智能分析引領(lǐng)IDS新方向

   聯(lián)合電訊社/北京--風(fēng)險(xiǎn)控制與風(fēng)險(xiǎn)管理 缺一不可

　　面對(duì)越來(lái)越多的攻擊，網(wǎng)絡(luò)安全產(chǎn)品為保護(hù)我們的系統(tǒng)、數(shù)據(jù)發(fā)揮了重要作用。目前絕大部分網(wǎng)絡(luò)安全產(chǎn)品是基于邊界防御的，比如防火墻、UTM、IPS等，這些產(chǎn)品部署在網(wǎng)絡(luò)邊界，對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行檢測(cè)，確認(rèn)是否符合訪問(wèn)控制規(guī)則、是否存在攻擊行為、是否攜帶病毒文件等，然后放行或阻斷網(wǎng)絡(luò)數(shù)據(jù)。邊界防護(hù)類(lèi)產(chǎn)品能根據(jù)設(shè)定的策略自動(dòng)過(guò)濾流量，降低了安全風(fēng)險(xiǎn)的同時(shí)還極大簡(jiǎn)化了管理人員的工作量，因此深受歡迎。然而攻防雙方技術(shù)交替發(fā)展，邊界防御產(chǎn)品并不能保證萬(wàn)無(wú)一失。加上不合理的配置或人為疏忽，存在邊界防御產(chǎn)品保護(hù)的網(wǎng)絡(luò)也會(huì)碰到一定的安全問(wèn)題。對(duì)于安全程度要求高的網(wǎng)絡(luò)來(lái)說(shuō)，必須有進(jìn)一步的方法來(lái)解決這個(gè)問(wèn)題。

　　一般來(lái)說(shuō)，攻擊分為掃描探測(cè)、攻擊、安置后門(mén)幾個(gè)步驟。入侵檢測(cè)產(chǎn)品都能對(duì)這幾種行為進(jìn)行分析、檢測(cè)，因此入侵檢測(cè)產(chǎn)品早已成為網(wǎng)絡(luò)安全的必需品。等級(jí)保護(hù)等相關(guān)行業(yè)也明文規(guī)定了各級(jí)網(wǎng)絡(luò)中應(yīng)該部署入侵檢測(cè)產(chǎn)品。

　　由于IDS可以監(jiān)聽(tīng)網(wǎng)絡(luò)內(nèi)部的通訊，無(wú)論是內(nèi)部主機(jī)直接的威脅還是從外到內(nèi)的威脅，都可以及時(shí)報(bào)警，從而提醒網(wǎng)絡(luò)管理員來(lái)處理存在的威脅。在大規(guī)模蠕蟲(chóng)爆發(fā)時(shí)，正是IDS的預(yù)警，使得管理員能及時(shí)采取行動(dòng)，從而極大地避免了網(wǎng)絡(luò)崩潰導(dǎo)致的危害。然而還是有人認(rèn)為IDS用處不大，這到底是什么原因呢

　　報(bào)警量大是阻礙IDS應(yīng)用的關(guān)鍵

　　IDS作為對(duì)網(wǎng)絡(luò)攻擊檢測(cè)的產(chǎn)品，檢測(cè)的全面性毫無(wú)疑問(wèn)是其重要指標(biāo)。而特征庫(kù)是IDS的檢測(cè)核心部分，因而很多時(shí)候檢測(cè)的全面性被簡(jiǎn)化為特征庫(kù)的數(shù)量，出現(xiàn)在招標(biāo)要求或者產(chǎn)品的指標(biāo)中。而另一個(gè)方面，同一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包，在有的網(wǎng)絡(luò)環(huán)境下是威脅，而在有的網(wǎng)絡(luò)環(huán)境下則是完全正常的行為，這樣就只有將這樣的行為都定義在默認(rèn)的特征庫(kù)中，因此通常情況下特征庫(kù)中會(huì)出現(xiàn)“Ping”、“HTTP連接”甚至“TCP連接”這樣的事件。這樣事件還是非常容易區(qū)分，然而很多事件卻沒(méi)有那么直截了當(dāng)，比如說(shuō)SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議查詢(xún)。SNMP是使用得很普遍的協(xié)議，通常用于集中的網(wǎng)絡(luò)管理軟件管理多臺(tái)設(shè)備，用于獲取設(shè)備的信息，甚至可以用來(lái)控制設(shè)備。也正是由于這個(gè)原因，攻擊者也常利用SNMP協(xié)議來(lái)獲取目標(biāo)的信息，從而到達(dá)進(jìn)一步攻擊的目的或者直接利用SNMP的功能控制設(shè)備。這樣網(wǎng)絡(luò)管理員只有將這樣的特征都包含在檢測(cè)策略中。幾乎所有的IDS都是僅從網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，當(dāng)IDS檢測(cè)到網(wǎng)絡(luò)中存在SNMP查詢(xún)時(shí)，是無(wú)法分辨到底是正常的網(wǎng)絡(luò)管理軟件還是攻擊者在收集信息，只能報(bào)警存在掃描行為甚至給出具體的每次查詢(xún)報(bào)警。

　　同樣的情況還包括正常的漏洞管理軟件與惡意的掃描、大量的連接與DDoS攻擊、一些特殊的應(yīng)用等情況。通常情況下，網(wǎng)絡(luò)中的每臺(tái)主機(jī)每分鐘會(huì)產(chǎn)生一條事件，如果網(wǎng)絡(luò)中有五百臺(tái)主機(jī)的話，一個(gè)星期產(chǎn)生的日志將達(dá)到五百萬(wàn)條報(bào)警。很顯然處理這樣數(shù)量的事件是一個(gè)艱巨的任務(wù)。

　　智能分析是未來(lái)IDS發(fā)展方向

　　當(dāng)前各種入侵檢測(cè)產(chǎn)品產(chǎn)生的報(bào)警，往往都需要經(jīng)過(guò)人工分析，才能篩選掉出重點(diǎn)關(guān)注事件。分析步驟一般如下：

　　1. 對(duì)事件本身的性質(zhì)進(jìn)行判斷。大多數(shù)IDS產(chǎn)品都能對(duì)ping、tcp連接等事件進(jìn)行報(bào)警，一般情況下安全級(jí)別較低的報(bào)警不需要關(guān)注，如果有大量報(bào)警產(chǎn)生的話，確認(rèn)一下是否是正常業(yè)務(wù)產(chǎn)生即可。

　　2. 通過(guò)結(jié)合網(wǎng)絡(luò)環(huán)境來(lái)判斷。首先需要確定攻擊對(duì)象和攻擊者的性質(zhì)、在網(wǎng)絡(luò)中的位置。比如SNMP查詢(xún)這樣的事件，需要確認(rèn)源地址是否正常的網(wǎng)管軟件，如果就是合法的網(wǎng)管軟件在工作，這樣的事件就不需要繼續(xù)關(guān)注了，如果不是則需要確認(rèn)是錯(cuò)誤地配置了網(wǎng)管軟件還是被控制來(lái)掃描了。而對(duì)于攻擊對(duì)象需要確認(rèn)漏洞是否真實(shí)存在。

　　3. 這個(gè)攻擊是否流行。如果攻擊針對(duì)的漏洞是幾年前出現(xiàn)的，這樣攻擊的威脅成都就比較低。

　　4. 是否是特定關(guān)注，比如有些網(wǎng)絡(luò)中不允許出現(xiàn)網(wǎng)絡(luò)共享，因此如果出現(xiàn)針對(duì)網(wǎng)絡(luò)共享的攻擊必定需要仔細(xì)核實(shí)。

　　從以上步驟可以看出人工分析事件的時(shí)候，需要結(jié)合多個(gè)維度的信息進(jìn)行分析。據(jù)了解，作為入侵檢測(cè)產(chǎn)品領(lǐng)頭羊的啟明星辰公司正在研發(fā)新一代的入侵檢測(cè)產(chǎn)品，結(jié)合其多年產(chǎn)品研發(fā)經(jīng)驗(yàn)和對(duì)大量客戶使用過(guò)程的研究，將實(shí)現(xiàn)對(duì)報(bào)警的智能分析系統(tǒng)，抑制海量事件，突出展現(xiàn)重點(diǎn)關(guān)注事件，必將推動(dòng)行業(yè)向智能化方法發(fā)展。