入侵檢測系統(tǒng)原理、實踐與選購

自從計算機以網(wǎng)絡(luò)方式被連接開始，網(wǎng)絡(luò)安全就成為一個重大問題，隨著INTERNET的發(fā)展，安全系統(tǒng)的要求也與日俱增，其要求之一就是入侵檢測系統(tǒng)。 本文旨在介紹幾種常見的入侵檢測系統(tǒng)及其理論和實踐，需要指出的是，本文僅僅是一篇介紹性的文章,即使我推薦了許多可能的系統(tǒng)，在你相信其可靠性前，還需要深入的研究做更近一步研究。 一、什么是入侵檢測 入侵檢測是指監(jiān)視或者在可能的情況下，阻止入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡(luò)資源的那種努力。 簡而言之，它的工作方式是這樣的：你有臺機器，被連接到網(wǎng)絡(luò)上，也許就是被連到了INTERNET上，出于可以理解的原因,你也愿意為被授權(quán)者設(shè)置從網(wǎng)絡(luò)上訪問你的系統(tǒng)的許可。比如，你有以臺連接到INTERNET上的WEB服務(wù)器，愿意讓客戶、職員和潛在客戶可以訪問存儲在WEB服務(wù)器上的頁面。 然而，你并不愿意那些未經(jīng)授權(quán)的職員、顧客或者其他未經(jīng)授權(quán)的第三方訪問系統(tǒng)。比如，你不愿意除了公司雇傭的網(wǎng)頁設(shè)計人員以外的人員可以修改儲存在機器上的頁面。典型的做法之一就是使用防火墻或者某種認(rèn)證系統(tǒng)來防止未經(jīng)授權(quán)的訪問。 但是，在一些情況下，簡單的使用防火墻或者認(rèn)證系統(tǒng)也可以被攻破。入侵檢測就是這樣以種技術(shù)，它會對未經(jīng)授權(quán)的連接企圖作出反應(yīng)，甚至可以抵御以部分可能的入侵。 那么， 二、為什么要使用ID呢 以下給出了使用ID的理由： （1）你需要保護(hù)自己的數(shù)據(jù)安全和系統(tǒng)，而事實是在現(xiàn)在的INTERNET環(huán)境下，如果你僅僅使用普通的密碼和文件保護(hù)方式，你不可能永遠(yuǎn)保證你數(shù)據(jù)和系統(tǒng)的安全性。 （2）對于保護(hù)數(shù)據(jù)來說，沒有什么比系統(tǒng)的安全更重要了，想就這么把你的機器連上INTETNET而不作任何防護(hù)，甚至連管理員密碼都不設(shè)，就指望這臺機器會太平無事，那簡直是近乎于癡心妄想。同樣，系統(tǒng)對核心文件或者授權(quán)數(shù)據(jù)庫（比如NT的SAM和UNIX的/ETC/PASSWORD或者/ETC/SHADOW）的保護(hù)也是非常重要的。 （3）在通過局域網(wǎng)連接到INTERNET的環(huán)境下，經(jīng)常會采用防火墻或者其他保護(hù)措施，如果在NT環(huán)境下，如果開放了文件共享，或者允許TELNET，這臺機器就需要更好的保護(hù)，比如在防火墻中對137139端口（屬于TCP/UDP），SMB協(xié)議下的NT文件共享加以限制、使用SSH取代UNIX環(huán)境下的TELNET連接。 （4）ID還有進(jìn)一步的作用，由于被放置在防火墻和被保護(hù)的系統(tǒng)之間，ID等于是在系統(tǒng)之上增加了以層保護(hù)。比如，通過ID對敏感端口的監(jiān)測就可以判斷防火墻是否已經(jīng)被攻破，或者防護(hù)措施已經(jīng)被滅了。 三、ID有哪些種類呢 ID可以分為兩大類， （1）基于網(wǎng)絡(luò)的系統(tǒng)：這種ID放置于網(wǎng)絡(luò)之上，靠近被檢測的系統(tǒng)，它們監(jiān)測網(wǎng)絡(luò)流量并判斷是否正常。 （2）基于主機的系統(tǒng)：這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進(jìn)程是否合法。我還想補充最近出現(xiàn)的一種ID：位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺。 基于網(wǎng)絡(luò)的ID 簡介 基于網(wǎng)絡(luò)的IDS是指監(jiān)測整個網(wǎng)絡(luò)流量的系統(tǒng)，一塊網(wǎng)卡就可能會有兩種用途： 普通模式： 受數(shù)據(jù)包里面所包含的MAC地址決定，數(shù)據(jù)被發(fā)送到目的主機。任意模式（Promiscuous mode）：所有可以被監(jiān)測到的信息均被主機接收。 網(wǎng)卡可以在普通模式和任意模式之間進(jìn)行切換，同樣，使用操作系統(tǒng)的低級功能就可以完成這種變換?；诰W(wǎng)絡(luò)的IDS一般是需要把網(wǎng)卡設(shè)置成后以種模式。 包嗅探和網(wǎng)絡(luò)監(jiān)測 包嗅探和網(wǎng)絡(luò)監(jiān)測最初是為了監(jiān)測以太網(wǎng)的流量而設(shè)計的，最初的代表性產(chǎn)品就是NOVEL的LANALYSER和MS的NETWORK MONITOR。 這些產(chǎn)品一般會攔截它們在網(wǎng)絡(luò)上可疑攔截的一切數(shù)據(jù)包，當(dāng)一個數(shù)據(jù)包被攔截后，可能會有以下幾種情況： 對包進(jìn)行累加，在截取的時間段內(nèi)對數(shù)據(jù)包進(jìn)行累加，用以確定該時間段內(nèi)網(wǎng)絡(luò)的負(fù)載，LANALYSER和MS的NM都在網(wǎng)絡(luò)負(fù)載的表示界面方面有很好的表現(xiàn)。 對數(shù)據(jù)包進(jìn)行分析：比如，當(dāng)你想對抵達(dá)一個WEB服務(wù)器的數(shù)據(jù)進(jìn)行分析時，你往往會先捕獲一些數(shù)據(jù)，然后進(jìn)行分析。 包嗅探工具在近年有了長足的發(fā)展，象ETHEREAL和新版的MSNM都可以對數(shù)據(jù)包進(jìn)行詳盡的分析。 最后羅嗦以句（NND，洋人就是P多）：工具本身無善惡，全在人心，通過對連接到UNIX的TELNET連接進(jìn)行包嗅探，就可能可以截取用戶的密碼，任何一個入侵者一旦得手，首先的事情就是會安裝包嗅探器（NND，那是說高手，象俺最多在自己的機器上裝個嗅探器，嘿嘿） 包嗅探與任意模式 所有包嗅探都需要網(wǎng)卡被設(shè)置為任意模式，因為僅在此模式下，所有通過網(wǎng)卡的數(shù)據(jù)可以被傳送到嗅探器，包嗅探的使用前提是安裝他的機器上使用者具有管理員權(quán)限 還有一點需要引起注意的是交換機的使用，請注意，不是HUB（NND，當(dāng)我們中國人沒見過交換機?。。?，在交換機內(nèi)，一個接口所接收的數(shù)據(jù)并不是一定會轉(zhuǎn)發(fā)到另一個接口，所以，在這種情況下，包嗅探器并不一定可以發(fā)揮其作用。 基于網(wǎng)絡(luò)的ID：嗅探器的發(fā)展 不幸的是，從安全的角度來看，包嗅探器好處有限。要去捕獲每一個數(shù)據(jù)包，然后是分析、手工采取行動，實在是一件煩瑣之至的事情，但是，如果用軟件來代替我們的勞動呢？ 這就是基于網(wǎng)絡(luò)的ID要干的活。比如經(jīng)常使用的ISS RealSecure Engine和Network Flight Recorder. 以下給出RealSecure Engine這種ID的作用： 監(jiān)測網(wǎng)絡(luò)上的數(shù)據(jù)傳輸情況。 如果數(shù)據(jù)為正常數(shù)據(jù)，允許其通過（或者留待以后分析），如果數(shù)據(jù)包被認(rèn)為可能會危害目的地系統(tǒng)的安全，則發(fā)出connection closed（使用TCP協(xié)議時）或者port unreachable（使用ICMP時）以截斷數(shù)據(jù)發(fā)送方和接收方之間的連接。 在這種情況下，RealSecure可以在防火墻后建立起以個有效的阻止系統(tǒng)，當(dāng)然，也有在防火墻的位置直接使用RS的，而我（原作者不是土鱉我?。。┎唤ㄗh大伙采用這種方法。 基于網(wǎng)絡(luò)的ID還有一些別的功能，比如： 監(jiān)測明顯的端口掃描。在攻陷系統(tǒng)之前，攻擊者一般會掃描系統(tǒng)以發(fā)現(xiàn)系統(tǒng)的缺陷，一般說來，INTERNET上來自以臺主機的端口掃描往往是有人開始攻擊的先兆。 對常見的攻擊方式加以監(jiān)測。通過80端口連接到以臺WEB服務(wù)器應(yīng)該看來是以件很正常的事情，但是有些同樣通過80端口進(jìn)行的連接就可能是禍心內(nèi)藏哦，看看這個命令你就知道“GET /./././etc/passwd HTTP/1.0” 鑒別各種IP欺騙。用于完成IP和MAC地址之間轉(zhuǎn)換的ARP協(xié)議往往是攻擊的重點，通過在以太網(wǎng)上向目的地址發(fā)布載有虛假ARP數(shù)據(jù)的數(shù)據(jù)包，入侵者可以將自己偽裝成位于另外一個系統(tǒng)上，這樣的結(jié)果就是各種拒絕服務(wù)攻擊，當(dāng)大型服務(wù)器（如DNS或者身份認(rèn)證服務(wù)器）遭到攻擊時，入侵者可以將數(shù)據(jù)包轉(zhuǎn)發(fā)到自己的系統(tǒng)上?；诰W(wǎng)絡(luò)的IDS通過登記ARP包，對信息源（以太網(wǎng)地址）進(jìn)行認(rèn)定，如果確認(rèn)信息來自于已經(jīng)被攻陷的系統(tǒng)，則會對入侵者進(jìn)行攔截。 如果探測到了有問題的行動，基于網(wǎng)絡(luò)的ID會自行采取行動，包括重新配置附近的防火墻以攔截所有來自入侵者的數(shù)據(jù)流. 基于主機的ID簡介 當(dāng)數(shù)據(jù)包抵達(dá)目的主機后，防火墻和網(wǎng)絡(luò)監(jiān)控已經(jīng)無能為力了，但是還有以個辦法可以試試，那就是“基于主機的ID” 基于主機的ID又可以分成兩大類： 網(wǎng)絡(luò)監(jiān)測：這種監(jiān)測對抵達(dá)主機的數(shù)據(jù)進(jìn)行分析并試圖確認(rèn)哪些是潛在的威脅，任何連接都可能是潛在的入侵者所為，請注意，這點與基于網(wǎng)絡(luò)的ID不同，因為它僅僅對已經(jīng)抵達(dá)主機的數(shù)據(jù)進(jìn)行監(jiān)測，而后者則是對網(wǎng)絡(luò)上的流量進(jìn)行監(jiān)控。如次一來就不需要把網(wǎng)卡設(shè)置成模式了。 主機監(jiān)測：任何入侵企圖（或者成功的入侵）都會在監(jiān)測文件、文件系統(tǒng)、登錄記錄或其他主機上的文件中留下痕跡，系統(tǒng)管理員們可以從這些文件中找到相關(guān)痕跡。 外來連接監(jiān)測： 主機可以在數(shù)據(jù)包真正抵達(dá)主機之前對試圖進(jìn)入主機的數(shù)據(jù)包進(jìn)行監(jiān)測，以避免其進(jìn)入系統(tǒng)后可能造成的損害。 可供選擇的處理方式有： 監(jiān)測未經(jīng)授權(quán)的試圖通過TCP或者UDP端口進(jìn)行的連接，比如如果有人試圖通過未開放任何服務(wù)的端口進(jìn)行連接，就往往意味著有人在尋找系統(tǒng)漏洞。 監(jiān)測端口掃描：在此我再推薦一種方式：調(diào)整防火墻或者調(diào)整本地IP配置（可以使用LINUX下的IPCHAINS）以拒絕來自可能的入侵者的連接請求。 值得推薦的兩個文件是ISS的RealSecure Agent和PortSentry. 注冊行為監(jiān)測 即使網(wǎng)管做了最大的努力，安裝了最新的IDS，入侵者也有可能使用無法被監(jiān)測到的的手段來入侵系統(tǒng)，造成這種情況的重要可能之一就是入侵者使用包嗅探恩公工具已經(jīng)取得了用戶密碼并能夠合法登錄系統(tǒng)。 HOSTSENTRY這樣的產(chǎn)品的任務(wù)之一就是尋找系統(tǒng)的不尋常操作，對用戶試圖進(jìn)行注冊和注銷進(jìn)行監(jiān)控，并就這些活動中不正常或者未曾預(yù)料的部分向系統(tǒng)管理員報警。 根操作監(jiān)控 入侵者的最終目的是為了掌握被入侵主機上的根用戶權(quán)限，如果一臺WEB服務(wù)器規(guī)劃的好的話，除了極少數(shù)的計劃好的維修時間以外，根用戶應(yīng)該很少會有什么操作，但是根用戶們也很少按照計劃去進(jìn)行檢修，而是逮空就干，但是即使是這樣，入侵者也很有可能在兔子都不拉屎的時間或者地方干出些什么事情來。 需要防御的戰(zhàn)線還有以條：監(jiān)視根用戶或系統(tǒng)管理員的任何操作。許多UNIX系統(tǒng)允許根用戶執(zhí)行包括登錄、監(jiān)測在內(nèi)的所有運算，而象LOGCHECK這樣的工具則可以對這些登錄記錄加以監(jiān)控并提請網(wǎng)管注意。 如果使用了開放源代碼的操作系統(tǒng)，網(wǎng)管們只有一個選擇：改進(jìn)內(nèi)核。如何改進(jìn)不在本文的討論范圍之內(nèi)，畢竟INTERNET網(wǎng)上這樣的資源很多。監(jiān)測文件系統(tǒng) 不管你的愿望如何良好，ID怎么賣命，你也不敢保證系統(tǒng)固若金湯，而系統(tǒng)一旦被攻陷，入侵者就會立即開始更改系統(tǒng)的文件，或者更改一些設(shè)置以廢掉ID們的武功（哦！要練神功，必先自宮?。?在軟件的安裝過程中，不可避免的會更改系統(tǒng)設(shè)置，這些設(shè)置更改一般會在系統(tǒng)的文件或者LIBRARY的變化中體現(xiàn)出來。 類似于TRIPWIRE，F(xiàn)CHECK和AIDE的程序被設(shè)計用于檢測系統(tǒng)內(nèi)的文件變動，并向系統(tǒng)管理員報告。 在所有系統(tǒng)文件上使用MD5或者其他的加密、校驗和等手段，將這些設(shè)置儲存進(jìn)數(shù)據(jù)庫，當(dāng)文件變化時，校驗和也會發(fā)生變化。 注意所有文件的創(chuàng)建和修改時間，以及它們的時戳。 對SUID命令的使用加以監(jiān)控，任何變化或者新的SUID命令被安裝、刪除，都可能會是問題的征兆。 不管Tripwire, Fcheck, AIDE玩得怎么花，它們的工作原理就是上面那些東西，它們的作用是保證那些數(shù)據(jù)庫和加密的校驗和沒出問題。因為不排除這樣一種可能，入侵者水平很高，高到足以理解操作系統(tǒng)和IDS，直接就把加密的校驗和數(shù)據(jù)庫都改得天衣無縫。 基于內(nèi)核的ID 基于內(nèi)核的ID還是以種新生事務(wù)，但是成長很快，尤其是在和LINUX的配合方面。 現(xiàn)在有兩種基于LINUX的不同的基于內(nèi)核的ID，它們是OPENWALL和LIDS。它們在防止緩沖區(qū)溢出方面有了長足進(jìn)展，增強了文件系統(tǒng)的保護(hù)，攔截信號并使入侵系統(tǒng)變得更加困難。LIDS也采取了一定措施以防止根用戶執(zhí)行一些操作，比如安裝嗅探器或者更改防火墻規(guī)則等等。 內(nèi)核保護(hù)和文件系統(tǒng)保護(hù) 顯而易見的是，雖然最終效果相近，LIDS系統(tǒng)和TRIPWIRE系統(tǒng)差別很大，它們都可以用于阻止入侵者出于未經(jīng)授權(quán)的目的使用系統(tǒng)。 乍看之下，雖然象TRIPWIRE這樣的系統(tǒng)確實是一個監(jiān)測文件系統(tǒng)的好東西，人們也可能會認(rèn)為他意義不大，人們的共識是：一旦你的系統(tǒng)被內(nèi)在的入侵者攻陷，最好的辦法就是關(guān)機重裝系統(tǒng)。損失已然造成，系統(tǒng)已然玩完，你還是老老實實從恢復(fù)盤上重裝系統(tǒng)得了。而LIDS提供的服務(wù)則更有誘惑一些，如果說一般的家伙是在屋子里面已經(jīng)被糟踐得一塌糊涂后才來跑來告訴你門開著的話，LIDS可能會使你的系統(tǒng)免遭損失。 從理論上說，我也同意以上分析，但是如果將LIDS和TRIPWIRE同時運行，肯定會帶來更好的安全性。雖然LIDS在保護(hù)文件系統(tǒng)方面有著獨到之處，但是如果再加上象TRIPWIRE這樣的文件系統(tǒng)監(jiān)視器，用他作為一個“獨立的”審計方，效果肯定會更好，因為HACKER有可能會挫敗LIDS的努力。 小結(jié) 使用最新的工具可能會抵御一切已知形式的入侵，不幸的是，隨著日常實踐，新的威脅和軟件的安全漏洞卻在不斷的被發(fā)現(xiàn)。 在任何環(huán)境下，非常重要的一點是知道你可能面對的所有威脅，要警惕你系統(tǒng)里面可能存在的潛在漏洞并加以修補，以免遭受基于這些漏洞的攻擊。 舉個例子來說，以臺通過防火墻被連接到INTERNET 的主機可以說會免于大多數(shù)種攻擊，但是機器里的CGI程序則會使機器暴露出脆弱的以面，要尤其注意并確定CGI程序已經(jīng)被合適的配置，數(shù)據(jù)在執(zhí)行前已經(jīng)被確認(rèn)合法有效。而一個ID程序則會被放在WEB服務(wù)器和防火墻之間以攔截任何可疑的連接。隨時更新 隨著新的入侵手段的發(fā)現(xiàn)，上面我們所闡述的工具也在不斷更新，所以及時更新工具也是非常重要的。 在安裝了相應(yīng)的軟件以后，用戶有必要經(jīng)常訪問一些和安全有關(guān)的頁面和郵件列表，同時，如果你所安裝的軟件或者防火墻報告說其自身出現(xiàn)缺陷或者其他被入侵的問題，千萬不要為了面子而不去向軟件提供商需求幫助（老外也這么要面子嗎？嘿嘿） Which Tools? 使用什么軟件呢？ 以上我們已經(jīng)探討了好幾種有著不同功能的工具。為了盡量保證你的環(huán)境的安全性，根據(jù)功能來選擇工具就變得非常重要。工具之間“尺有所短，寸有所長”的情況很突出，所以，你的安全防線的第以關(guān)應(yīng)該就是防火墻，然后，在防火墻后側(cè)安裝基于網(wǎng)絡(luò)的IDS用于監(jiān)視防火墻，再以后呢（老外就是TMD煩），就應(yīng)該是連接監(jiān)測工具，比如PORTSEBTRY或者HOSTSENTRY之類的，最