谈网络入侵检测与防御安全
开篇:润墨网以专业的文秘视角,为您筛选了一篇谈网络入侵检测与防御安全范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
“入侵”是指非法进入、闯入。网络入侵(Intrusion)的概念,是指通过网络、未经授权而非法进行系统访问或系统操纵的过程。从广义上讲,不仅包括发动攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。
入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的检测发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动,因此成为继防病毒和防火墙之后的另一被广泛关注的网络安全设备。它的主要功能有:(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理,并识别违反安全策略的用户活动。可以支持深度防护安全规则,可以用于检测很大范围的欺诈事件,包括假冒企图、口令破解、协议攻击、缓冲区溢出、rootkit安装、恶意命令、软件缺陷探测、恶意代码(如病毒、蠕虫和特洛伊木马等)、非法数据处理、未经授权的文件访问、拒绝服务(DoS)攻击等内容。这是一种集检测、记录、报警、响应的动态安全技术。
随着主动防御思想成为当代信息安全的强势主流思想, “入侵检测”已经渐渐地发展为“入侵防御”了。
在入侵检测系统检测到网络中的攻击或未授权行为时,传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员,然后由管理员手工采取相应措施来阻止入侵。这无疑给安全管理增加了很多的工作量和难度,也大大地提高了安全维护费用,因此系统需要具有更多主动响应行为的入侵检测系统,如今的入侵检测系统可以将得到的数据进行智能记录分析,检查主机系统的变化或嗅探网络包离开网络的情况,以掌握恶意企图的踪迹,采取继续记录、发送预警、重定向该攻击或者防止恶意行为等对策措施。以发复位包的方式,或者执行用户编写的安全程序,自动切断危险的连接。
在入侵防御系统(IPS)中,如何降低检测系统的误报率是非常关键的。在传统的入侵检测系统中,误报对安全管理员形成一种滋扰,大量的误报还可能淹没真正的攻击行为,使安全管理员无从响应。在建立联动的一体化安全防御体系中,入侵检测系统可以自动调整其他安全组件的策略,来防止进一步的攻击,这时误报带来的负面影响可能更大了――因为误报触动策略调整之后,本该许可的访问就无法访问了,这形成了一种新的DoS形式。
因此,先进的入侵防御系统必须是一个全方位的安全管理。它一方面要集中管理全网以及各设备的安全事件,将数据进行标准化、集中、并进行关联和智能分析,以降低误报率和预告威胁的趋势;另一方面还要结合漏洞扫描,提前确定系统是否存在已知漏洞,做到“防范于未然”,以建立前瞻性的、而不仅仅是响应式的安全防御体系。
入侵防御系统的技术特征:(1)嵌入式运行。只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。(2)深入分析和控制。IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。(3)入侵特征库。高质量的入侵特征库是IPS高效运行的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。(4)高效处理能力。IPS必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
入侵防御系统的工作原理:入侵防护系统(IPS)倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。?
过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。
入侵防御系统(IPS)具有下列优点:(1)不需要另外增加硬件设备。(2)部署成本较低。只需要一部网络入侵检测防御系统即可检测同一区域网络中的所有可能的攻击行为,因此,需要增加的成本仅为该网络入侵检测防御系统。(3)可检测到入侵检测系统(IDS)检测不到的攻击行为。某些网络攻击行为(如 DoS 等),攻击模式仅从网络数据包着手,因此必须依靠入侵检测防御系统以数据包分析方式检测。(4)黑客较难破坏入侵攻击数据。由于入侵检测防御系统在检测攻击行为时较具有实时性,因此可在入侵攻击发生时即予以检测防御,避免入侵攻击行为记录被破坏。(5)与操作系统无关(OS Independent)。由于仅需要网络中增加一套入侵检测防御系统,无须更动现有的网络架构及操作系统,部署起来比入侵检测系统简单方便。(6)具有双向检测防御功能。内部网络与外部网络攻击入侵行为均可做到检测防御。
入侵检测系统(IDS)的局限性:(1)入侵检测系统 IDS 只对攻击数据包做其检测,不做任何防御阻挡动作;
(2)入侵检测系统 IDS 须与防火墙做其搭配,通知防火墙改变设定,保护网络;(3)不能及时提供阻挡攻击数据包功能,易造成网络被攻击入侵;(4)与防火墙搭配存在时间差问题,在通知防火墙改变设置之前网络已经受到入侵攻击。
主动防御是信息安全保障的基本思想之一,从网络入侵检测到防御安全系统的设计思想、技术特征以及发展过程,表明网络信息的主动防御技术日益完善、功能愈益强大、作用愈发重要、应用更加广泛。从入侵检测过渡到主动防御,是信息安全保障的必然选择。
(作者系贵州大学职业技术学院在读研究生,单位为河南南阳经济贸易学校)