入侵檢測系統(tǒng)的發(fā)展方向

文/ 楊望

入侵檢測這個(gè)名詞自上世紀(jì)80年代誕生以來，已經(jīng)走過了30多個(gè)年頭，中間經(jīng)歷了Gartner公司所謂“IDS已死”宣告的最艱難時(shí)刻，雖然一直未曾擺脫“花瓶”的詬病，但伴隨入侵檢測開發(fā)出的各項(xiàng)技術(shù)已經(jīng)實(shí)際應(yīng)用在了“下一代防火墻”等各種實(shí)際的安全環(huán)境中，而研究者也一直未放棄各種入侵檢測技術(shù)的研究。RAID（Recent Advance in Intrusion Detection, 入侵檢測的最近進(jìn)展）會(huì)議自1998年開始舉辦，已經(jīng)成為了入侵檢測研究領(lǐng)域最重要的會(huì)議之一。本文通過對RAID 2012會(huì)議發(fā)表的論文總結(jié)，簡單介紹在入侵檢測技術(shù)研究領(lǐng)域的最新方向。

大數(shù)據(jù)挖掘

大數(shù)據(jù)是目前網(wǎng)絡(luò)安全的熱門話題，入侵檢測也不例外。傳統(tǒng)的入侵檢測關(guān)注邊界的數(shù)據(jù)，而現(xiàn)在各組織更加關(guān)注內(nèi)部的大數(shù)據(jù)——日志數(shù)據(jù)。這一類的研究目前大多集中在大型IT公司或運(yùn)營商內(nèi)部，利用第一手的各類日志數(shù)據(jù)進(jìn)行挖掘研究。今年的RAID 2012會(huì)議中來自美國最大的ISP運(yùn)營商AT&T的研究人員基于網(wǎng)絡(luò)設(shè)備的訪問日志設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)特殊的入侵檢測系統(tǒng)ALERT-ID。對于運(yùn)營商而言，數(shù)以萬計(jì)的路由器、交換機(jī)和防火墻等網(wǎng)絡(luò)設(shè)備是最重要的保護(hù)對象，如果被人惡意篡改了這些設(shè)備的規(guī)則，就可能造成嚴(yán)重的拒絕服務(wù)或者隱私泄漏攻擊。文章研究者基于設(shè)備的訪問日志從三個(gè)方面研究了網(wǎng)絡(luò)設(shè)備的訪問行為。首先是失敗登錄嘗試，一般而言，這是最容易被想到的行為，正常用戶不會(huì)輸錯(cuò)密碼或者只會(huì)錯(cuò)一兩次，而多次的輸入密碼錯(cuò)誤就意味著一次可能的暴力密碼攻擊。其次是登錄訪問行為，作者從登錄地址、賬戶的關(guān)系以及“跳板” （stepping-stone）行為來分析建立每臺設(shè)備的正常用戶行為。一般而言，每臺設(shè)備的管理者應(yīng)該從相對固定的IP或者子網(wǎng)來使用相同的賬號進(jìn)行登錄，當(dāng)然由于設(shè)備的性質(zhì)不同，每臺設(shè)備上的管理者的行為也可能不同，所以這里需要為每臺設(shè)備建立自己的管理者登錄行為模型。“跳板”是一種比較特殊的登錄行為，用戶并不直接從自己的主機(jī)登錄網(wǎng)絡(luò)設(shè)備，而是登錄到其他網(wǎng)絡(luò)設(shè)備后再跳轉(zhuǎn)到最終的網(wǎng)絡(luò)設(shè)備。“跳板”行為在正常的網(wǎng)絡(luò)管理中并不常見，所以也被作為行為模型的重要依據(jù)。最后作者為每個(gè)用戶（賬號）的行為建立模型。每個(gè)用戶（賬號）登錄設(shè)備的時(shí)間、頻率、以及其在設(shè)備上執(zhí)行的操作都應(yīng)該有其規(guī)律性，文章作者依據(jù)這些因素來檢查賬號的行為是否符合正常。對于作者采用的算法而言，依然是傳統(tǒng)的基于統(tǒng)計(jì)的異常檢測方法，主要的創(chuàng)新在于將算法應(yīng)用到了大型運(yùn)營商的網(wǎng)絡(luò)管理行為中。

信息聯(lián)動(dòng)

入侵檢測系統(tǒng)一般各看各家，每家的系統(tǒng)只管自己的網(wǎng)絡(luò)，但現(xiàn)實(shí)中的攻擊卻往往是遍地開花，因此入侵系統(tǒng)之間的信息共享和聯(lián)動(dòng)往往能借他人的信息，保自己的安全。入侵檢測系統(tǒng)Bro的開發(fā)團(tuán)隊(duì)提出了一個(gè)開放的框架為入侵檢測系統(tǒng)添加實(shí)時(shí)情報(bào)共享的功能。Bro的開發(fā)者指出，盡管目前在一些大型組織內(nèi)部，已經(jīng)開始建立了基于聯(lián)邦制的信息共享平臺，但這些信息平臺的共享目前還不能很好地和入侵檢測系統(tǒng)聯(lián)動(dòng)起來。究其原因是，信息是動(dòng)態(tài)產(chǎn)生的，但入侵檢測系統(tǒng)的規(guī)則是靜態(tài)的，大多數(shù)的入侵檢測系統(tǒng)更新規(guī)則需要規(guī)則的重新編譯和系統(tǒng)的重啟過程，因此所謂的信息聯(lián)動(dòng)也只能是一個(gè)半實(shí)時(shí)的過程。為了真正實(shí)現(xiàn)信息的聯(lián)動(dòng)，研究人員提出需要將共享的信息實(shí)時(shí)加入到入侵檢測系統(tǒng)的決策和響應(yīng)過程中，并基于Bro的實(shí)現(xiàn)模型提出了一個(gè)開放的框架，該框架可以接受任何符合JSON格式輸入的實(shí)時(shí)信息，并在運(yùn)行環(huán)境證明該框架對系統(tǒng)造成的性能損失有限。

專業(yè)領(lǐng)域的檢測

除了通用的入侵檢測技術(shù)，在各種專門領(lǐng)域的入侵檢測技術(shù)是RAID討論的熱點(diǎn)。來自比利時(shí)的研究人員討論了針對Flash文件的各類ActionScript攻擊代碼，并基于常見CVE漏洞攻擊技術(shù)的特征提出了一種基于樸素貝耶斯網(wǎng)絡(luò)進(jìn)行合法與惡意代碼的分類的算法。來自盧森堡的研究人員則討論了釣魚域名的響應(yīng)方法。常見的釣魚域名響應(yīng)是發(fā)現(xiàn)釣魚網(wǎng)站的攻擊后再將該域名加入黑名單，可這時(shí)往往釣魚網(wǎng)站已經(jīng)造成了對用戶的傷害和損失。研究人員提出根據(jù)歷史釣魚域名的特征進(jìn)行分詞重構(gòu)以推測可能出現(xiàn)的新的釣魚域名，并即時(shí)監(jiān)控域名注冊信息，一旦這些被預(yù)測的釣魚域名被注冊，就可以立即被發(fā)現(xiàn)并做出響應(yīng)。隨著計(jì)算機(jī)技術(shù)的發(fā)展，一些意想不到的領(lǐng)域也應(yīng)用了入侵檢測技術(shù)，如智能電網(wǎng)。來自喬治亞理工學(xué)院的研究人員提出了專門針對智能電網(wǎng)的入侵檢測技術(shù)來解決電網(wǎng)領(lǐng)域中一種特殊的入侵——竊電。研究人員將傳統(tǒng)的統(tǒng)計(jì)算法應(yīng)用到智能電表的電量觀測值變化上，通過觀測值與歷史值的比較來評估是否竊電現(xiàn)象的發(fā)生。