該如何攻克影響IDS應用的誤報和漏報?
影響IDS應用的關鍵問題是誤報和漏報,那么,從技術上講,該如何攻克這兩大難題呢?本文的技術分析沒有考慮網絡流量,因為,關于IDS系統的流量性能測評是當前爭議較大的地方,不同流量中的IDS引擎表現出來的丟包率、誤報、漏報等差異巨大。本文僅從影響IDS漏報和誤報的關鍵指標入手講解技術發(fā)展。
為了解決IDS應用中關鍵的誤報和漏報問題,首先要了解決定誤報和漏報的指標。有兩個方面:一個是引擎和手法; 一個是管理能力。引擎的作用毋庸置疑,是“專家”和“高手”云集和追求的戰(zhàn)場;手法是整個系統的知識庫,機器的“智慧”所在;引擎和手法是密不可分的,通常引擎的結構決定了手法的特性和能力,甚至檢測性能和精度。管理能力是IDS系統和最終用戶的界面,許許多多的誤報率、個性化、友好性、易管理性、可擴展性等都和它直接相關。
一、引擎和手法
1.引擎
IDS核心技術至今已經歷三代:
(1) 第一代技術是主機日志分析、模式匹配。這階段的IDS基本上都是實驗室系統,如IDES、DIDS、NSM等。
(2) 第二代技術出現在上世紀90年代中期,技術突破包括網絡數據包截獲、主機網絡數據和審計數據分析、基于網絡的IDS(NIDS)和基于主機的IDS(HIDS)的明確分工和合作。代表性產品有早期的ISS RealSecure(v6.0之前)、Cisco(1998年收購Wheel Group獲得)、Snort(2000年開發(fā)代碼并免費)等。目前國內絕大多數廠家沿用的是Snort核心。
(3) 第三代技術出現在2000年前后,代表性的突破有協議分析、行為異常分析。協議分析的出現極大減小了計算量,減少了誤報率。專家預計協議分析技術的誤報率是傳統模式匹配的1/4左右。行為異常分析技術的出現則賦予了第三代IDS系統識別未知攻擊的能力。代表性產品有NetworkICE(2001年并入ISS)、安氏LinkTrust NetworkDefender(v6.6)、NFR(第二版)等。
此外,還有非常多的新型IDS在努力爭取獲得市場的認可。
2.手法
手法是引擎的知識庫,它可以是某個簡單的模式,也可以是一個非常復雜的協議分析規(guī)則。簡單模式主要用在第二代引擎中,復雜協議分析規(guī)則是第三代引擎的特征。
許多廠家喜歡講自己的IDS產品包含多少個“手法”(掃描器也使用這個名詞)。關于手法的定義也是各個廠家之間容易引起爭論的地方。手法體現了IDS系統作者對某個攻擊的理解和認識,指導引擎去檢測這種攻擊。
手法也是IDS系統和防火墻等其他安全產品差異較大的地方。每個廠家必須緊跟攻擊技術的發(fā)展和最新的安全弱點,將相應的“手法”及時提供給自己的客戶,這樣才能保證系統能夠在業(yè)務流中檢測出攻擊。
IDS系統遭受的許多批評都源于手法庫更新的及時性方面。一般來說,從發(fā)現一個弱點、廠家研究并提煉出“手法”,更新系統的“手法”庫,這個過程通常在數天到數個星期之間。而互聯網上攻擊程序的傳播卻以分鐘和小時計。這個時間差給用戶網絡留下了脆弱空隙,也成為各個廠家較量的主要戰(zhàn)場。
二、管理
管理對于IDS系統來說非常重要,它工作在檢測層次之上,對檢測(各級傳感器)獲得的事件信息進行處理。優(yōu)秀的IDS管理系統不僅限于將檢測獲得的事件簡單呈現在控制臺上,而是能夠進行各種先進的數據處理、濾除噪音、鑒別誤報、獲得超越檢測層次的信息等。這里,數據挖掘、相關、神經網絡、人工智能、歸一化、數據分類、決策支持系統等各種技術紛紛獲得應用的嘗試。
1.安全管理的功能
典型的安全管理要實現六個功能,它們按照先后順序分別是:
(1)數據收集和確認整理。包括大量數據的提取和初步的有效性確認。
(2)歸一化。將收集來的海量數據處理成為系統設計的統一格式,為后面的分析進行準備。
(3)按照資產分類。將收集來的海量數據按照所屬的信息資產進行分類。能夠實現這一步的前提條件是企業(yè)網已經進行過信息資產分類。這一點很重要,可以大幅度提高數據的可利用性、減小誤報引起的人力浪費,將管理員寶貴的精力放到關鍵的信息資產上去。當前專門的信息安全顧問服務可以幫助企業(yè)進行信息資產分類。
(4)與風險評估(VA)系統輸出的弱點信息進行關聯處理。鑒別有效、無效、誤報,并按照弱點和資產對海量事件數據進行優(yōu)先級排序。這一步和上一步的順序可以交換。
(5)分析。一般來說,這一步體現的是廠家的看家本領,也是安全管理產品的關鍵所在。
(6)響應。響應一般都會包括各種告警、日志、實時阻斷等。
2.與其他系統的關聯性
伴隨著第三代IDS產品的另一標志性特色就是它們強大的管理能力,具有海量數據融合和關聯性分析能力,支持大規(guī)模網絡、層次化結構。其中,與風險評估系統的關聯是當前IDS技術發(fā)展的一個重要方向,是減少誤報的一種強有力手段。
【編輯推薦】
