RFID世界網(wǎng) >
新聞中心 >
行業(yè)動(dòng)態(tài) >
正文
智能分析引領(lǐng)IDS新方向
摘要:面對(duì)越來(lái)越多的攻擊,網(wǎng)絡(luò)安全產(chǎn)品為保護(hù)我們的系統(tǒng)、數(shù)據(jù)發(fā)揮了重要作用。目前絕大部分網(wǎng)絡(luò)安全產(chǎn)品是基于邊界防御的,比如防火墻、UTM、IPS等,這些產(chǎn)品部署在網(wǎng)絡(luò)邊界,對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行檢測(cè),確認(rèn)是否符合訪問(wèn)控制規(guī)則、是否存在攻擊行為、是否攜帶病毒文件等,然后放行或阻斷網(wǎng)絡(luò)數(shù)據(jù)。邊界防護(hù)類產(chǎn)品能根據(jù)設(shè)定的策略自動(dòng)過(guò)濾流量,降低了安全風(fēng)險(xiǎn)的同時(shí)還極大簡(jiǎn)化了管理人員的工作量,因此深受歡迎。然而攻防雙方技術(shù)交替發(fā)展,邊界防御產(chǎn)品并不能保證萬(wàn)無(wú)一失。
關(guān)鍵詞:智能
聯(lián)合電訊社/北京--風(fēng)險(xiǎn)控制與風(fēng)險(xiǎn)管理 缺一不可
面對(duì)越來(lái)越多的攻擊,網(wǎng)絡(luò)安全產(chǎn)品為保護(hù)我們的系統(tǒng)、數(shù)據(jù)發(fā)揮了重要作用。目前絕大部分網(wǎng)絡(luò)安全產(chǎn)品是基于邊界防御的,比如防火墻、UTM、IPS等,這些產(chǎn)品部署在網(wǎng)絡(luò)邊界,對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行檢測(cè),確認(rèn)是否符合訪問(wèn)控制規(guī)則、是否存在攻擊行為、是否攜帶病毒文件等,然后放行或阻斷網(wǎng)絡(luò)數(shù)據(jù)。邊界防護(hù)類產(chǎn)品能根據(jù)設(shè)定的策略自動(dòng)過(guò)濾流量,降低了安全風(fēng)險(xiǎn)的同時(shí)還極大簡(jiǎn)化了管理人員的工作量,因此深受歡迎。然而攻防雙方技術(shù)交替發(fā)展,邊界防御產(chǎn)品并不能保證萬(wàn)無(wú)一失。加上不合理的配置或人為疏忽,存在邊界防御產(chǎn)品保護(hù)的網(wǎng)絡(luò)也會(huì)碰到一定的安全問(wèn)題。對(duì)于安全程度要求高的網(wǎng)絡(luò)來(lái)說(shuō),必須有進(jìn)一步的方法來(lái)解決這個(gè)問(wèn)題。
一般來(lái)說(shuō),攻擊分為掃描探測(cè)、攻擊、安置后門(mén)幾個(gè)步驟。入侵檢測(cè)產(chǎn)品都能對(duì)這幾種行為進(jìn)行分析、檢測(cè),因此入侵檢測(cè)產(chǎn)品早已成為網(wǎng)絡(luò)安全的必需品。等級(jí)保護(hù)等相關(guān)行業(yè)也明文規(guī)定了各級(jí)網(wǎng)絡(luò)中應(yīng)該部署入侵檢測(cè)產(chǎn)品。
由于IDS可以監(jiān)聽(tīng)網(wǎng)絡(luò)內(nèi)部的通訊,無(wú)論是內(nèi)部主機(jī)直接的威脅還是從外到內(nèi)的威脅,都可以及時(shí)報(bào)警,從而提醒網(wǎng)絡(luò)管理員來(lái)處理存在的威脅。在大規(guī)模蠕蟲(chóng)爆發(fā)時(shí),正是IDS的預(yù)警,使得管理員能及時(shí)采取行動(dòng),從而極大地避免了網(wǎng)絡(luò)崩潰導(dǎo)致的危害。然而還是有人認(rèn)為IDS用處不大,這到底是什么原因呢
報(bào)警量大是阻礙IDS應(yīng)用的關(guān)鍵
IDS作為對(duì)網(wǎng)絡(luò)攻擊檢測(cè)的產(chǎn)品,檢測(cè)的全面性毫無(wú)疑問(wèn)是其重要指標(biāo)。而特征庫(kù)是IDS的檢測(cè)核心部分,因而很多時(shí)候檢測(cè)的全面性被簡(jiǎn)化為特征庫(kù)的數(shù)量,出現(xiàn)在招標(biāo)要求或者產(chǎn)品的指標(biāo)中。而另一個(gè)方面,同一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包,在有的網(wǎng)絡(luò)環(huán)境下是威脅,而在有的網(wǎng)絡(luò)環(huán)境下則是完全正常的行為,這樣就只有將這樣的行為都定義在默認(rèn)的特征庫(kù)中,因此通常情況下特征庫(kù)中會(huì)出現(xiàn)“Ping”、“HTTP連接”甚至“TCP連接”這樣的事件。這樣事件還是非常容易區(qū)分,然而很多事件卻沒(méi)有那么直截了當(dāng),比如說(shuō)SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議查詢。SNMP是使用得很普遍的協(xié)議,通常用于集中的網(wǎng)絡(luò)管理軟件管理多臺(tái)設(shè)備,用于獲取設(shè)備的信息,甚至可以用來(lái)控制設(shè)備。也正是由于這個(gè)原因,攻擊者也常利用SNMP協(xié)議來(lái)獲取目標(biāo)的信息,從而到達(dá)進(jìn)一步攻擊的目的或者直接利用SNMP的功能控制設(shè)備。這樣網(wǎng)絡(luò)管理員只有將這樣的特征都包含在檢測(cè)策略中。幾乎所有的IDS都是僅從網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析,當(dāng)IDS檢測(cè)到網(wǎng)絡(luò)中存在SNMP查詢時(shí),是無(wú)法分辨到底是正常的網(wǎng)絡(luò)管理軟件還是攻擊者在收集信息,只能報(bào)警存在掃描行為甚至給出具體的每次查詢報(bào)警。
同樣的情況還包括正常的漏洞管理軟件與惡意的掃描、大量的連接與DDoS攻擊、一些特殊的應(yīng)用等情況。通常情況下,網(wǎng)絡(luò)中的每臺(tái)主機(jī)每分鐘會(huì)產(chǎn)生一條事件,如果網(wǎng)絡(luò)中有五百臺(tái)主機(jī)的話,一個(gè)星期產(chǎn)生的日志將達(dá)到五百萬(wàn)條報(bào)警。很顯然處理這樣數(shù)量的事件是一個(gè)艱巨的任務(wù)。
智能分析是未來(lái)IDS發(fā)展方向
當(dāng)前各種入侵檢測(cè)產(chǎn)品產(chǎn)生的報(bào)警,往往都需要經(jīng)過(guò)人工分析,才能篩選掉出重點(diǎn)關(guān)注事件。分析步驟一般如下:
1. 對(duì)事件本身的性質(zhì)進(jìn)行判斷。大多數(shù)IDS產(chǎn)品都能對(duì)ping、tcp連接等事件進(jìn)行報(bào)警,一般情況下安全級(jí)別較低的報(bào)警不需要關(guān)注,如果有大量報(bào)警產(chǎn)生的話,確認(rèn)一下是否是正常業(yè)務(wù)產(chǎn)生即可。
2. 通過(guò)結(jié)合網(wǎng)絡(luò)環(huán)境來(lái)判斷。首先需要確定攻擊對(duì)象和攻擊者的性質(zhì)、在網(wǎng)絡(luò)中的位置。比如SNMP查詢這樣的事件,需要確認(rèn)源地址是否正常的網(wǎng)管軟件,如果就是合法的網(wǎng)管軟件在工作,這樣的事件就不需要繼續(xù)關(guān)注了,如果不是則需要確認(rèn)是錯(cuò)誤地配置了網(wǎng)管軟件還是被控制來(lái)掃描了。而對(duì)于攻擊對(duì)象需要確認(rèn)漏洞是否真實(shí)存在。
3. 這個(gè)攻擊是否流行。如果攻擊針對(duì)的漏洞是幾年前出現(xiàn)的,這樣攻擊的威脅成都就比較低。
4. 是否是特定關(guān)注,比如有些網(wǎng)絡(luò)中不允許出現(xiàn)網(wǎng)絡(luò)共享,因此如果出現(xiàn)針對(duì)網(wǎng)絡(luò)共享的攻擊必定需要仔細(xì)核實(shí)。
從以上步驟可以看出人工分析事件的時(shí)候,需要結(jié)合多個(gè)維度的信息進(jìn)行分析。據(jù)了解,作為入侵檢測(cè)產(chǎn)品領(lǐng)頭羊的啟明星辰公司正在研發(fā)新一代的入侵檢測(cè)產(chǎn)品,結(jié)合其多年產(chǎn)品研發(fā)經(jīng)驗(yàn)和對(duì)大量客戶使用過(guò)程的研究,將實(shí)現(xiàn)對(duì)報(bào)警的智能分析系統(tǒng),抑制海量事件,突出展現(xiàn)重點(diǎn)關(guān)注事件,必將推動(dòng)行業(yè)向智能化方法發(fā)展。
面對(duì)越來(lái)越多的攻擊,網(wǎng)絡(luò)安全產(chǎn)品為保護(hù)我們的系統(tǒng)、數(shù)據(jù)發(fā)揮了重要作用。目前絕大部分網(wǎng)絡(luò)安全產(chǎn)品是基于邊界防御的,比如防火墻、UTM、IPS等,這些產(chǎn)品部署在網(wǎng)絡(luò)邊界,對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行檢測(cè),確認(rèn)是否符合訪問(wèn)控制規(guī)則、是否存在攻擊行為、是否攜帶病毒文件等,然后放行或阻斷網(wǎng)絡(luò)數(shù)據(jù)。邊界防護(hù)類產(chǎn)品能根據(jù)設(shè)定的策略自動(dòng)過(guò)濾流量,降低了安全風(fēng)險(xiǎn)的同時(shí)還極大簡(jiǎn)化了管理人員的工作量,因此深受歡迎。然而攻防雙方技術(shù)交替發(fā)展,邊界防御產(chǎn)品并不能保證萬(wàn)無(wú)一失。加上不合理的配置或人為疏忽,存在邊界防御產(chǎn)品保護(hù)的網(wǎng)絡(luò)也會(huì)碰到一定的安全問(wèn)題。對(duì)于安全程度要求高的網(wǎng)絡(luò)來(lái)說(shuō),必須有進(jìn)一步的方法來(lái)解決這個(gè)問(wèn)題。
一般來(lái)說(shuō),攻擊分為掃描探測(cè)、攻擊、安置后門(mén)幾個(gè)步驟。入侵檢測(cè)產(chǎn)品都能對(duì)這幾種行為進(jìn)行分析、檢測(cè),因此入侵檢測(cè)產(chǎn)品早已成為網(wǎng)絡(luò)安全的必需品。等級(jí)保護(hù)等相關(guān)行業(yè)也明文規(guī)定了各級(jí)網(wǎng)絡(luò)中應(yīng)該部署入侵檢測(cè)產(chǎn)品。
由于IDS可以監(jiān)聽(tīng)網(wǎng)絡(luò)內(nèi)部的通訊,無(wú)論是內(nèi)部主機(jī)直接的威脅還是從外到內(nèi)的威脅,都可以及時(shí)報(bào)警,從而提醒網(wǎng)絡(luò)管理員來(lái)處理存在的威脅。在大規(guī)模蠕蟲(chóng)爆發(fā)時(shí),正是IDS的預(yù)警,使得管理員能及時(shí)采取行動(dòng),從而極大地避免了網(wǎng)絡(luò)崩潰導(dǎo)致的危害。然而還是有人認(rèn)為IDS用處不大,這到底是什么原因呢
報(bào)警量大是阻礙IDS應(yīng)用的關(guān)鍵
IDS作為對(duì)網(wǎng)絡(luò)攻擊檢測(cè)的產(chǎn)品,檢測(cè)的全面性毫無(wú)疑問(wèn)是其重要指標(biāo)。而特征庫(kù)是IDS的檢測(cè)核心部分,因而很多時(shí)候檢測(cè)的全面性被簡(jiǎn)化為特征庫(kù)的數(shù)量,出現(xiàn)在招標(biāo)要求或者產(chǎn)品的指標(biāo)中。而另一個(gè)方面,同一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包,在有的網(wǎng)絡(luò)環(huán)境下是威脅,而在有的網(wǎng)絡(luò)環(huán)境下則是完全正常的行為,這樣就只有將這樣的行為都定義在默認(rèn)的特征庫(kù)中,因此通常情況下特征庫(kù)中會(huì)出現(xiàn)“Ping”、“HTTP連接”甚至“TCP連接”這樣的事件。這樣事件還是非常容易區(qū)分,然而很多事件卻沒(méi)有那么直截了當(dāng),比如說(shuō)SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議查詢。SNMP是使用得很普遍的協(xié)議,通常用于集中的網(wǎng)絡(luò)管理軟件管理多臺(tái)設(shè)備,用于獲取設(shè)備的信息,甚至可以用來(lái)控制設(shè)備。也正是由于這個(gè)原因,攻擊者也常利用SNMP協(xié)議來(lái)獲取目標(biāo)的信息,從而到達(dá)進(jìn)一步攻擊的目的或者直接利用SNMP的功能控制設(shè)備。這樣網(wǎng)絡(luò)管理員只有將這樣的特征都包含在檢測(cè)策略中。幾乎所有的IDS都是僅從網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析,當(dāng)IDS檢測(cè)到網(wǎng)絡(luò)中存在SNMP查詢時(shí),是無(wú)法分辨到底是正常的網(wǎng)絡(luò)管理軟件還是攻擊者在收集信息,只能報(bào)警存在掃描行為甚至給出具體的每次查詢報(bào)警。
同樣的情況還包括正常的漏洞管理軟件與惡意的掃描、大量的連接與DDoS攻擊、一些特殊的應(yīng)用等情況。通常情況下,網(wǎng)絡(luò)中的每臺(tái)主機(jī)每分鐘會(huì)產(chǎn)生一條事件,如果網(wǎng)絡(luò)中有五百臺(tái)主機(jī)的話,一個(gè)星期產(chǎn)生的日志將達(dá)到五百萬(wàn)條報(bào)警。很顯然處理這樣數(shù)量的事件是一個(gè)艱巨的任務(wù)。
智能分析是未來(lái)IDS發(fā)展方向
當(dāng)前各種入侵檢測(cè)產(chǎn)品產(chǎn)生的報(bào)警,往往都需要經(jīng)過(guò)人工分析,才能篩選掉出重點(diǎn)關(guān)注事件。分析步驟一般如下:
1. 對(duì)事件本身的性質(zhì)進(jìn)行判斷。大多數(shù)IDS產(chǎn)品都能對(duì)ping、tcp連接等事件進(jìn)行報(bào)警,一般情況下安全級(jí)別較低的報(bào)警不需要關(guān)注,如果有大量報(bào)警產(chǎn)生的話,確認(rèn)一下是否是正常業(yè)務(wù)產(chǎn)生即可。
2. 通過(guò)結(jié)合網(wǎng)絡(luò)環(huán)境來(lái)判斷。首先需要確定攻擊對(duì)象和攻擊者的性質(zhì)、在網(wǎng)絡(luò)中的位置。比如SNMP查詢這樣的事件,需要確認(rèn)源地址是否正常的網(wǎng)管軟件,如果就是合法的網(wǎng)管軟件在工作,這樣的事件就不需要繼續(xù)關(guān)注了,如果不是則需要確認(rèn)是錯(cuò)誤地配置了網(wǎng)管軟件還是被控制來(lái)掃描了。而對(duì)于攻擊對(duì)象需要確認(rèn)漏洞是否真實(shí)存在。
3. 這個(gè)攻擊是否流行。如果攻擊針對(duì)的漏洞是幾年前出現(xiàn)的,這樣攻擊的威脅成都就比較低。
4. 是否是特定關(guān)注,比如有些網(wǎng)絡(luò)中不允許出現(xiàn)網(wǎng)絡(luò)共享,因此如果出現(xiàn)針對(duì)網(wǎng)絡(luò)共享的攻擊必定需要仔細(xì)核實(shí)。
從以上步驟可以看出人工分析事件的時(shí)候,需要結(jié)合多個(gè)維度的信息進(jìn)行分析。據(jù)了解,作為入侵檢測(cè)產(chǎn)品領(lǐng)頭羊的啟明星辰公司正在研發(fā)新一代的入侵檢測(cè)產(chǎn)品,結(jié)合其多年產(chǎn)品研發(fā)經(jīng)驗(yàn)和對(duì)大量客戶使用過(guò)程的研究,將實(shí)現(xiàn)對(duì)報(bào)警的智能分析系統(tǒng),抑制海量事件,突出展現(xiàn)重點(diǎn)關(guān)注事件,必將推動(dòng)行業(yè)向智能化方法發(fā)展。