攻擊技術和手段的不斷發(fā)展促使IDS等網絡安全產品不斷更新換代，使得IDS產品從一個簡單機械的產品發(fā)展成為智能化的產品。

　　入侵檢測的研究可以追溯到JamesP.Anderson在1980年的工作，他首次提出了“威脅”等術語，這里所指的“威脅”與入侵的含義基本相同，將入侵嘗試或威脅定義為:潛在的、有預謀的、未經授權的訪問企圖，致使系統(tǒng)不可靠或無法使用。1987年DorothyE. Denning首次給出一個入侵檢測的抽象模型，并將入侵檢測作為一個新的安全防御措施提出。1988年，Morris蠕蟲事件加快了對入侵檢測系統(tǒng)(IDS:Intrusion Detection System)的開發(fā)研究。

　　在過去的20年里，網絡技術在不斷發(fā)展，攻擊者水平在不斷提高，攻擊工具與攻擊手法日趨復雜多樣，特別是以黑客為代表的攻擊者對網絡的威脅日益突出，他們正不遺余力地與所有安全產品進行著斗爭。攻擊技術和手段的不斷發(fā)展促使IDS等網絡安全產品不斷更新換代，使得IDS產品從一個簡單機械的產品發(fā)展成為智能化的產品。

　　一、目前IDS存在的缺陷

　　入侵檢測系統(tǒng)作為網絡安全防護的重要手段，有很多地方值得我們進一步深入研究。目前的IDS還存在很多問題，有待于我們進一步完善。

　　1.高誤警(誤報)率

　　誤警的傳統(tǒng)定義是將良性流量誤認為惡性的。廣義上講，誤警還包括對IDS用戶不關心事件的告警。因此，導致IDS產品高誤警率的原因是IDS檢測精度過低以及用戶對誤警概念的拓展。

　　2.產品適應能力低

　　傳統(tǒng)的IDS產品在開發(fā)時沒有考慮特定網絡環(huán)境的需求，千篇一律。網絡技術在發(fā)展，網絡設備變得復雜化、多樣化，這就需要入侵檢測產品能動態(tài)調整，以適應不同環(huán)境的需求。

　　3.大型網絡的管理問題

　　很多企業(yè)規(guī)模在不斷擴大，對IDS產品的部署從單點發(fā)展到跨區(qū)域全球部署，這就將公司對產品管理的問題提上日程。首先，要確保新的產品體系結構能夠支持數以百計的IDS傳感器;其次，要能夠處理傳感器產生的告警事件;此外，還要解決攻擊特征庫的建立，配置以及更新問題。

　　4.缺少防御功能

　　檢測，作為一種被動且功能有限的技術，缺乏主動防御功能。因此，需要在下一代IDS產品中嵌入防御功能，才能變被動為主動。

　　5.評價IDS產品沒有統(tǒng)一標準

　　對入侵檢測系統(tǒng)的評價目前還沒有客觀的標準，標準的不統(tǒng)一使得入侵檢測系統(tǒng)之間不易互聯。隨著技術的發(fā)展和對新攻擊識別的增加，入侵檢測系統(tǒng)需要不斷升級才能保證網絡的安全性。

　　6.處理速度上的瓶頸

　　隨著高速網絡技術如ATM、千兆以太網等的相繼出現，如何實現高速網絡下的實時入侵檢測是急需解決的問題。目前的百兆、千兆IDS產品的性能指標與實際要求還存在很大的差距。

　　二、下一代IDS系統(tǒng)采用的技術

　　為了降低誤警率、合理部署多級傳感器、有效控制跨區(qū)域的傳感器，下一代入侵檢測產品需要包含以下關鍵技術。

　　1.智能關聯

　　智能關聯是將企業(yè)相關系統(tǒng)的信息(如主機特征信息)與網絡IDS檢測結構相融合，從而減少誤警。如系統(tǒng)的脆弱性信息需要包括特定的操作系統(tǒng)(OS)以及主機上運行的服務。當IDS使用智能關聯時，它可以參考目標主機上存在的、與脆弱性相關的所有告警信息。如果目標主機不存在某個攻擊可以利用的漏洞，IDS將抑制告警的產生。

　　智能關聯包括主動關聯和被動關聯。主動關聯是通過掃描確定主機漏洞;被動關聯是借助操作系統(tǒng)的指紋識別技術，即通過分析IP、TCP報頭信息識別主機上的操作系統(tǒng)。下面將詳細介紹指紋識別技術。

　　(1)IDS有時會出現誤報(主機系統(tǒng)本身并不存在某種漏洞，而IDS報告系統(tǒng)存在該漏洞)

　　造成這種現象的原因是當IDS檢測系統(tǒng)是否受到基于某種漏洞的攻擊時，沒有考慮主機的脆弱性信息。以針對Windows操作系統(tǒng)的RPC攻擊為例，當網絡中存在RPC攻擊時，即使該網絡中只有基于Linux的機器，IDS也會產生告警，這就是一種誤報現象。為了解決這個問題，需要給IDS提供一種基于主機信息的報警機制。因此新一代IDS產品利用被動指紋識別技術構造一個主機信息庫，該技術通過對TCP、IP報頭中相關字段進行識別來確定操作系統(tǒng)(OS)類型。

　　(2)被動指紋識別技術的工作原理

　　被動指紋識別技術的實質是匹配分析法。匹配雙方一個是來自源主機數據流中的TCP、IP報頭信息，另一個是特征數據庫中的目標主機信息，通過將兩者做匹配來識別源主機發(fā)送的數據流中是否含有惡意信息。通常比較的報頭信息包括窗口大小(Windowsize)、數據報存活期(TTL)、DF(don tfragment)標志以及數據報長(Totallength)。

　　窗口大小(wsize)指輸入數據緩沖區(qū)大小，它在TCP會話的初始階段由OS設定。多數UNIX操作系統(tǒng)在TCP會話期間不改變它的值，而在Windows操作系統(tǒng)中有可能改變。

　　數據報存活期指數據報在被丟棄前經過的跳數(hop);不同的TTL值代表不同的OS，TTL=64，OS=UNIX;TTL=12，OS=Windows。DF字段通常設為默認值，而OpenBSD不對它進行設置。

　　數據報長是IP報頭和負載(Payload)長度之和。在SYN和SYNACK數據報中，不同的數據報長代表不同的操作系統(tǒng)，60代表Linux、44代表Solaris、48代表Windows2000。

　　IDS將上述參數合理組合作為主機特征庫中的特征(稱為指紋)來識別不同的操作系統(tǒng)。如TTL=64，初步判斷OS=Linux/OpenBSD;如果再給定wsize的值就可以區(qū)分是Linux還是OpenBSD。因此，(TTL，wsize)就可以作為特征庫中的一個特征信息。

　　(3)被動指紋識別技術工作流程

　　具有指紋識別技術的IDS系統(tǒng)通過收集目標主機信息，判斷主機是否易受到針對某種漏洞的攻擊，從而降低誤報率。它的工作流程如圖1所示。

　　<1>指紋識別引擎檢查SYN報頭，提取特定標識符;

　　<2>從特征庫中提取目標主機上的操作系統(tǒng)信息;

　　<3>更新主機信息表;

　　<4>傳感器檢測到帶有惡意信息的數據報，在發(fā)出警告前先與主機信息表中的內容進行比較;

　　<5>傳感器發(fā)現該惡意數據報是針對Windows服務器的，而目標主機是Linux服務器，所以IDS將抑制該告警的產生。

圖1 被動指紋識別技術工作流程

　　因此，當IDS檢測到攻擊數據包時，首先查看主機信息表，判斷目標主機是否存在該攻擊可利用的漏洞;如果不存在該漏洞，IDS將抑制告警的產生，但要記錄關于該漏洞的告警信息作為追究法律責任的證據。這種做法能夠使安全管理員專心處理由于系統(tǒng)漏洞產生的告警。一些IDS經銷商已經把OS指紋識別的概念擴展到應用程序指紋識別，甚至到更廣泛的用途上。

　　2.告警泛濫抑制

　　IDS產品使用告警泛濫抑制技術可以降低誤警率。在利用漏洞的攻擊勢頭逐漸變強之時，IDS短時間內會產生大量的告警信息;而IDS傳感器卻要對同一攻擊重復記錄，尤其是蠕蟲在網絡中自我繁殖的過程中，這種現象最為嚴重。NFR(一家網絡安全公司)稱這種現象為“告警飽和”。

　　所謂“告警泛濫”是指短時間內產生的關于同一攻擊的告警。下一代IDS產品利用一些規(guī)則(規(guī)則的制定需要考慮傳感器)篩選產生的告警信息來抑制告警泛濫;IDS可根據用戶需求減少或抑制短時間內同一傳感器針對某個流量產生的重復告警。這樣，網管人員可以專注于公司網絡的安全狀況，不至于為泛濫的告警信息大傷腦筋。告警泛濫抑制技術是將一些規(guī)則或參數(包括警告類型、源IP、目的IP以及時間窗大小)融入到IDS傳感器中，使傳感器能夠識別告警飽和現象并實施抑制操作。有了這種技術，傳感器可以在告警前對警報進行預處理，抑制重復告警。例如，可以對傳感器進行適當配置，使它忽略在30秒內產生的針對同一主機的告警信息;IDS在抑制告警的同時可以記錄這些重復警告用于事后的統(tǒng)計分析。

　　3.告警融合

　　該技術是將不同傳感器產生的、具有相關性的低級別告警融合成更高級別的警告信息，這有助于解決誤報和漏報問題。

　　當與低級別警告有關的條件或規(guī)則滿足時，安全管理員在IDS上定義的元告警相關性規(guī)則就會促使高級別警告產生。如掃描主機事件，如果單獨考慮每次掃描，可能認為每次掃描都是獨立的事件，而且對系統(tǒng)的影響可以忽略不計;但是，如果把在短時間內產生的一系列事件整合考慮，會有不同的結論。IDS在10min內檢測到來自于同一IP的掃描事件，而且掃描強度在不斷升級，安全管理人員可以認為是攻擊前的滲透操作，應該作為高級別告警對待。這個例子告訴我們告警融合技術可以發(fā)出早期攻擊警告，如果沒有這種技術，需要安全管理員來判斷一系列低級別告警是否是隨后更高級別攻擊的先兆;而通過設置元警告相關性規(guī)則，安全管理員可以把精力都集中在高級別警告的處理上。元警告相關性規(guī)則中定義的參數包括時間窗、事件數量、事件類型IP地址、端口號、事件順序。

　　4.可信任防御模型

　　改進的IDS中應該包含可信任防御模型的概念。事實上，2004年多數傳統(tǒng)的IDS供應商已經逐漸地把防御功能加入到IDS產品中。與此同時，IPS(入侵防御系統(tǒng))產品的使用率在增長，但是安全人士仍然為IDS產品預留了實現防御功能的空間。IDS產品供應商之所以這樣做，部分原因在于他們認識到防御功能能否有效地實施關鍵在于檢測功能的準確性和有效性。沒有精確的檢測就談不上建立可信任的防御模型;所以，開發(fā)出好的內嵌防御功能的IDS產品關鍵在于提高檢測的精確度。

　　下一代IDS產品中，融入可信任防御模型后，將會對第一代IPS產品遇到的問題(誤報導致合法數據被阻塞、丟棄;自身原因造成的拒絕服務攻擊泛濫;應用級防御)有個圓滿的解決。

　　可信任防御模型中采用的機制:

　　(1)信任指數:IDS為每個告警賦予一個可信值，即在IDS正確評估攻擊/威脅后對是否發(fā)出告警的自我確信度。如對于已知的SQLSlammer攻擊，IDS在分析數據流中的數據報類型和大小后，以高確信度斷定數據流包含SQLSlammer流量。因為這種攻擊使用UDP，數據報大小為376，所用端口為1434;有了這樣的數據，IDS會為相應的告警賦予高信任指數。

　　(2)拒絕服務攻擊(DOS):攻擊者可能冒充內網IP(如郵件服務器IP)進行欺騙攻擊，傳統(tǒng)防御系統(tǒng)將會拒絕所有來自郵件服務器的流量，導致網內機器不能接受外部發(fā)來的郵件，下一代IDS產品能夠識別這種自發(fā)的DOS情形，并且降低發(fā)生概率。

　　(3)應用級攻擊:這是一種針對被保護力度低的應用程序(如即時通信工具、VoIP等)發(fā)起的攻擊，攻擊造成的后果非常嚴重。下一代IDS產品提供深度覆蓋技術來保護脆弱的應用程序免遭攻擊。

　　綜上所述，下一代IDS技術有效地解決IDS的高誤報率、高漏報率以及無主動防御功能的問題。對于如何提高入侵檢測系統(tǒng)的檢測速度，以適應高速網絡通信的要求，一些廠商也提出了相應的實現技術。今后，我們需要做的將是如何將這些技術有效的融合在入侵檢測系統(tǒng)中，形成一個統(tǒng)一的標準，并且能夠做到與其他網絡安全設備協同工作，提高整個系統(tǒng)的安全性能。

　　轉載請注明來源：賽斯維傳感器網（httcentroaffilatura.com）