影响IDS应用的关键问题是误报和漏报,那么,从技术上讲,该如何攻克这两大难题呢?本文的技术分析没有考虑网络流量,因为,关于IDS系统的流量性能测评是当前争议较大的地方,不同流量中的IDS引擎表现出来的丢包率、误报、漏报等差异巨大。本文仅从影响IDS漏报和误报的关键指标入手讲解技术发展。
为了解决IDS应用中关键的误报和漏报问题,首先要了解决定误报和漏报的指标。有两个方面:一个是引擎和手法; 一个是管理能力。引擎的作用毋庸置疑,是“专家”和“高手”云集和追求的战场;手法是整个系统的知识库,机器的“智慧”所在;引擎和手法是密不可分的,通常引擎的结构决定了手法的特性和能力,甚至检测性能和精度。管理能力是IDS系统和最终用户的界面,许许多多的误报率、个性化、友好性、易管理性、可扩展性等都和它直接相关。
一、引擎和手法
1.引擎
IDS核心技术至今已经历三代:
(1) 第一代技术是主机日志分析、模式匹配。这阶段的IDS基本上都是实验室系统,如IDES、DIDS、NSM等。
(2) 第二代技术出现在上世纪90年代中期,技术突破包括网络数据包截获、主机网络数据和审计数据分析、基于网络的IDS(NIDS)和基于主机的IDS(HIDS)的明确分工和合作。代表性产品有早期的ISS RealSecure(v6.0之前)、Cisco(1998年收购Wheel Group获得)、Snort(2000年开发代码并免费)等。目前国内绝大多数厂家沿用的是Snort核心。
(3) 第三代技术出现在2000年前后,代表性的突破有协议分析、行为异常分析。协议分析的出现极大减小了计算量,减少了误报率。专家预计协议分析技术的误报率是传统模式匹配的1/4左右。行为异常分析技术的出现则赋予了第三代IDS系统识别未知攻击的能力。代表性产品有NetworkICE(2001年并入ISS)、安氏LinkTrust NetworkDefender(v6.6)、NFR(第二版)等。
此外,还有非常多的新型IDS在努力争取获得市场的认可。
2.手法
手法是引擎的知识库,它可以是某个简单的模式,也可以是一个非常复杂的协议分析规则。简单模式主要用在第二代引擎中,复杂协议分析规则是第三代引擎的特征。
许多厂家喜欢讲自己的IDS产品包含多少个“手法”(扫描器也使用这个名词)。关于手法的定义也是各个厂家之间容易引起争论的地方。手法体现了IDS系统作者对某个攻击的理解和认识,指导引擎去检测这种攻击。
手法也是IDS系统和防火墙等其他安全产品差异较大的地方。每个厂家必须紧跟攻击技术的发展和最新的安全弱点,将相应的“手法”及时提供给自己的客户,这样才能保证系统能够在业务流中检测出攻击。
IDS系统遭受的许多批评都源于手法库更新的及时性方面。一般来说,从发现一个弱点、厂家研究并提炼出“手法”,更新系统的“手法”库,这个过程通常在数天到数个星期之间。而互联网上攻击程序的传播却以分钟和小时计。这个时间差给用户网络留下了脆弱空隙,也成为各个厂家较量的主要战场。
为此,许多专家提出了“开放手法”的概念,将更多的灵活性和自主权授予用户。只有用户自己才最了解自己的业务系统,也只有这样,用户才可以更好地微调自己的“手法库”结构,来减少误报,增加手法库的“智能”性。但是,可惜的是许多IDS系统给用户只提供了“开/关”控制,你或者打开它,忍受它的误报,或者关闭它,让自己的投资闲置。
二、管理
管理对于IDS系统来说非常重要,它工作在检测层次之上,对检测(各级传感器)获得的事件信息进行处理。优秀的IDS管理系统不仅限于将检测获得的事件简单呈现在控制台上,而是能够进行各种先进的数据处理、滤除噪音、鉴别误报、获得超越检测层次的信息等。这里,数据挖掘、相关、神经网络、人工智能、归一化、数据分类、决策支持系统等各种技术纷纷获得应用的尝试。
1.安全管理的功能
典型的安全管理要实现六个功能,它们按照先后顺序分别是:
(1)数据收集和确认整理。包括大量数据的提取和初步的有效性确认。
(2)归一化。将收集来的海量数据处理成为系统设计的统一格式,为后面的分析进行准备。
(3)按照资产分类。将收集来的海量数据按照所属的信息资产进行分类。能够实现这一步的前提条件是企业网已经进行过信息资产分类。这一点很重要,可以大幅度提高数据的可利用性、减小误报引起的人力浪费,将管理员宝贵的精力放到关键的信息资产上去。当前专门的信息安全顾问服务可以帮助企业进行信息资产分类。
(4)与风险评估(VA)系统输出的弱点信息进行关联处理。鉴别有效、无效、误报,并按照弱点和资产对海量事件数据进行优先级排序。这一步和上一步的顺序可以交换。
(5)分析。一般来说,这一步体现的是厂家的看家本领,也是安全管理产品的关键所在。
(6)响应。响应一般都会包括各种告警、日志、实时阻断等。
2.与其他系统的关联性
伴随着第三代IDS产品的另一标志性特色就是它们强大的管理能力,具有海量数据融合和关联性分析能力,支持大规模网络、层次化结构。其中,与风险评估系统的关联是当前IDS技术发展的一个重要方向,是减少误报的一种强有力手段。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
为什么云安全离不开“可视性即服务”?
公有云必须按需处理超大规模部署、资源池和持续的配置更改,而这将给可视性、安全性和合规性带来独特挑战……
-
事件响应政策制定常见雷区,都踩了我就只能祝福你了……
《地球战栗》作者Ayn Rand曾经说:“最难理解的莫过于平时习以为常的事情出了状况。”这种说法非常适用于IT和信息社区在事件响应方面的做法……
-
中小企业安全管理人员需要强化的技能
与大型企业相比,中小企业存在着各种各样的安全漏洞,相比微型企业,也存在着较为明显的信任危机。
-
WatchGuard:如何用“大数据”降低网络安全成本
如何有效地阻止网络安全危机爆发?如何在更广泛的数据分析中,让系统更容易得出正确的安全策略呢?WatchGuard认为,大数据的思想或许能帮上忙。