问题提出:
入侵检测(IDS)是用来发现黑客入侵的特殊安全设备,早期的时候很简单,就是一个日志分析器,大海捞针一样从日志里提取黑客的来访记录;后来黑客学乖了,临走时把自己的“污点”记录统统抹掉;记录没了,日志分析就很难再发现黑客了(当然一些菜鸟级黑客还没有这个意识与能力)。现在,日志分析成为内部人是否有违规行为的审计工具,面对堆积如山的日志信息,你可以想象审计人员的工作是如何辛苦,揪出一个“坏蛋”,如同拣到一个金元宝一样“高兴”。
为了发现黑客,IDS开始收集“原始”的网络流量,自己进行分析(流量是实时的,黑客也没有办法不产生流量)。从此,IDS产品开始“分家”,在计算机内收集网卡流量进行分析的称为主机IDS;从网络交换机上,或者直接从物理链路上“复制”流量的称为网络IDS;分析技术都是把原始数据还原为用户访问过程,分析访问者的行为是否异常,发现黑客工具的指纹与特征,技术上称为应用协议解析(标准的协议如HTTP、FTP、SMTP、Telnet等,新流行的应用协议如P2P、MSN等)。
检测与躲避技术相较量的关键是IDS的识别能力,IDS厂商收集黑客“指纹特征”与“行为模式”,把它们放在攻击数据库内,并不断地升级;看见貌似的就告警,“宁可报错,不可放过”,从近十年以来的攻防拉锯战中看,攻击数据库越来越庞大,但黑客变换与伪装速度更为快些,黑客开始使用程序自动生成无数的新“特征”,快到每天新出现几十万个,不仅可以迷惑检测者,而且让防护者还没来得及升级就落伍了…
识别变得越来越困难,有些安全厂家推出所谓的主动防御,就是在对攻击者识别的同时,先对自己的应用进行过滤,自己的“家底”是很容易清理的,不是我这里记录允许的,就一定是外来的、可疑的,先隔离起来再说。面对互联网上层出不穷的新创意,主动防御保护自己的那一些老家底也有些“力不从心”。
入侵检测产品在核心技术上出现了“瓶颈”,在易用性上出现“海量事件危机”,这个产品下一步究竟应该如何进化呢,是自然淘汰,还是“变异”后重生?
我们对付黑客的办法:
本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Security/
从战略思想上来说,我们对付黑客的办法就两种:一是加装“防盗门”,把一些“菜鸟”级攻击挡在门外边,我们常见的FW、IPS、UTM都是这种方式,这种办法对付高级黑客显然是不行的,连门都进不来,还谈什么高手吗?二是部署“摄像头”,监视“所有人”的行为,发现有靠近“金库”的就警觉起来,符合“通缉者”特征的就“抓起来”,这就是我们说的IDS。
这两种方式还有一个技术上的差异:防盗门是必需拦在网络路径上的,所谓“一夫当关”,发现攻击者立即阻断,阻止其进入大门,但串联设备对性能要求很高,网络流量在指数级逐年递增,再说大门方式很难持续观察一个访问者;摄像头是旁路监控的,并联处理,可以长时间跟踪连接进行分析,不影响业务本身,发现问题及时报警。虽然在两种措施中都有对黑客特征的检测识别,显然后者更适合于长时间地跟踪与关联性分析,适合对行为的监视,可以用来对付高级黑客,当然也需要产品使用者自身的能力强一些。
然而近几年,随着黑客攻击技术的进步,网络上需要分析的信息逐渐发生变化,主要有下面原因:
黑客采用特殊信息通道(未知协议)去指挥他的“僵尸网络”,或选择多级跳板,再以其他人身份去探测与入侵,对这种方式探测用标准协议解析显然是不够的;
P2P技术流行,通过标准协议承载私有协议的半加密连接非常普遍,让“防盗门”的作用越来越小,安全对于摄像头监控的依赖性越来越大;
通过“制造”虚假同类流量,掩盖自己的真实目的。比如满大街的人都突然穿一种服装,或去做同一件事情,即使这个事情是违法的,但在法不责众的大环境下,也很难注意到真正的黑客是哪个。
随着这种环境的出现,网络上检测分析的设备种类增多了,市场上影响较大的如异常流量监测、蠕虫木马监测、DDOS攻击监测等。其中蠕虫监测是互联网运营商非常关注的,作为网络承载商,不能直接阻断用户的数据,但对网络木马、蠕虫、病毒的动态监控,是为高端用户提供安全保障的基础。
这些新变化的共同点是:监控大都是采用旁路复制流量的方式,后台进行数据分析。