APT檢測是IDS發展方向

網絡安全的高速發展給網絡設備和網絡應用市場帶來了前所未有的機遇，然而機遇與挑戰并存，網絡安全市場雖然迎來了一個快速發展的機會，但是由于網絡延伸的速度超出了人們的預想，網絡安全問題表現出越來越復雜的狀態，給網絡應用市場的前進帶來了新的困難，想要發展網絡應用市場的前提是如何建立可管理、可控制、可信度高的網絡環境。

隨著網絡技術發展速度日趨加快，入侵手段也從原來的單一入侵演變成現在的混合型威脅，以往的防護手段已經無法滿足網絡安全的需要。信息安全建設不得不提出新的理念，那就是切實可行的為用戶提供立體防護體系，這樣的體系不僅要局部安全、全局安全、智能安全，而且還要多層次、全方位保護網絡信息的安全。正是由于網絡安全面臨著各種各樣的入侵威脅，能夠實現網絡的實時監控是現下我們的首要任務。

傳統的安全防護有防火墻等手段，但防火墻本身容易受到攻擊，且對于內部網絡出現的問題經常束手無策。防火墻是一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。但是目前的網絡入侵技術多是動態的，不會按照人們的預期出現在指定的位置，防火墻技術在實際應用中暴露出無法預防這些網絡入侵的缺陷，它只能提供靜態的網絡防護。根據調查顯示來自于網絡內部的入侵行為在網絡攻擊中占有一半以上的比率，而防火墻技術只能攔截到來自于網絡外部的攻擊。與此同時網絡的攻擊還有可能來自于病毒，像蠕蟲病毒等的攻擊，防火墻技術明顯表現的力不從心。基于網絡入侵的上述特性，加之防火墻不能很好的滿足現今網絡安全的需求，那么就目前情況針對網絡安全問題如何通過實現網絡監測來達到來保護對網絡環境安全就成為目前的重中之重。入侵檢測系統的出現是為了彌補防火墻的不足，能夠為網絡安全提供實時的入侵檢測，通過跟蹤入侵發現攻擊行為及時采取有效的防護手段，進行網絡的恢復或斷開連接等操作。如果說防火墻是網絡環境的大門，那么入侵檢測系統就是網絡環境的監控。

入侵檢測系統，英文Intrusion detection system的縮寫，簡稱IDS。它是一種全方位的網絡安全設備，它通過分析來自網絡傳輸信息的若干關鍵點的信息能，實現對網絡的實時監控，并且能從收集到的信息中即時發現并處理傳輸過程中的可疑信息，告知用戶采取主動反應措施。網絡安全可能受到的攻擊包括沒有訪問權限的非法用戶，也就是我們經常所說的黑客（hackers），還有就是來自網絡內部，雖然有訪問網絡的許可，但是卻非法使用網絡的用戶（insider threat），對于這些可能發生的攻擊入侵檢測系統都能及時有效的發現。入侵檢測系統是一種積極主動的實時檢測技術，它的出現改變了以往的靜態防護模式，能夠發現動態入侵企圖，這點與其他一些網絡安全設備有著相當大的差別。入侵檢測的研究最早可以追溯到20世紀80年代，1980年，James P.Anderson的《計算機安全威脅監控與監視》(《Computer Security Threat Monitoring and Surveillance》)第一次詳細闡述了入侵檢測的概念;提出計算機系統威脅分類;提出了利用審計跟蹤數據監視入侵活動的思想，他將入侵行為劃分為外部闖入、內部授權用戶越權使用和濫用。入侵是指任何試圖破壞資源完整性、機密性、可用性的行為，還包括用戶對系統資源的誤用。1984年到1986年，喬治敦大學的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一個實時入侵檢測系統模型--IDES(入侵檢測專家系統)。1987年DorothyE Denning提出了入侵檢測的模型，首次將入侵檢測作為一種計算機安全防御措施提出。1988年之后，美國開展對分布式入侵檢測系統(DIDS)的研究，將基于主機和基于網絡的檢測方法集成到一起。DIDS是分布式入侵檢測系統歷史上的一個里程碑式的產品。1989年，加州大學戴維斯分校的ToddHeberlein發表論文《ANetworkSecurityMonitor》，該監控器用于捕獲TCP/IP分組，第一次直接將網絡流作為審計數據來源，因而可以在不將審計數據轉換成統一格式的情況下監控異種主機，網絡入侵檢測從此誕生。1990年，加州大學戴維斯分校的L.T.Heberlein等人開發出了NSM(Network Security Monitor)，該系統第一次直接將網絡流作為審計數據來源，因而可以在不將審計數據轉換成統一格式的情況下監控異種主機。入侵檢測系統發展史翻開了新的一頁，兩大陣營正式形成：基于網絡的IDS和基于主機的IDS。隨著目前攻擊的多樣化、復雜化，入侵檢測技術也在飛速地發展，目前入侵檢測技術已經成為網絡安全領域內研究的熱點。總體來說，入侵檢測系統的發展經歷了五個階段：最早的是基于主機的入侵檢測系統，如IDES；基于多主機的入侵檢測系統，如NIDES；基于網絡入侵檢測系統，如NSM；分布式入侵檢測系統，DIDS；以及面向大規模網絡的入侵檢測系統。

盡管入侵檢測系統（IDS）發展迅速，但是還是常受到專家和用戶詬病。Gartner就一直不看好入侵檢測系統（IDS），在多份報告中對IDS提出非議。2003年 Gartner公司副總裁Richard Stiennon發表《入侵檢測已壽終正寢，入侵防御將萬古長青》。Gartner指出入侵防御要替代入侵檢測報告引發的安全業界震動，而在另一份《2003年：信息安全的炒作周期》的報告中，Gartner稱入侵檢測系統是一次市場失敗。受Gartner報告的影響，IDS倍受攻擊。至今關于入侵檢測系統與入侵防御系統之間關系的討論已經趨于平淡，2006年IDC年度安全市場報告更是明確指出入侵檢測系統和入侵防御系統是兩個獨立的市場，給這個討論畫上了一個句號。可以說，目前無論是從業于信息安全行業的專業人士還是普通用戶，都認為入侵檢測系統和入侵防御系統是兩類產品，并不存在入侵防御系統要替代入侵檢測系統的可能。

IDS技術采用了一種預設置式、特征分析式工作原理，所以檢測規則的更新總是落后于攻擊手段的更新。IDS缺乏準確定位和處理機制，IDS僅能識別IP地址，無法定位IP地址，不能識別數據來源。IDS系統在發現攻擊事件的時候，只能關閉網絡出口和服務器等少數端口，但這樣關閉同時會影響其他正常用戶的使用。因而其缺乏更有效的響應處理機制。缺乏基于行為的0DAY分析能力是用戶對入侵檢測系統（IDS）不滿意最集中的一點。筆者以為如果IDS將APT檢測作為其主要功能方向將大大增強這一弱點。

APT（Advanced Persistent Threat）即高級持續性威脅是一種利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊的原理相對于其他攻擊形式更為高級和先進，其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網絡，并利用0day漏洞進行攻擊。社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。針對被鎖定對象發送幾可亂真的社交工程惡意郵件，使用者只要一時不察，就可能會讓自己的計算機被植入惡意程序。通過電子郵件附件進行的APT攻擊，已成為單位聞之色變的主要入侵方式。從一些受到APT攻擊的大型單位中可以發現，這些單位受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客針對某些特定員工發送釣魚郵件，以此作為使用APT攻擊的源頭。

如今，信息化與日常生活工作結合的愈發緊密，單位業務對信息系統越來越依賴，安全的邊界已經從傳統的網關、桌面終端延續到任何應用及業務可能到達的每一個節點，基于漏洞的APT攻擊可能就潛伏在我們身邊。由于員工缺乏信息安全方面的素養，對黑客入侵方式如什么是釣魚郵件、釣魚連接和釣魚電話等新入侵方式的認識。如大部分的網絡釣魚訊息，目的是希望讓人進入會收集個人資料的惡意網站，由于這些電子郵件或其它形式訊息都是用HTML格式，使用者在點選鏈接前，只要將鼠標箭頭停在這些鏈接上，就可以在瀏覽器狀態列上，看到實際網址(通常在瀏覽器或電子郵件軟件視窗的底部)，而大部分員工不認得這些網站，或它用的是像bit.ly的短網址，或鏈接來源都沒有接觸過的，大部分員工會下意識的（沒有任何防范）情況下直接點擊附件或鏈接，導致打開惡意附件文件，惡意附件文件會攻擊一個目前仍不明的漏洞來植入并執行后門程序。這個后門程序可以讓潛在攻擊者來做遠端存取，能在受感染機器做出其他惡意行為。根據我們的分析，這個后門程序也會下載并執行其他惡意文件，讓受感染系統被進一步的感染和或竊取資料。

對于APT攻擊的防御成為擺在全體信息安全從業者面前的重大課題，特別是針對實施APT攻擊容易利用的Web應用程序漏洞、Email郵件社工和0DAY漏洞等方面的防御，增加安全指數，提高攻擊難度。降低APT攻擊成功率，提高預警能力。

入侵檢測系統（IDS）缺乏零日漏洞預警能力，但是其已知特征檢測能力還是令人滿意的。不過在APT攻擊的防御上，入侵檢測系統（IDS）正好可以大展拳腳。潛伏性和持續性是APT攻擊最大的威脅，這就決定了APT攻擊難以被檢測。通過對APT攻擊的相關行為的分析，發現APT攻擊的一些蛛絲馬跡從而及時處理APT攻擊，減輕威脅是可以做到的。而IDS最主要的功能就是檢測已知特征入侵行為，可以用于APT攻擊的關聯分析上。

目前的入侵檢測設備只是為已知特征威脅提供必要的預警和支持，還不到為未知威脅的有效發現，但是把APT 檢測作為入侵檢測的發展方向，其前瞻性一下就體現出來了。