2023年7月8日发(作者:)
附 录 A入侵检测和防御系统(IDPS):框架和需考虑的问题
A.1 入侵检测和防御的介绍
尽管信息系统的漏洞可导致意外或有意的利用、入侵和攻击,但由于业务需求,组织仍然会使用信息系统并将其连接到因特网和其他网络上。 因而组织需要保护这些信息系统。
技术不断进步,获取信息的便利性不断提高,但是新的漏洞也会随之出现。同时,利用这些漏洞的攻击也在不断加强。入侵者不断提高入侵技术,并且有利于他们的信息也越来越容易获取。同样重要的是,由于计算机知识的普及、攻击脚本和先进工具的可获取,发动攻击所必需的技术正在减弱。因此,攻击能够在没有人确切知道将发生什么或者攻击能带来什么危害的情况下发生。
保护信息系统的第一层防御是利用物理、管理和技术控制,宜包括鉴别与认证、物理和逻辑访问控制、审计以及加密机制。组织可在GB/T 22081-2016中找到推荐的控制列表。然而,从经济方面考虑,始终完整保护每个信息系统、服务和网络是不可能的。举例来说,对于一个全球使用、没有地理界限,并且其内部和外部差别不明显的网络,很难实施访问控制机制。此外,传统的边界防御已经不再可行,原因是组织正在越来越多的信赖员工和商业合伙人的远程访问。IT 环境造成了复杂的网络配置,而这些配置是动态的,包含了访问组织IT系统和服务的多路访问点。因此,为了迅速有效的发现和响应入侵,需要第二层防御。这一防御层主要由入侵检测和防御系统(IDPS)承担。除此之外,已部署IDPS的反馈能完善组织信息系统脆弱性的知识,并能帮助提高组织信息安全整体素质。
组织能从市场上获取 IDPS 软件和(或)硬件产品,或通过向 IDPS服务提供商外包IDPS功能等方式部署IDPS。任何情况下,组织宜知道IDPS不是一个即插即用设备,其有效部署需要组织对IDPS有所理解。
对每个控制,组织需要根据信息安全风险评估证明IDPS部署的有效性,并将IDPS部署融入信息安全管理过程。另外,需要考虑到,一旦入侵者或攻击者窃听了包含已部署IDPS内的信息并且覆盖它,将使组织遭遇巨大的困难。这些困难包括如何识别并证明保护措施(如IDPS)需求。组织及有关系统或服务安全策略宜声明将要选择的保护措施以便适当的管理入侵风险。这些保护措施包括:
一一减少入侵发生的机会;
一一有效检测和响应可能发生的入侵。
像每个控制一样,组织需要根据信息安全风险评估证明IDPS部署的有效性,并将其融入信息安全管理过程。另外,需要考虑到,万一入侵者和攻击者窃听了包含已部署的IDPS内的信息并且覆盖它,将使组织面临巨大的困难。
当组织考虑部署IDPS时,宜了解:
一一对信息系统和(或)网络入侵和攻击的类型;
一一本标准提及的IDPS的通用模型。
A.2 入侵和攻击的类型
A.2.1 简介
信息系统的入侵者和攻击者能利用信息系统和(或)网络的配置缺陷、实施缺陷和(或)概念缺陷,而且能够利用异常的用户行为。 脆弱性会使入侵者和攻击者访问到被保护的信息系统及其处理或存储的信息,并且损害信息和信息系统的保密性、完整性和可用性。这些入侵和攻击能给入侵者和攻击者提供信息系统和网络的有价值信息,而这些信息又能被更多复杂的入侵或攻击技术所利用。组织宜认识到不仅组织外部的人员会试图入侵和攻击,而且内部的人员也可能有这种意图。例如,组织信息系统的授权用户可试图获得未授权的额外特权。恶意入侵和攻击可用来:
一一信息搜集,攻击者试图通过信息搜集来检索目标信息系统的详细信息;
一一试图获得未授权系统特权、资源或者数据;
一一损害系统,可允许使用系统资源进一步攻击;
一一信息泄露,入侵者试图用非授权手段使用被保护信息(如密码、信用卡数据);
一一拒绝服务(DoS)攻击,攻击者试图使目标信息系统服务变得迟缓,或者使其服务中止。
就可能入侵和攻击的脆弱点而言,入侵和攻击可分为:
一一基于主机的;
一一基于网络的;
一一基于组合方法的。
A.2.2 基于主机的入侵
基于主机的入侵通常是入侵性的活动,这些活动会引入损害性的恶意代码(例如,利用木马、蠕虫或病毒等的攻击),并发生在下列方面:
一一应用层(SMTP、DNS)(如伪造电子邮件、垃圾邮件、缓冲区溢出攻击、竞争状态攻击、中间人攻击);
一一鉴别系统(如利用窃听或密码猜测的攻击);
一一基于 Web 服务(如针对 CGI、ActiveX 或 JavaScript 的攻击);
一一系统可用性(如拒绝服务攻击);
一一操作系统;
一一网络和应用管理系统(如SNMP攻击)。
A.2.3 基于网络的入侵
基于网络的入侵通常被认为是在下列位置的入侵活动:
一一物理层和数据链路层通信协议以及实施它们的系统(如ARP欺骗、MAC 地址克隆);
一一网络层和传输层通信协议以及已经实施的系统(IP、ICMP、UDP、TCP)(如IP-欺骗、IP-碎片攻击、同步洪泛攻击、异常 TCP报头信息攻击)。
A.3 入侵检测过程的通用模型
A.3.1 简介
软件和(或)硬件产品相结合的IDPS 通过自动监视、收集和分析信息系统或者网络中的可疑事态,发现入侵的迹象。入侵检测的通用模型能用一组功能来定义。这些功能包括:原始数据来源、事态检测、分析、数据存储和响应,这些功能作为独立的部件或者作为更大系统一部分的软件包实施。 图A.1说明这些功能相互关联的方式。 响应分析数据存储事态检测数据来源
图A.1 入侵检测的通用模型
A.3.2 数据来源
入侵检测过程的成功取决于所检测的入侵企图信息的数据来源。数据来源可以确定为:
一一不同系统资源的审计数据:审计数据记录包含消息和状态信息,范围从高层次的抽象信息到显示事态流时间顺序的极为详细的数据。审计数据的可用来源是操作系统的日志文件,包括由操作系统产生的系统事态和活动日志,如审计痕迹/日志。可记录文件系统、网络服务、访问尝试等信息的应用也是原始数据的良好来源;
一一操作系统的系统资源分配:系统监视的参数,例如CPU工作量、内存利用率、系统资源短缺情况、输入/输出率、活跃的网络连接数量等,可以帮助检测入侵;
一一网络管理日志:网络管理日志提供网络设备的健壮程度、状态和设备状态转换信息;
一一网络流量:网络流量提供了诸如源地址和目的地址,以及与安全相关的源和目的端口等参数。通信协议的不同选项(如IP和TCP状态标记,表示源路由或连接的尝试和确认)对IDPS是有用的。因为在收集前数据被操纵的可能性很小,因此依据OSI模型在低层次上收集原始数据是很有帮助的。如果仅在抽象的较高层次(例如一个代理服务器上)收集原始数据,那么更低层次上的信息可能丢失;
一一其他的数据来源:其他的数据来源包括防火墙、交换机和路由器,当然也包括IDPS特定的传感器/监视代理。
原始数据来源分为两种:主机和网络。由于在入侵检测领域里位置的区分占主导地位,IDPS也同样分为两种类型:基于主机和基于网络的。基于主机的 IDPS 能检查审计痕迹/日志和其他来自主机或应用的数据。基于网络的IDPS能检查网络管理目志,以及来自防火墙、交换机、路由器和IDPS传感器代理的数据。
A.3.3 事态检测
事态检测的目的是检测和提供安全相关的事态数据,以用于分析功能。
检测的事态可能是简单的事态(包括在正常操作期间攻击或事件的一部分)或者复杂的事态(包括很可能表示特定攻击的简单事态组合)。然而,事态或事态数据可能不能作为入侵的证据。
事态检测功能通过IDPS的监视部件实现。他们能安装在一个网络设备上(如路由器、网桥、防火墙),或一台特定的计算机上(如应用服务器、数据库服务器),这取决于要检测的事态数据的原始数据来源。
由于事态检测过程产生大量的事态数据,事态检测的频率能影响IDPS整体的有效性。这种情形也将适用于下面的分析过程。
A.3.4 分析
A.3.4.1 简介 分析功能的目的是分析并处理由事态检测功能提供的事态数据,以发现正在尝试的、正在发生的或已经发生的入侵。
除了检测到的事态数据之外,分析功能还能利用许多来源的信息或数据,包括:
一一先前分析的结果数据和由数据存储功能保存的数据;
一一从个体或系统被期望如何表现的知识中(如从应执行的已知任务和应完成的已授权活动中)产生的信息或数据;
一一从个体或系统不被期望如何表现的知识中(如从已知攻击或已知有害行动中)产生的信息或数据;
一一其他相关信息或数据,如可疑攻击原站点、个体或攻击者位置。
有两种通用的分析方法:基于误用的和基于异常的。基于误用的方法也称作基于知识的方法,基于异常的方法也称作基于行为的方法。
A.3.4.2 基于误用的方法
A.3.4.2.1 总则
基于误用的方法主要研究检测事态数据方面的攻击证据,并以已知攻击和未授权活动的知识积累为基础。
典型的基于误用的方法试图对信息系统的已知攻击以及先前被认为是恶意的或入侵性的行为和活动,进行建模和编码为特定的攻击特征,包括系统地扫描信息系统以发现这些攻击特征。由于已知攻击模式或已知攻击的微小变化叫做特征,因此误用检测有时叫做基于特征的IDPS。
在商业产品中,最常见的基于特征的攻击检测技术指定了每个与攻击或未授权活动相一致的事态模式,作为一个独立的攻击特征。然而,一些更复杂的机制允许使用单一的攻击特征来检测一组已知攻击和未授权活动。
需要注意的是,基于误用的方法基于这样的假设,即事态数据与攻击特征不匹配时,不代表有入侵或攻击,但是一些不匹配的数据仍然可能包含入侵或攻击的证据,这些证据在攻击特征建模时是未知的。
目前,基于误用的分析功能广泛使用的方法有:
A.3.4.2.2 攻击特征分析
这种方法可能是入侵检测最常见的方法,它期望信息系统中任何安全相关的行为都能产生相应的审计日志条目。
入侵场景可被转变为审计日志序列或者数据模式,这些信息能在计算机操作系统、应用、防火墙、交换机和路由器,或特定IDPS传感器或监视器产生的数据中发现。其他的序列或攻击特征可能在网络传输流中发现。协议分析是网络特定攻击特征分析的一种形式,它使用定义良好的通信协议结构。协议分析能处理如包、帧和连接等元素。
通过分析程序,收集已知攻击的语义描述或者攻击特征或者对其统一格式,并将其保存在数据库中。当在诸如审计日志中发现与预定义的入侵攻击特征相匹配的特定序列或攻击特征时,就表示有了一个入侵企图。
攻击特征分析方法能用于有阈值或没有阈值的情况。如果未定义阈值,当识别出一个攻击特征时即产生报警。当定义阈值时,仅会在攻击特征数量超过阈值时才产生报警。阈值可以是单位时间内发生事件的比例、数量或者是其它的测量指标。
攻击特征分析方法主要的缺点是需要不断地更新攻击特征,以便发现新的脆弱性和(或)攻击。 A.3.4.2.3 专家系统
如果是基于误用的方法,专家系统包含描述入侵的规则。如果是基于异常的方法,则生成一系列规则,用于在给定时间内,根据用户行为记录,统计用户的使用行为。规则宜不断的更新以适应新的入侵 描述或新的使用模式。
经过审计的事态被转化为表达其语义的事实,输入专家系统中。入侵分析功能利用这些规则和事实得出结论,以检测可疑入侵或检测不一致的行为。
A.3.4.2.4 状态转换分析
该技术描述了带有一系列目标和转换的入侵,并把它们表示成状态转换图。攻击特征中的状态与系统状态相一致,并具备与这些状态相关的布尔声明,这些声明宜满足到其他状态的转换。
A.3.4.3 基于异常的方法
A.3.4.3.1 总则
根据以往对正常运行系统的观察或参数的其他使用预期定义的配置文件的观察,基于异常的方法聚焦于从对通常行为的预测或猜想中,发现不合常规的行为。配置文件是一个预定义的特定事态模式,通常与一系列的事态相关,为了达到对比的目的而存储在数据库中。
需要注意的是,基于异常的方法基于这样的假设,即事态数据与攻击特征不匹配时,代表有入侵或攻击,但是一些不匹配的数据仍然可能包含正常的证据或已授权行为,这些证据在攻击特征建模时是未知的。
目前,基于异常的分析功能广泛使用的方法有:
A.3.4.3.2 识别异常行为
此方法与用户的适当活动模式相匹配,而攻击特征分析与不当的活动相匹配。
此方法通过一系列的任务对用户正常或已授权的行为进行建模,这些任务由用户通过使用非统计技术必须或被授权在系统上执行。这些任务描述为用户所期望或授权的行为模式,例如有权访问特定文件或文件类型。
在审计痕迹中发现的个体行为与预期或授权的模式相比较,当行为模式与预期或授权模式不同时,产生报警。
A.3.4.3.3 专家系统
(参见 A.3.4.2.3)。
A.3.4.3.4 统计方法
在基于异常的入侵检测方法中,最常用的是统计方法。
通过许多不同的样本来测量用户或系统行为,并将其存储在配置文件中。当前配置文件定期与已存储的配置文件合并,并随着用户行为的演变进行更新。
这些变化的例子包括每次会话的登录和退出时间、资源利用的持续时间,以及在会话和给定的时间内消耗的处理器存储磁盘资源的数量。
配置文件可以由不同类型的度量组成,这些类型包括:
一一活动强度测量;
一一审计记录分发测量;
一一分类测量(如登录的相对频率); 一一计数测量(如特定用户的CPU或I/O的一组值)。
异常行为是通过对存储的配置文件进行检查来确定的,即根据变量的标准偏差来确定阈值是否被超过。
A.3.4.3.5 神经网络
神经网络是一种算法,用来学习输入输出向量的关系并以合理的方式发现普遍规则以获得新的输入-输出向量。对入侵检测来说,神经网络的主要用途是学习系统内角色的行为(如用户、后台程序)。 在统计中使用神经网络的优势在于神经网络具备表示变量之间非线性关系的简单方法,还在于神经网络的自学习和再训练。
A.3.4.4 组合方法
基于误用和基于异常的方法能组合起来,以便利用彼此的优点。混合方式的IDPS部署允许基于已知攻击特征和未经确认的模式(如特定用户登录尝试的次数)来检测入侵。
此外还有探索其他检测入侵的方式或方法的研究正在进行。例如,Petri网的应用研究,以及相对较新的计算机免疫学的研究。
A.3.4.5 分析频率
A.3.4.5.1 总则
原始数据(如审计痕迹或日志)通常是不断产生的,但是他们可能无法总是由事态检测功能处理或由事态分析功能分析。
分析的频率可能是:
一一连续的;
一一周期性的;
一一特定的环境中。
A.3.4.5.2 连续的或接近实时的
当事态检测功能不断查找出现的特定数据、情况或活动并提供事态数据时,分析功能仍然能持续进行。
宜注意到,某些情况下在被检测和报告之前,入侵可能已经完成,因为事态发生时间和检测并报告它的时间之间可能存在时间间隔。时间间隔能够由参数决定,如事态数据来源、检测方法或入侵属性,这导致了入侵开始和侵入目标系统之间的时间差。
A.3.4.5.3 定期或批量处理
如果原始数据和(或)检测到的事态数据转移到存储介质,则周期性的或在适当时间检测和(或)分析这些数据将成为可能。例如,可在IT系统负荷较低时进行检测和分析,如在晚上或通过一个辅助的旁路子系统。
A.3.4.5.4 仅在特定环境下发起
一些分析可能仅在特定的环境下发起,如当已经识别到一个大范围的攻击,且正在引起严重破坏的时候。在这种情况下,可采取集中力量的方式对攻击所有方面和产生的后果进行全面分析。这些方式有时叫做取证分析,可用于法律诉讼的目的。如果有预期的法律诉讼,需要遵循适用的证据规则。
A.3.5 数据存储 数据存储功能的目的是存储安全相关信息,并使之可用于稍后的分析和(或)报告中。
存储的数据可包括:
――已检测到的事态和其他类型的必要数据;
――分析的结果,包括已检测到的入侵和可疑事态(以后用来协调可疑事态分析);
――收集已知攻击和正常行为的配置文件;
——一旦安全报警响起,收集和保存作为证据的详细原始数据(如为了可追溯性)。
宜具备适当的数据保留和数据保护策略,处理各种关注的事项,如完成分析、数据取证和证据保存、以及防止安全相关的信息被窃听。
A.3.6 响应
响应功能的目的是将合适的分析结果呈现给责任人员(如系统管理员、安全负责人)。通常,这些结果在管理控制台上以图形用户界面形式呈现,通过邮件、短信、电话等其他方法将结果告知相关人员也是必要的,以提升和组织对发出报警的响应。
被动响应功能仅限于当控制台产生报警时,而主动响应功能还能为入侵提供适当的对策。具有主动响应功能的入侵检测系统也称为入侵防御系统(IPS)。一些主动响应功能能通过以下方式,提供纠正或预防措施来限制入侵或将影响降到最小:
――重新配置入侵的系统;
――锁定入侵的账户;
――封锁会话协议。
响应功能提供的信息能帮助组织合理的授权以评估入侵的严重程度,并决定实施恰当的对策。组织需要确保,评估入侵的严重程度和所要实施的对策要与组织的信息安全策略和程序相一致。
在GB/T 22081-2016第13章中,组织能找到推荐的控制列表,其中包括信息安全事态的报告、从安全漏洞中恢复和纠正系统故障的职责和程序。GB/T 20985中也提供关于信息安全事件管理的有用信息。
A.4 IDPS类型
A.4.1 简介
如前所述,有三种类型的IDPS:基于特征的IDPS、基于异常的IDPS、状态协议分析IDPS。大多数IDPS使用多种检测方法(无论是单独的或集成的),以提供更广泛和更准确的检测。检测方法的主要类别如下:
基于特征的检测是指将观察到的事态与已知的威胁特征相比较来识别事件。这对检测已知的威胁非常有效,但对检测未知威胁和已知威胁的许多变种基本无效。基于特征的检测不能跟踪和了解复杂通信的状态,所以它不能检测出包括多个事态的大部分攻击。
基于异常的检测,它将正常活动的定义与观察到的事态进行比较,以识别显著的偏差。该方法使用一段时间内监视典型活动特征而形成的配置文件。然后,IDPS将当前活动的特征和与配置文件相关的阈值进行比较。基于异常的检测方法能非常有效地检测以前未知的威胁。基于异常检测的常见问题是配置文件无意中包含的恶意活动,建立的配置文件不够复杂不足以反映真实世界的计算活动,并产生许多误报。
状态协议分析,是指预设配置文件(该配置文件为每个协议状态的良性协议活动进行普遍接受的定义)与观察到的事态进行比较以识别偏差。与基于异常的检测(使用主机或特定网络配置文件)不同,状态协议分析取决于供应商开发的通用配置文件,该配置文件规定了特定的协议宜如何使用和不宜如何使用。它能够理解和跟踪具有状态概念的协议状态,这使它能检测到许多其他方法不能检测到的攻击。状态协议分析的问题包括开发完全准确的协议模型通常非常困难或不可能、非常耗资源,以及无法检测到未违反普遍接受协议行为特征的攻击。
IDPS的其他类型包括:
――基于应用的IDPS(AIDPS),它是HIDPS的特殊类型并且具有与HIDPS相似的特性。
大体上来说IDPS能够实现下列功能:
――监视和分析系统事态和用户行为;
――识别与已知攻击相应的系统事态模式;
――识别在统计上与正常活动不同的活动模式;
――检测到攻击时,通过合理的方式提醒适当的员工;
――测量在分析引擎中编码安全策略的执行情况;
――允许非安全专家执行重要的安全监视功能;
――增加发现感知风险和惩罚攻击者的能力;
――识别许多其他安全设备无法预防的问题;
――协调其它安全设备(如防火墙)以处理事态;
――验证、列举并描述对组织信息系统的网络威胁;
――提供有关入侵的宝贵信息,这些信息支持事件处理、损害评估、恢复工作和特定环境中的法律活动。
宜了解IDPS的局限性,主要局限性包括:
――无法检测新的攻击,也不能捕捉多数攻击的新变体;
――难以弥补信息源的错误和噪音;
――难以有效的处理交换网络;
――难以扩展为非常大的或分布式网络;
――难以根据IDPS输出确定入侵者的物理和(或)虚拟位置;
――难以用网络管理系统来整合不同的IDPS产品;
――无法弥补安全策略和(或)安全机制(如防火墙、身份证明和鉴别、链路加密、访问控制机制和病毒的检测与清除)在基础设施保护中的缺陷或缺失;
――无法检测、报告或快速响应特定攻击类型;
――尽管有能力识别DoS攻击,但无法减缓大多数DoS攻击;
――无法检测新的攻击或已有攻击的变体(这仅适用于基于特征的IDPS,不适用于基于异常的IDPS);
――在无人干涉的情况下,无法对攻击进行详细分析;
――无法弥补组织内安全战略、策略或安全架构的重大缺陷;
――无法弥补网络协议的安全缺陷;
――通常,IDPS输出可能包含显著的错误率,尤其是误报,需要花费大量的时间和资源来解决;
――可能作为攻击序列的一部分而被禁用;
――可能被攻击者利用来产生误报,以分散对主要攻击的注意力;
――可能产生大量的审计信息,这些信息可能要占用系统额外的本地存储;
――基于IDPS报警的自动拦截可能引起安全性和可用性问题;
――需要先进的技术和系统知识,才能有效地使用IDPS。
A.4.2 基于主机的IDPS(HIDPS)
HIDPS存在于一台计算机内并且为这台特定计算机提供保护。这允许HIDPS检查计算机操作系统日志数据(如审计痕迹/日志)和其他本地数据。HIDPS也可利用操作系统或者应用日志文件分析发生在应用内的事态。
HIDPS使用的操作系统审计痕迹通常是由操作系统内核(核心)产生的,因此比系统日志更详细并且保护的更好。然而,这些系统日志比审计痕迹简短并易于理解。
一些HIDPS旨在支持IDPS集中管理和基础设施的报告,这能允许单一的管理控制台追踪多个主机。另一些HIDPS以与网络管理系统相兼容的格式生成消息。
与NIDPS不同,HIDPS能觉察企图攻击的结果,因为它能直接访问和监视攻击通常针对的数据文件和系统进程。例如,HIDPS允许检测来自关键任务服务器键盘的攻击。
HIDPS旨在用来:
――将特定用户身份与可疑活动相关联;
――观察并追踪用户行为的变化;
――建立系统安全状态的基线,并跟踪基线的变化;
――管理操作系统审计、日志机制和生成的数据;
――当数据以加密或者非加密形式传输和存储时,提供应用层的日志记录和监视;
――观察攻击引起的数据修改;
――监视存在于高速网络和加密网络中的系统;
――检测基于网络的IDPS无法发现的攻击。
宜了解HIDPS特有的局限性。主要局限性包括:
――特定的DoS攻击可能使HIDPS失去效力;
――HIDPS可能消耗主机资源,包括主机审计日志所需的数据存储;
――由于存在大量的安装实例(至少每台主机一个),可能需要复杂的安装和维护过程;
――无法在隐身模式使用,因为主机通常可通过更高的网络层寻址;
――无法识别针对其他主机或网络的攻击。
A.4.3 基于网络的IDPS(NIDPS)
NIDPS监视通向网络中的主机系统的流量。通常,NIDPS由一系列单用途传感器或位于网络中不同点的主机组成。这些单元通过对该流量进行本地分析并向中央管理控制台报告攻击来监视网络流量。由于传感器可特别用作IDPS的部件,因此它们更容易被保护以抵御攻击。许多这样的传感器对较高的网络层是不可见的(即被设计为在“隐身”模式下运行),以使攻击者更难以确定其存在和位置。。
通过提供可疑入侵(如DoS攻击)发生时的信息,NIDPS允许实时或近实时的检测和响应,而HIDPS的响应时间与轮询间隔频率直接相关。
NIDPS具有独特功能特性,其能力如下:
――以“隐身模式”操作并将传感器对更高级别的网络协议(通常3层及以上)隐藏 ;
――使用单一的传感器监视同一网络段上多个主机的流量;
――识别影响许多主机的分布式攻击。
宜了解NIDPS特有的局限性。主要局限性包括:
――无法处理好加密的网络流量;
――可能需要比HIDPS更大的带宽和更快的处理能力,因为NIDPS的性能容量宜等同于部署性能最大化的网络段的流量;
――NIDPS提供的许多功能可能需要特殊的技术设置才能在现代基于交换机的网络中可用(如网络传感器,它需要连接到映射所有其他端口数据的网络交换机的特定端口);
――由于解码应用层协议(如HTTP、SMTP)的有关问题,一些NIDPS可能在处理网络层(IP)或传输层(TCP/UDP)分段数据包攻击时遇到困难; ――通常无法观察攻击是否成功。
A.5 架构
IDPS可通过不同方式实现。
在较小的组织中,或为了保护良好定义和相对独立的系统,单IDPS可能是一个好的解决方法。
在具有相当大且复杂的支持网络、系统和应用程序的基础设施环境中,单IDPS可能不足以或不能够满足入侵检测的要求。为了满足这些要求, 可能需要多个IDPS,每个IDPS都是为已定义的子系统或部件定制的。在这种环境下,攻击可针对多个子系统或部件。在另一情况下,攻击可针对子系统或部件的具体配置,而不是子系统或部件本身的脆弱性。为了在这种情况下检测攻击,需要关联和分析来自不同IDPS的事态数据。
IDPS架构的目标是以高效和有效的方式实现入侵检测的功能。 在这种背景下,有关架构的两个关键考虑事项是:
――多个IDPS相互连接和关联的方式;
――IDPS架构中任务的集中或分发。
分层入侵检测架构的示例如图A.2所示。
中央控制台分析分析//关联关联事态/警报事态/警报分析分析//关联关联分析关联分析关联. . .事态事态事态事态检测事态检测//传感传感器器事态事态事态检测事态检测//传感传感器器事态检测事态检测//传感传感器器事态检测事态检测//传感传感器器. . .事态检测事态检测//传感传感器器. . .原始数据原始数据原始数据原始数据原始数据
图A.2 分层入侵检测架构
在图A.2中,多个分析和关联部件的输出被进一步汇总,以获得更高层级的分析和关联。在任何多层应用程序基础设施中,可能有多个位置要运行要求的功能。
在集中式架构中,事态检测和传感器部件可简单收集原始数据并将其发送到单个组件以进一步分析和关联。虽然这种方法设计简单,但它可能无法很好地扩展,并且可能只适用于较小的环境。
更多可扩展的解决方案可在分散部件中执行某些IDPS任务,目的是在这一过程中尽可能早的减少原始数据,并发送相关事态到下一层部件。部件链可进一步分析和关联事态数据,仅将相关事态或报警传递到最终的即核心部件。这种系统可能产生一些非常复杂的任务。例如,这要求通过攻击指示找到中心部件并发出正确报警的方式,来配置过滤器以及相关的分析和关联部件。
A.6 IDPS的管理
A.6.1 简介
在企业网络基础设施中,入侵检测和防御系统的管理对其高效和有效的部署至关重要。为了使IDPS更高效,管理子系统宜提供足够的功能。本部分讨论IDPS管理的各个方面。
A.6.2 配置管理
A.6.2.1 总则
配置管理提供了一些功能,用以控制、识别实体(这些实体是IDPS的一部分),从中收集并向其提供数据。为了达到入侵检测的目的,配置管理包括检测功能和相应响应机制的管理。
A.6.2.2 检测功能
检测功能的配置包括为违反安全策略的事态和事态序列而设置标准。这也可能包括描述误用模式和正常用户行为。
A.6.2.3 响应功能
响应功能的管理决定了安全报警时的系统行为。这包括控制各种响应机制,如声音报警、管理员和(或)安全人员的通知以及会话终止。IDPS也宜被保护,以防止未经授权的响应初始化。如果攻击者发现一种方式来欺骗系统对不存在的入侵进行响应,有可能比没有安装IDPS造成更大损坏,这取决于配置响应。响应管理宜与组织的事件管理方案相一致。
A.6.2.4 安全服务管理
安全服务管理包含作为IDPS一部分的安全服务的管理。它包含控制用户证书、保密性、完整性和访问控制服务。根据用户的证书,访问权限可能受限,以限制对配置参数、审计跟踪以及与安全事态相关信息的访问。
A.6.2.5 与其他管理系统的集成
IDPS管理系统宜与受保护环境下的网络管理、系统管理和(或)安全管理系统有安全的接口,或成为这些管理系统中不可或缺的一部分。这对实现某种类型的检测功能(如访问日志)和某种类型的响应功能可能是必要的。重要的是不能单独选择或实现IDPS,因为IDPS管理功能宜与其他系统管理功能相结合。
A.6.2.6 管理操作的安全
A.6.2.6.1 总则
宜保护管理操作的安全,以防止入侵者访问IDPS中信息或控制IDPS的资源。IDPS管理的安全包括管理服务的鉴别、完整性、保密性和可用性。
运行IDPS管理特权的系统宜根据所要求的高安全级别安全策略(与其他管理系统所要求的安全策略相比较)进行配置。基于主机IDPS的传感器通常以操作系统特权模式运行,故而损害管理特权可能导致极为广泛的安全漏洞并可能损害运行IDPS代理的所有主机。IDPS,特别是基于主机的IDPS,管理特权安全漏洞的后果往往被忽略,而大多数商业产品对监视主机具有可执行指令的攻击响应选项。
监测事态检测器和传感器以确保正确的操作和功能对于成功的IDPS至关重要。事态检测器将来自传感器的信息传递到检测分析功能。未能保持这些设备的持续监视功能可能导致错误的安全感应,如传感器失效而中央系统(进而整个组织)未意识到这个技术故障。因此,中央系统将不会向仍认为一切良好的中央管理员发送报警或读数。
A.6.2.6.2 鉴别
在进行管理操作之前,宜对管理实体进行适当的识别和鉴别。管理实体可能是用户或系统实体。
A.6.2.6.3 完整性
宜保护管理操作以避免完整性攻击。不宜以未授权方式插入、删除或更改管理操作。
A.6.2.6.4 保密性
宜保护管理操作以避免保密性攻击。不宜以未未授权方式推测任何管理操作的意图。
A.6.2.6.5 可用性
针对网络基础设施、IDPS自身或监视目标的攻击不宜影响管理服务的可用性。例如在拒绝服务攻击发生时,IDPS的管理宜可行。即使IDPS发生故障,也宜可能对IDPS管理。IDPS及其管理宜纳入业务连续性规划过程。
A.6.3 管理模型
控制和管理对于成功实现入侵检测是必要的,特别是在使用大量入侵检测部件的分布式环境中。图A.3提供了一个实现分层管理模型的示例,该模型极适用于大型组织。在某些情况下,集中控制意味着单点失效,在一些环境中可能不会接受这种情况。它也会给攻击者一个单一的攻击点。这可能给了攻击者延迟攻击检测的机会,并阻止管理员采取适当的行动。
管理应用管理者代理IDPS代理管理者代理IDPS部件代理IDPS部件
图A.3 入侵检测管理模型
在分层模型中除了使用一对多集合,可能还使用其它合适的管理关系集合: ――多对多:多个管理控制台能管理多个分布式代理;
――一对多:一个管理控制台能管理多个分布式代理;
――一对一:一个管理控制台能管理一个代理。
A.7 实施和部署问题
A.7.1 简介
当决定需部署IDPS时,有很多重要的问题和考虑事项。所有的IDPS并不完全相同,因此,企业在对部署IDPS进行评价时,宜依据其IT风险管理和安全策略来考虑企业的要求。
A.7.2 效率
在对部署IDPS进行评价时,一个重要的考虑事项就是效率。评价IDPS效率的相关标准有:
――准确性:当IDPS把活动误认为攻击(如误报)或者IDPS把攻击误认为合法的活动(如漏报)时,就会出现误差。任何一种类型失败的数量与检测事态总数的比率都会明显地影响IDPS的可用性。误报与漏报的比率可能是一个重要的安全策略参数,并且可以指示分析执行情况的偏差。
――性能:IDPS的性能在于收集、存储和处理审计事态的速度。如果IDPS性能较差就不可能进行实时检测。性能的另一方面是IDPS可能产生的网络负载。
――全面性:当IDPS无法检测到攻击时,就会出现不全面性。这项措施与其它评价指标相比更加难以评估,因为全面地认识攻击或特权滥用是不可能的。
――容错性:IDPS自身宜能抵抗攻击,尤其是拒绝服务攻击,并且宜根据这种目标进行设计。这尤其重要,因为大多数IDPS运行在商用操作系统或硬件的顶层,众所周知这里易受到攻击。
――及时性:IDPS必须尽快执行并传送它的分析报告,以使安全负责人能在大量破坏造成前做出反应,同样也要阻止攻击者破坏数据、数据源或IDPS本身。
A.7.3 功能性
部署IDPS时,另一个重要的考虑事项是前面章节讨论过的功能性。下面将讨论一些功能性方面的内容:
――在加密或交换环境中使用,基于主机的IDPS能很好的适应加密和交换环境。由于基于主机的系统部署在企业的各种主机上,它们可以克服在交换和加密环境中部署基于网络的IDPS所面临的挑战。
――检测攻击,基于网络的数据源允许在攻击发生时通过提供数据检测恶意和可疑的攻击(如拒绝服务攻击)来实时检测和响应,并且也提供更快速的通知和响应。基于网络的IDPS能够检测到基于主机的系统遗漏的攻击。许多基于IP的拒绝服务和分段包攻击在网络中传输时仅能够通过查找包头才能识别它们。
――综合分析基于主机和基于网络的数据,一些IDPS利用主机和网络二者的数据源,从而集成了主机和网络的部件。正如6.1中的讨论,基于网络的和基于主机的IDPS解决方法具有各自独特的优势和长处,可以相互补充。因此,基于主机的和基于网络的入侵检测技术能够综合分析,以创建更强大的防御信息系统。
A.7.4 IDPS部署和操作人员
组织选择的IDPS可能是最先进的,并且IDPS子系统之间以及与组织的IT系统、服务和(或)网络都可以很好地集成。然而,大部分的功能宜由人员手动操作,这些人员接受过培训,并且了解入侵检测、IT安全(包括网络安全)以及组织的IT(包括网络拓扑结构和配置)。
入侵检测过程包括安装IDPS和拥有具备以下能力的人力资源:
――自定义IDPS以便能够发现与已部署IDPS的IT环境相关的事态;
――当报警消失时,解释IDPS要表达什么;
――为响应看起来真实的IDPS报警,制定策略和程序;
――纠正导致入侵成功的脆弱性。
这些人力密集型的操作超出了IDPS安装的范围,且宜成为入侵检测过程不可缺少的一部分。
分析功能分析由传感器收集的数据,以发现未授权或者可疑活动或事态的迹象,这些迹象可能表明正在探测/扫描网络、入侵已经发生或恶意攻击正在进行中。如果没有人工输入、配置、解释输出和调整IDPS的支持,自动化部分就不能够运行。
当IDPS被恰当的配置时,它提供宜被仔细分析的信息,从而了解网络中发生的入侵行为。IDPS要求密集的人员交互,而不是束手静待网络拒收那些不想要的数据包。IDPS要求技术熟练的人员能了解IDPS输出何时被认为仅仅是误报(合法的活动被作为入侵)或漏报(入侵活动发生,却被识别为非入侵)。
响应功能包括自动化工具和手动操作。例如,当前多数的IDPS根据预定义的报警严重性标准来对报警分类,却极少指出报警发生时宜做些什么。由于现今的大多数IDPS产生大量误报,并且在大多数情况下第一级别的响应会涉及到相当缺乏经验的操作人员,从而导致这种状况进一步加剧。即使组织有幸拥有兼备知识和经验的操作人员,他们也不可能知道如何恰当地响应每一种检测到的入侵。另一方面,在事态迅速扩展的紧张时期,对IDPS报警快速反应是非常重要的。由于上述和其它原因,为操作人员提供经周密考虑、能概述对特定类型IDPS报警宜采取应对步骤的指南极为重要。如果这些指南不可用,那么对IDPS报警的响应可能不充分、组织混乱或过度反应。完全依赖自动响应机制是不明智的。
通过匹配已知漏洞的有效载荷模式或者通过恶意字节码特征,IDPS可能会检测到零日漏洞,在这种非常规状况下,人员宜与适当的供应商进行协调,让其知道一个未知的新漏洞已被发现且该漏洞正在攻击组织的网络。
A.7.5 其他实施考虑
当考虑实施、操作、集成和选择IDPS时,还有其他的重要特性如下所示:
――用户接口;
――网络传感器的布局,网络传感器能被灵活放置以支持一系列的检测和响应策略,如检测攻击企图的外部防火墙;
――系统故障容错,系统完整性是最重要的关注点,拒绝服务是攻击的一个例子。如可能,IDPS传感器、监视器和管理者之间的通信宜在被监视网络之外的独立网络中进行。这将会提高安全性和可用性;
――IDPS的保证;
――易用性,如方便使用;
――IDPS的可测量性;
――与其他安全产品的互通性;
――供应商支持的级别和质量;
――管理,IDPS不是即插即用设备,通常要求技术人员分析和解释IDPS输出;
――硬件和软件需求; ――文档;
――成本,除软件、硬件和安装成本之外,还有教育、培训、操作和维护的成本。
A.8 入侵检测问题
A.8.1 入侵检测和隐私
隐私已经成为使用IDPS的问题。当查找隐含恶意和可疑内容的攻击特征或特定模式时,识别或检测入侵要求的网络传输分析和(或)操作系统审计痕迹。
收集的网络流量或事态数据可包含一些个人数据,即与特定人员有关的数据。硬件或IP地址可能是以上数据的一个示例。因此,入侵检测可能成为监视使用者和他们行为的工具。若入侵检测被用于检测“内部”入侵者即组织中的员工,宜考虑其影响。
如果使用入侵检测,宜考虑反映隐私挑战的三个原则:
――入侵检测必须符合数据或系统保护的目的;
――数据收集(网络包、审计日志)必须充分满足保护的目的;
――宜开发和应用策略,该策略涵盖对IDPS收集的个人信息隐私进行保护的要求。
第一个方面意味着入侵检测不需要用作监督员工行为的工具。
第二个方面指出宜仅收集和分析对识别攻击必要的数据。将事态数据与IDPS的攻击特征比较后,宜删除不再需要的数据或未显示攻击迹象的数据,显示攻击迹象的相关数据宜通过安全的方式存储。然而,在有些情况下删除数据可能是不恰当的,事态数据可能需要存档以便后续进行检查,如为了追溯攻击者或为了日后进行取证分析。一些数据起初看起来可能是良性的。进一步分析后,它可能被证明与攻击相关。后来收集的相关数据也可能被证明与攻击相关。在任何情况下,宜加强保护数据以避免多种目的的访问,包括隐私。所采取的行动宜与组织的安全策略一致。
数据宜按照策略存储一段时间,然后安全销毁以保护所有相关方的隐私。这段时间给了取证和法律强制执行大量的时间进行调查,并且在将来可能遭受未授权访问的系统中,不会留下不再需要的敏感数据。
第三个方面意味着需要依据组织的全局隐私策略和(或)任何适用于敏感个人信息的法律,保护和管理个人信息隐私。
目前,很少有专门的与入侵检测相关的法律和规章要求。期望法律或规章为个人提供适当的隐私保护,同时允许IDPS和相关事态日志收集和使用足够的数据来识别潜在的破坏性入侵。一些国家的规章已经包含足够的标准,以及使用个人数据的相关用途。一些国家有关于保护工作人员个人数据的规章,以及工作人员参与其个人数据隐私权利的规章。另外,不同的国家关于跨境数据流的规章和条约可能影响入侵检测和隐私。
如果法律和规章要求监视人员的活动,如通过事态日志和特定IDPS传感器/监视器代理,那么宜明确通知员工和承包商,并且在操作开始之前得到确认。这可通过签订雇佣合同条款、特定文件或电子通知的形式实现。
A.8.2 入侵数据的共享
共享入侵数据和IDPS使用经验对所有正积极使用IDPS的组织都是有益的。例如,通过对许多其他组织的类似入侵进行分析,使得一些组织对入侵的早期预警是可能的,或一种新型入侵的信息将对其他许多组织非常有用。使用IDPS的经验信息可能帮助其它组织来改善他们的IDPS操作。
然而,人们认识到,大多数组织就已影响其IT系统进而影响其业务操作的入侵公共知识予以普及达成共识。这些公共知识小到可能引起误解,大到影响商业,如盈利、股价。基于这点,对组织来说,最恰当的做法是参与合作方案,从而净化入侵的信息来源和IDPS的使用信息,使其匿名。这些方案是建立在收集匿名知识和用于服务IDPS社区数据库信息的基础之上。这种入侵检测数据库宜用来:
――协调脆弱性配置、入侵类型和利用这些配置的指令的详细信息;
――处理大量关于某个入侵样本的信息,以便在先决条件、影响、踪迹、困难、补救措施等方面对入侵类型做出正确的声明;
――如果两种类型的观察踪迹明显不同,则存储有关入侵类型的技术数据,并共享二者之间的主要差异;
――确保踪迹信息是支持下载新的入侵描述的结构化格式;
――当发现新的脆弱性时,更新规则和(或)变更参数;
――能够提取自动生成可识别新入侵的新规则(如签名、参数等)。
IDPS数据库可被比作现代病毒检测系统,后者通常具有基于网络的自动更新功能。
入侵数据库并不是入侵事件数据库,后者存储有关攻击案例证据。
在GB/T 32920-2016中详细列出了共享事件信息的考虑事项。数据模型、格式和安全交换协议已经在IETF中开发和标准化,以促进入侵数据的自动交换。国际自动化标准包括RFC5070事件对象描述交换格式(IODEF)、RFC6545实时网络防御(RID)和RFC6546实时网络防御的传输。
发布者:admin,转转请注明出处:http://www.yc00.com/news/1688821147a173187.html
评论列表(0条)