您的位置: 网界网 > 周报全文 > 正文

[周报全文]捍卫“最后一道防线”

2002年12月23日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:捍卫“最后一道防线”

标签
    专家视点:在实际应用中,入侵检测系统被认为是保护网络系统的“最后一道安全防线”。而近年来,以Stick/Snot为代表的攻击工具,将攻击矛头直指入侵检测系统,从而给“最后一道防线”带来前所未来有的危机。

捍卫“最后一道防线”
谭崇畅

    针对网络系统发起的攻击技术大有水涨船高之势,今天的网络黑客已经开发出能够准确把握住入侵检测系统弱点的攻击技术,攻击者将真正的攻击动作隐藏在故意制造的大量虚假报警之中,这种“浑水摸鱼”的作法能够有效对付现有的入侵检测系统。

    入侵检测系统的开发者正在面临一个两难选择:在发现异常现象时,是报警还是不报警?不报警,就会担心会有漏网之鱼;报警,则有可能正中攻击者的圈套。


    遭遇质疑:

    值得投资吗?

    根据国外权威机构近来发布的入侵检测产品评测报告,目前主流的入侵检测系统大都存在三个问题。一是存在过多的报警信息,即使在没有直接针对入侵检测系统本身的恶意攻击时,入侵检测系统也会发出大量报警。二是入侵检测系统自身的抗强力攻击能力差。强力攻击是指入侵者通过制造大量攻击包加大入侵检测系统的处理负荷,并使其失去功用。我们知道,入侵检测系统的智能分析能力越强,处理越复杂,抗强力攻击的能力就越差。目前入侵检测系统的一个设计趋势是,越来越多地追踪和分析网络数据流状态,使系统的智能分析能力得到提高,但由此引起的弊端是系统的健壮性被削弱,并且对高带宽网络的适应能力有所下降。三是缺乏检测高水平的攻击者的有效手段。现有的入侵检测系统一般都设置了阀值,只要攻击者将网络探测、攻击速度和频率控制在阀值之下,入侵检测系统就不会报警。鉴于以上三点,许多用户都会质疑:按照入侵检测系统目前的技术现状,它值得去投资部署吗?


    期待突破:

    需要技术创新

    这种质疑不是没有道理。一个配置合理的防火墙加上完善的网络安全管理策略,完全可以对付低水平的攻击行为。对于人们费尽心机构建的“最后的防线”—入侵检测系统,它必须能够有效防范“高手”攻击。但是如果没有一个全新的设计思路,目前的入侵检测系统是不能完全胜任此项重任的。究其原因,主要在于以下三点。

    首先,现有的入侵检测系统依赖于一个攻击特征库,来识别已知攻击。从这个角度来看,现有的入侵检测技术并不比一般的病毒检测方法高明多少。基于攻击特征库的设计有着两个明显的缺点。其一,很难发现新的攻击手段;其二,攻击者同样可以利用Internet上公布的攻击特征库,在一分钟之内使一个入侵检测系统产生上千条报警。

    第二,在网络安全体系结构的设计上,入侵检测系统通常被部署于防火墙之内。这并不是担心入侵检测系统会受到直接攻击。实际上,一个入侵检测系统可以没有任何IP地址,甚至可以没有IP协议栈,而且捕捉数据包的网络接口还可以使用单向传输的网线。将入侵检测系统放入防火墙之内的真正原因是,现有的网络攻击已经非常频繁,一个放置于防火墙之外的入侵检测系统会让安全管理者没有片刻的安宁。放在防火墙之内的入侵检测系统,可以使管理者得到片刻安宁。但这却是一个设计失误,被防火墙系统阻拦住的外部攻击包对于入侵检测系统进行有效网络攻击智能分析具有非常重要的价值。实际上,缺乏有效的信息源是现有的入侵检测系统表现“低能”的根本原因。这里所说的信息源,包括网络的拓扑结构、相关网络的安全策略、网络攻击的历史数据记录等。广泛而有效的信息来源,是入侵检测系统进行智能分析的前提。否则,准确的判断和报警是不可能实现的。

    第三,网络中上演的攻击和反攻击与人类战争有相似之处,都是攻与防的较量,如果防守者不采取积极防御措施,永远只能处于被动挨打局面。具体到入侵检测系统(+微信关注网络世界),积极防御并不是在发现攻击者时发送警告,甚至回敬几个攻击包将“打死”对方;而是一种“欺骗战术”。“欺骗战术”的基本思想是建立一个完整的信息保护体系,使各种虚假的信息和真实的信息在其中混杂于一体,从而达到信息保护的目的。

    就网络入侵检测而言,当一个攻击者在全面摸清了目标网络的详细情况之后,人们要想防止其进攻几乎是不可能的。一个攻击高手往往会用很长时间去探查一个网络,包括防火墙的位置、防火墙的过滤规则、防火墙之后的内部网络拓扑结构以及主要的目标机器的软件配置(如操作系统版本、已安装应用软件包等)。在进行一番详细侦察之后,攻击者只需静待一个新的系统漏洞的出现。例如,如果攻击者获悉了Windows 2000服务器存在的一个堆栈溢出漏洞,他就可能在得到消息的一分钟之内,占领目标主机,并在另外一分钟之内,控制整个目标网络。

    从积极防御的角度看,保护一个网络必须从两方面入手。一是在入侵者早期网络侦察时及时发现对方,二是通过回应欺骗信息给窥探者,并在随后发生的实际攻击时准确判定入侵者的身份。以上两个方面是相辅相成的。需要指出的是,这种基于欺骗战术的积极防御,不同于传统的陷阱系统设计。大多数安全专家不赞成陷阱系统做法,这主要是出于两方面原因:一是一个配置有误的陷阱系统无疑是一扇敞开的大门;二是一个被攻占的陷阱系统会给用户带来法律上的麻烦。


    ActiveDefense:

    一个有益的尝试

    ActiveDefense(积极防御)技术是由广州前卫信息安全技术有限公司自主研发的技术。这一技术应用在eDefence 2000入侵检测系统之中,可以使一个实际网络变得虚虚实实、真假难辨。部署于防火墙之外的eDefence 2000系统能够实时检测网络攻击,同时还能够在入侵者前来窥探时施放各种“烟幕弹”,使入侵者无法探查到真实的网络拓扑结构。入侵者的任何一个探查举动都会使其彻底暴露身份。

    该系统另一个与众不同的设计是,它将检测系统分为前后两台机器,后台系统不再是一个简单的管理终端,而是一个有着丰富知识库的专家系统。利用专家系统提供的面向分析推理的规则语言,只需编写几条规则,而后存入知识库,就可以一眼看出入侵者的真面目。一前一后的双机设计从根本上改善了整个入侵检测系统的抗攻击能力,前端机器可以高速处理网络数据流,繁重的智能分析则交由后台专家系统完成。

    在网络世界中上演的的攻防战争将是一场长期的较量,虽然没有结束的尽头,但是“魔高一尺,道高一丈”。 

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]