|
入侵检测系统(IDS)对于关心网络安全防护的人们来说已不再是一个陌生的名词,在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外,有近15%的安全项目会涉及到IDS系统,而且这些项目一般都对安全等级的要求非常高,对数据信息的保密性也有特别的要求。当然,人们关注IDS的重要性时会更加关注它的使用价值,怎样才能更加有效地使用IDS系统是我们大家都关注的问题。目前市场上几种比较常见的IDS产品有CA公司etrust产品、安氏公司的issrealscure和国内金诺网安的KIDS等,每种IDS产品都有其独特的使用技巧,但万变不离其宗,有些基本的方法和原则是可以参照的。
部署 IDS
要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,企业对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或象KIDS那样所具有的"非阻断列表"的功能选项,可以允许用户加入所有他们所信任的主机IP地址。
目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据企业自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。
IDS阻断威胁
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。对于一些已具有防火墙系统的用户,则可利用IDS与防火墙联动的功能来实现阻断,这不但可以发挥防火墙和IDS系统各自的优势,而且能大大提高网络的整体防御能力。与信任主机的列表相反,在IDS中可实现"黑名单"的功能,即表示凡是在黑名单列表中出现的IP地址都将被IDS进行阻断,不管其"有意"攻击还是"无意"连接,这些地址都已不再被信任。有些安全隐患可能是在对WEB网站进行访问时而引起的(如web页中存在恶意代码或内嵌小程序等),IDS可通过在阻断列表中加入所要阻断的URL地址或协议端口来制止这些隐患的发生,并可定义特定的警示消息。
一般IDS都可以监控一个或多个网段的安全状况,功能非常强大,但是监测对象的数量一旦增多,控制台中所汇集的信息将变得十分复杂。如果一个控制台控制着多个传感器,则大量的信息更是难以被顾及。这时我们可能会想到找出重点来监控,一些IDS产品已经开始提供针对这一问题的解决方案,如金诺网安KIDS就可提供"重点监测组"的功能,从检测、报警显示到报表统计它都提供了对关键保护对象独立的工作机制。有了"重点监测组"功能,可以实现高效的检测和统计,并能在"茫茫的信息海洋"中快速得到所需的最有价值的信息。
在利用IDS进行监控时,不但需要查看它的报警提示,而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时,网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时(DoS或DDoS),网络中的数据流量便可能会急速上升,这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。
IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。以金诺网安KIDS为例,它提供了7个大类(明细、统计、攻击风险、攻击类型、常用服务、重要服务器和重点监测组)共200多种的报表模板,在此基础上我们不仅可以利用它的图形或文字的报表,而且可以实现事件明细或事件统计的报表输出。
总之,IDS的主要设计思想是安全风险的"可视"和"可控",它可以提供丰富全面的实时状态信息,使用好IDS的关键是要从这些信息中提取最具有价值的内容并加以利用,以为企业网络安全管理的决策提供依据。
|
