能性等表现出色。最后,商业化的产品会给用户提供成熟的技术支持、有保障的安全服务和可保护投资的产品升级换代技术。鉴于这些特点,用户在IDS的选型中应当优先考虑商业化产品,特别是资质比较好的产品,否则,选了从免费的软件简单改装的IDS或是突击出来一个不成熟的产品,那才是花冤枉钱呢!
4.IDS产品状况
根据国内外IDS的产品特点和应用情况,我们归纳几点相同与不同之处。
相同之处
1) 模式匹配检测是主流方式。
2) 多采用多引擎+控制台结构。
3) 适用于10/100 Mbps的以太网络。
主要差异
1) 同厂商对攻击的认识和定义各不相同,用户购买时不能简单观看产品宣传页中的一些数字。
2) 国外产品本地化程度要差一些,但产品成熟度要好一些。
3) 在管理界面和模式上各有特色,有采用浏览器方式,有采用独立界面方式,还有利用和其他网络安全产品统一界面的管理方式。
4) 有的产品在引擎上采用软件方式(如ISS、北方计算中心和CA的产品等),有的产品引擎提供硬件方式(如启明星辰和Cisco等)。比较起来,硬件方式在安装、调试等方面的操作相对简单方便。
5) 国外产品贵一些。
比较起来,上面提到的一些产品的特色较为鲜明。
ISS公司的Realsecure 对网络