網(wǎng)絡安全的未來:協(xié)同入侵檢測系統(tǒng)(CIDS)
有時,我們似乎是在通過針孔攝像機來尋找網(wǎng)絡攻擊。我們運用不同的工具(利用防火墻和入侵檢測系統(tǒng))來監(jiān)視周邊環(huán)境,監(jiān)視通過惡意軟件的攻擊(利用反惡意攻擊軟件)、利用欺騙手段發(fā)起的攻擊(利用反釣魚解決方案),以及對動態(tài)數(shù)據(jù)的攻擊(利用流量分析和網(wǎng)絡攻擊日志記錄)和對靜態(tài)數(shù)據(jù)的攻擊(利用系統(tǒng)和應用程序日志記錄)。每種工具都起到了很大的作用,但我們似乎很少看到有一種工具能夠為所有相關(guān)數(shù)據(jù)提供一種網(wǎng)絡態(tài)勢感知能力。
最近我讀了一篇文章,是集成Web安全、數(shù)據(jù)安全和電子郵件安全產(chǎn)品制造商Websense的銷售副總裁Andrew Philpot寫的一篇很有意思的關(guān)于統(tǒng)一內(nèi)容安全的文章,這是針對英國和愛爾蘭的。他的基本觀點來自于其自己公司研究實驗室的數(shù)據(jù)支持,他表示“統(tǒng)一內(nèi)容安全可以使企業(yè)在不妨礙合法企業(yè)操作的情況下管理風險。像這樣一個系統(tǒng)在安全決策的過程中擔任一個中間角色;它通過多個溝通渠道和內(nèi)容分類來達到這個目的,以識別潛在的安全威脅。這既包括外部也包括內(nèi)部安全,防止數(shù)據(jù)丟失和業(yè)務濫用,它和傳統(tǒng)的停止惡意軟件和周邊安全攻擊的手段一樣有效。”
我在閱讀Philpot的文章中的一些細節(jié)的同時,還看到了一篇研究論文,是由澳大利亞墨爾本大學計算機科學和軟件工程的幾位作者寫的,《一個關(guān)于協(xié)調(diào)攻擊和協(xié)同入侵檢測的調(diào)查》,該論文的摘要如下:
協(xié)調(diào)的攻擊,如大規(guī)模的隱蔽掃描、蠕蟲病毒的爆發(fā)和分布式拒絕服務攻擊,在多個網(wǎng)絡同時進行。這種攻擊是非常難以用隔離的入侵檢測系統(tǒng)來進行監(jiān)測的,即使能監(jiān)測,監(jiān)測的也只是互聯(lián)網(wǎng)的一個非常有限的部分。在本文中,我們總結(jié)了當下利用協(xié)同入侵檢測系統(tǒng)(CIDS)檢測上述攻擊的研究方向。我們強調(diào)了兩個在當下CIDS研究過程中的主要挑戰(zhàn):CIDS架構(gòu)和報警關(guān)聯(lián)算法,并回顧了當下應對這兩個方面挑戰(zhàn)的CIDS方法。最后,我們強調(diào)了綜合解決大范圍協(xié)同入侵檢測的機會作為總結(jié)。
作者以一個關(guān)于幾個協(xié)調(diào)攻擊的調(diào)查作為開始,包括2003年的SQL-Slammer蠕蟲病毒和2007年的風暴蠕蟲。這些攻擊是典型的“非常難以察覺的,因為這些攻擊的證據(jù)通過多個網(wǎng)絡管理域進行傳播。”研究人員說為了及時發(fā)現(xiàn)大規(guī)模的協(xié)調(diào)攻擊,我們需要結(jié)合來自多個地理分布的可疑網(wǎng)絡活動的證據(jù)。他們認為,CIDS允許從多個來源搜集證據(jù)是非常必要的。他們還主張實時處理,而不是進行事后的大量數(shù)據(jù)分析。因為“盡管協(xié)調(diào)的攻擊可能在稍后階段更容易發(fā)現(xiàn),但是入侵檢測工具的作用將被削弱,因為到了那個階段,這種損害已經(jīng)造成了。”
CIDS有兩個主要的組成部分:
1.一個檢測單元,由多個檢測傳感器組成,每個傳感器都監(jiān)測其自身所在的子網(wǎng)或者單獨的主機,然后生成低級別的入侵警報。
2.一個相關(guān)單元,將低級別的入侵警報轉(zhuǎn)化成高級別的經(jīng)過攻擊確認的入侵檢測報告。
特別有趣的兩個部分是文章有關(guān)隱私和信任的部分。作者指出了信息共享系統(tǒng)的參與者將不愿意提供數(shù)據(jù),除非他們的數(shù)據(jù)可以得到保護。一種方法是進行消毒,其中身份信息要么被刪除要么被改造。他們寫道“另一個重要的方面是超出了文章的重點,那就是關(guān)于協(xié)調(diào)入侵檢測的安全和信任問題。這個問題在CIDS系統(tǒng)中比其他問題的優(yōu)先級低了很多。”消息認證是有用的,但是這種方法不能防止合法用戶發(fā)送惡意數(shù)據(jù)。
筆者認為,CIDS將是網(wǎng)絡安全的未來。
【編輯推薦】
