入侵检测系统的发展方向
2013-10-25杨望
文/ 杨望
入侵检测这个名词自上世纪80年代诞生以来,已经走过了30多个年头,中间经历了Gartner公司所谓“IDS已死”宣告的最艰难时刻,虽然一直未曾摆脱“花瓶”的诟病,但伴随入侵检测开发出的各项技术已经实际应用在了“下一代防火墙”等各种实际的安全环境中,而研究者也一直未放弃各种入侵检测技术的研究。RAID(Recent Advance in Intrusion Detection, 入侵检测的最近进展)会议自1998年开始举办,已经成为了入侵检测研究领域最重要的会议之一。本文通过对RAID 2012会议发表的论文总结,简单介绍在入侵检测技术研究领域的最新方向。
大数据挖掘
大数据是目前网络安全的热门话题,入侵检测也不例外。传统的入侵检测关注边界的数据,而现在各组织更加关注内部的大数据——日志数据。这一类的研究目前大多集中在大型IT公司或运营商内部,利用第一手的各类日志数据进行挖掘研究。今年的RAID 2012会议中来自美国最大的ISP运营商AT&T的研究人员基于网络设备的访问日志设计并实现了一个特殊的入侵检测系统ALERT-ID。对于运营商而言,数以万计的路由器、交换机和防火墙等网络设备是最重要的保护对象,如果被人恶意篡改了这些设备的规则,就可能造成严重的拒绝服务或者隐私泄漏攻击。文章研究者基于设备的访问日志从三个方面研究了网络设备的访问行为。首先是失败登录尝试,一般而言,这是最容易被想到的行为,正常用户不会输错密码或者只会错一两次,而多次的输入密码错误就意味着一次可能的暴力密码攻击。其次是登录访问行为,作者从登录地址、账户的关系以及“跳板” (stepping-stone)行为来分析建立每台设备的正常用户行为。一般而言,每台设备的管理者应该从相对固定的IP或者子网来使用相同的账号进行登录,当然由于设备的性质不同,每台设备上的管理者的行为也可能不同,所以这里需要为每台设备建立自己的管理者登录行为模型。“跳板”是一种比较特殊的登录行为,用户并不直接从自己的主机登录网络设备,而是登录到其他网络设备后再跳转到最终的网络设备。“跳板”行为在正常的网络管理中并不常见,所以也被作为行为模型的重要依据。最后作者为每个用户(账号)的行为建立模型。每个用户(账号)登录设备的时间、频率、以及其在设备上执行的操作都应该有其规律性,文章作者依据这些因素来检查账号的行为是否符合正常。对于作者采用的算法而言,依然是传统的基于统计的异常检测方法,主要的创新在于将算法应用到了大型运营商的网络管理行为中。
信息联动
入侵检测系统一般各看各家,每家的系统只管自己的网络,但现实中的攻击却往往是遍地开花,因此入侵系统之间的信息共享和联动往往能借他人的信息,保自己的安全。入侵检测系统Bro的开发团队提出了一个开放的框架为入侵检测系统添加实时情报共享的功能。Bro的开发者指出,尽管目前在一些大型组织内部,已经开始建立了基于联邦制的信息共享平台,但这些信息平台的共享目前还不能很好地和入侵检测系统联动起来。究其原因是,信息是动态产生的,但入侵检测系统的规则是静态的,大多数的入侵检测系统更新规则需要规则的重新编译和系统的重启过程,因此所谓的信息联动也只能是一个半实时的过程。为了真正实现信息的联动,研究人员提出需要将共享的信息实时加入到入侵检测系统的决策和响应过程中,并基于Bro的实现模型提出了一个开放的框架,该框架可以接受任何符合JSON格式输入的实时信息,并在运行环境证明该框架对系统造成的性能损失有限。
专业领域的检测
除了通用的入侵检测技术,在各种专门领域的入侵检测技术是RAID讨论的热点。来自比利时的研究人员讨论了针对Flash文件的各类ActionScript攻击代码,并基于常见CVE漏洞攻击技术的特征提出了一种基于朴素贝耶斯网络进行合法与恶意代码的分类的算法。来自卢森堡的研究人员则讨论了钓鱼域名的响应方法。常见的钓鱼域名响应是发现钓鱼网站的攻击后再将该域名加入黑名单,可这时往往钓鱼网站已经造成了对用户的伤害和损失。研究人员提出根据历史钓鱼域名的特征进行分词重构以推测可能出现的新的钓鱼域名,并即时监控域名注册信息,一旦这些被预测的钓鱼域名被注册,就可以立即被发现并做出响应。随着计算机技术的发展,一些意想不到的领域也应用了入侵检测技术,如智能电网。来自乔治亚理工学院的研究人员提出了专门针对智能电网的入侵检测技术来解决电网领域中一种特殊的入侵——窃电。研究人员将传统的统计算法应用到智能电表的电量观测值变化上,通过观测值与历史值的比较来评估是否窃电现象的发生。