首页 资讯 技术 智能 工程 市场 科技 其它

报警

下栏目: 监控 报警 数字 前沿

入侵侦测系统的侦测限制

来源:网络整理 热度:℃ 时间:08-10
摘要:关于入侵侦测系统的侦测限制的描述:入侵侦测系统技术目前仍然被视为「尚未完全建全」的状态,以科技的角度来看,的确是还有一些缺点及距离。以下将为大家介绍的

今日的入侵侦测系统(Intrusion Detection System)产生为数过多的,但却缺乏有效过滤、筛选及相互关联资料的技巧及能力。尽管入侵侦测系统能带来各项优点,但在此要特别强调的是,建置入侵侦测系统对企业在加强安全上而言,并不是万无一失的。企业在还没有对安全有相当成熟的基本观念及处理程序之前,建置入侵侦测系统时会面临较多的困难。因为今日的入侵侦测系统其侦测攻击事件是依据入侵攻击的特徵资料(attack pattern/signature)而不是依据使用行为(behaviour)的方式,所以入侵侦测被局限在事先定义的系统事件下。另外,管理控制台(management console)无法有效地管理无限制数量的监听装置(sensor/engine),而且也无法支援相互关联於来自多个不同来源的资料;目前的入侵侦测系统所提供的资料相互关联回报大多是建立在预先设计好的范本(template),这样的回报方案是很有帮助的,但却是有限的。

在现今的入侵侦测系统有一项优点就是能够提供十分丰富的,但相对却也是其最大的缺点-无法有效处理为数过多的资料。入侵侦测系统核心程式所需的过滤、筛选及建立相互关联资料的技巧尚未被成熟地开发问世。这样的技巧需要有将政策(policy)翻译成为规则,并将规则套用至不同监听装置上的能力,而且要有能力将监听装置部署在能取得最佳监听的位置。这意味著监听装置的微调以及其位置部署最佳化仍需被开发,而这些解决方案尚停留在研究开发的阶段中。目前入侵侦测系统在建置上所面临的这些问题是迟早会被解决的,但是企业在现阶段,必须将这些问题提前考虑到入侵侦测系统的建置生命周期中。

目前入侵侦测系统少了什么?
入侵侦测系统技术目前仍然被视为「尚未完全建全」的状态,以科技的角度来看,的确是还有一些缺点及距离。以下将为大家介绍的是我们期望入侵侦测系统所能带来的功能,但却是在目前的商业入侵侦测系统套装产品中还无法完全克服的瓶颈。

分布式大规模环境监控
在一个大规模分布式的网络环境中,结合不同的入侵信息以判断是否有大规模的攻击正在进行是非常困难的。一个多层次的回报系统可以协助合并来自于不同网络区段所产生的入侵信息是非常重要的。但这并不容易克服,因为一个单一的入侵侦测系统的管理控制台(management console)仅能有效地管理为数有限的监听装置(sensor/engine)。一般来说,每个管理控制台可以连接管理约10至20个监听装置,有些厂商号称可以连接管理30个以上至50个不等的监听装置,但其实际的数量应撒于各企业的网络环境及建置经验,以评估建置多少个监听装置才是最佳的数量。然而在一个大规模的网络环境中,上百个监听装置是必需的,而数十个管理控制台也是无可避免的,所以管理这些系统的管理者也将会有十分沉重的负担。

事件间的相互关联性
要将各个不同网络区段上的网络端及主机端入侵侦测系统所侦测到的活动,进行相互关联,对判断攻击事件上是十分有帮助而且很重要的功能。现在举个例子,假设攻击者以一个小时才对一个端口或一个IP地址进行慢速的端口扫描,并以这样的方式对多个不同的IP地址进行扫描,此时各个入侵侦测系统对这种方式的慢速攻击是非常难侦测出来的。所以如果这些来自于不同地址的主机能将其各自所侦测到的事件相互关联的话,那入侵攻击方式的特征(attack pattern)就会较容易被察觉出来。研究专家认为,未来的入侵侦测系统将会依赖异常使用侦测方式(Anomaly Detection)来判断在正常使用之外的可疑活动。[nextpage]

使用异常使用侦测方式的入侵侦测系统将在事件相互关联上有较好的成效,因为它在察觉入侵攻击的能力不是建立在入侵方式的特征资料,而使建立在侦测异常的使用行为。异常使用侦测方式的入侵侦测系统目前尚未广泛地在商业入侵侦测系统套装产品上被应用。结合异常使用侦测技巧的入侵侦测系统将会显著地提升在侦测未知攻击方式之特征的能力。当然其可管理性也将会成为另一个考量,因为这样的系统会产生更加庞大的资料量,因此也会需要更多的时间及更高的计算机运算能力来监听异常使用的活动。

降低警讯误判的频率
无论任何警卫系统都会产生错误的警讯判断,入侵侦测系统当然也不会例外。即使当时毫无任何入侵行为发生,它们可能还是会回报有疑似入侵攻击的行为正在进行中;这样的误判警讯在进行调查及解决时是非常耗时的。降低误判警讯的关键全在于监听装置(sensor/engine)的部署位置及微调监听装置,以期有效对应到所制定的政策(policy)。过滤攻击事件的政策(policy)必需很清楚明确地制定,以有效协助监听装置进行微调工作。因为各个监听装置间会产生相对的互动,适当的部署位置及微调将会变得较为复杂,反而因此需要解决因这样的互动所导致的误判警误。

目前入侵侦测系统少了什麽?
交换式网路环境下的监听
目前网路端入侵侦测系统产品在监听交换式网路环境上有其困难。交换式网路环境所产生的问题为∶ 应该监听交换集线器(Switch)的那一部份?(例如∶Cisco 提供一个专门监听的连接埠)如果网路区段之间有不协调的频宽速度时会如何?(例如∶网路骨干是采用100Mbps,而虚拟区域网段(Virtual LAN)或交换网路区段(switched segment)采用的是10Mbps),可能在这样的状况下遗失。

有什麽可以改善封包的遗失?因为封包一旦错误并不会在监听埠上重现。应该如何处理当入侵侦测系统连接有速限的监听埠时所造成的额外流失?因为监听埠并无能力处理所有连接超过20Mbps速限的网路端入侵侦测系统。

未来的入侵侦测系统产品在监听交换网路的能力上将会有较好改善。较理想、可改善交换网路监听的速度及品质的方式,便是将入侵侦测的核心引擎(intrusion detection engine)与入侵攻击特徵(attack pattern)的辨识系统分隔开。不过,这样的分隔建置在技术上要达到是十分困难的,因为必须要将较高速且高效能的入侵侦测系统建置在硬体及可程式化的特定应用整合线路(Application-Specific Integrated Circuits - ASICs)平台上。注∶ASIC是特别设计用以执行特定应用程式的硬体晶片,执行效能较一般的处理晶片(CPU)效率更高。

建置及运作上的困难
入侵侦测系统的建置是十分困难的,主要原因出在建置所需的各项资源及技术上的复杂程度;当然这也可以说是所有安全系统建置上所共同面临的问题。入侵侦测系统建置的困难,主要是因为对建置小组而言产生过多的警讯报告。尤其是在初期的建置阶段,警讯报告的过多及重覆性将会把整个企业给淹没。要解决建置上的困难可以考虑采用以下的建议∶ 事先规划完善的整体架构,事先规划有效的紧急事件反应能力及作业流程。从别人的经验中学习。

当入侵侦测系统一旦正式开始上线运作,系统升级维护及警讯评估调查所需的资源及人力将会是另一项不可低估轻视的工作。网路专家及调查专家需要评估判断各项警讯以决定是否需要采取进一步的行动。 [nextpage]

对未知攻击方式的有限侦测
不论是网路端或是主机端入侵侦测系统,目前皆是依赖已知的攻击手法以及过去所曾发生过的攻击方式。新颖的攻击技巧将会为系统带来意外,正如同防毒侦测软体一样,无法有效地侦测到未知的病毒,除非病毒特徵(virus signature/pattern)已经更新并包含到防毒软体之中。较完善的入侵侦测产品厂商会迅速地对最新的攻击手法做回应并且更新其产品,厂商应提高更新入侵攻击特徵资料的频率,改以每日或双周更新而非每月或每三个月的方式。期望未来的产品能够让使用者自行决定是要使用异常使用侦测方式(Anomaly Detection)或是使用不当使用侦测方式(Misuse Detection),而且未来的产品将能提供使用者即时的自定异常使用或不当使用的功能;对入侵侦测的效果将会有明显的提升。

目前入侵侦测系统少了什麽?
缺乏产品间的整合运作性
目前尚无正式的业界标准规范来协助入侵侦测系统的建置,然而缺乏标准将会影响到部份企业期望混合使用多项来自於不同厂商的入侵侦测方案,以及确保在不同厂商之间的入侵侦测系统可以相互整合运作。虽然部份厂商的产品支援通用入侵侦测架构(Common Intrusion Detection Framework - CIDF),但是尚未普遍。由於通用入侵侦测架构定义著组成入侵侦测系统之通用元件的规格,若是能被业界广泛的采用,那将会确保不同的入侵侦测系统可以互相运作沟通。

系统部署位置及进阶微调工具
目前仅有少数的工具能帮助企业对入侵侦测系统的建置管理进行微调,而大部份这些工具都是由入侵侦测系统厂商所提供的。因此越多的企业建置这样的技术,厂商们将会开发更多相关的建置范本以帮助其他的企业简化建置微调的程序。

适切的事件回应
未来理想的入侵侦测系统应该包含一个警讯自动回应系统,以提供系统在面对入侵攻击时可以独立执行应对之策。但是目前由於以下几项原因,并不建议采用警讯自动回应系统∶ 这样的系统设定将会非常复杂,因为面对数量过大的系统设定,在管理上将会非常困难, 数量庞大的误判警讯只会增加系统的复杂度。

在未来,警讯自动回应系统将会影响整体的安全架构,包含自动重新设定网路元件以配合入侵侦测系统,例如防火墙的设定,过滤路由器(filtering routers),网路管理及作业系统等。

加密後的网路封包
网路端入侵侦测系统无法对加密(encrypted)过後的网路封包进行分析检视,所以入侵侦测仅能等网路封包到达主机端并经过解密(decrypted)後才能有效地发挥其功能。

加密功能
许多入侵侦测系统产品在管理控制台与监听装置之间传递时,并不会对资料进行加密,因此这些有可能会被窃取、删除或是被修改,然而攻击者有可能利用这些来掩饰他们的行迹,或是截取系统的弱点,而用来计划进一步的攻击。如果安全对一个企业环境而言是一项非常重要考量时,将这样的加密将会是一项很有效且安全的作法。

IDS的明天
尽管这些技术性上的不足,但是我们仍然可以在一些过滤效力较高、仅会收集并回报有限事件的系统上,看到入侵侦测系统所能带来的优点以及不断提升的系统安全。有限的自动事件侦测及记录档案分析当然会比完全没有这样的功能要来的好,但是除非入侵侦测系统的产品厂商能够克服上述的各项瓶颈,不然入侵侦测系统的应用将还是会有所局限。

上一篇:入侵侦测系统的基本介绍(下)

下一篇:没有了

最热资讯