到目前為止,已經介紹了諸多攻擊,但並未非常關注某個特定目標的防禦方。目標必然採取某種型別的防禦措施,因此需要知道如何應對這些防禦,並儘可能地規避或阻斷對(攻擊)行為的檢測。被檢測到意味著攻擊可能被阻止或遲滯
當前的網路採用了從防火牆,到反惡意軟體,再到入侵檢測系統的大量防禦性裝置。每類裝置旨在解決一種或多種對系統的攻擊或威脅。在許多情況下,(系統)將綜合運用多個裝置,形成一個更為完整有效的解決方案。
雖然這些裝置是阻止攻擊成功的障礙,但是隻要應用了適當的思路和方法,就有可能戰勝它們。本章將重點介紹這些安防系統及其應對方法。
入侵檢測系統(IDS)與防盜報警器或煙霧探測器等應用或裝置的作用相同:向系統所有者提供一種檢測和警告潛在危險的手段。請謹記,IDs中的口代表檢測,這正是該機制的預期功能——嚴格如此,不多不少。與許多其他裝置不同,IDS是一種反應型裝置,但這並不意味著它在系統的方案中作用不重要。
基於網路的入侵測試
IDS的其中一種是網路入侵檢測系統(Network Intrusion Detection System, NIDS),它是一種基於硬體或軟體、用於監控網路流量的裝置。(NIDS中的)感測器將分析網路中傳輸的資料包,以確定它們的特徵是惡意的還是善意的。理想情況下,應將感測器放置在承載大部分流量的線路中。
實際上,NIDS在設計和部署位置兩方面都屬於網路的最初防線之一。當流量進入網路時,NIDS將其與某個威脅資料集或流量模型進行比較,以查詢其中存在的己知問題、特徵資料或其他可能是實際攻擊的活動。NIDS可以檢測各種攻擊,包括拒絕服務攻擊、病毒、蠕蟲和有害垃圾郵件以及許多其他型別的網路層次的威脅。當遇到惡意或可疑的活動時,(NIDS)通常會記錄,並且可能會向負責監控(網路)環境的人員傳送警報。一個部署在小型網路中的NIDS如圖所示。
為使上述過程生效,除NIDS裝置外,還需要以下幾個元件:
感測器(Sensor):網路監視元件,該元件使用以泥雜模式執行的網路卡,檢查網路上的所有流量。對於NIDS而言,許多系統將配備可部署於關鍵資源和網段的感測器生態系統,從而可進行廣泛的監控。在IDS將其感測器網路部署到環境中後,就能形成一個非常健壯的監控解決方案,檢測攻擊,並在攻擊者有機會大顯身手前,通知系統所有者。
規則引擎(Rules Engine):系統中負責將網路流量與一組己知的特徵(或稱規則)進行比較,用以檢測攻擊的部分。
監控控制檯(Monitoring Console):通常是一個基於軟體應用程式或硬體裝置的系統,可以顯示監視的活動,和標記為可疑的活動的相關通知和資訊。大多數情況下,該介面是基於軟體的,並且安裝在用於監視資訊的系統中。
網路入侵檢測系統還可以根據其發現的威脅進行學習。在訊息在網路中被阻斷的同時,將把訊息新增到對未來潛在威脅的響應樹中。這樣可以確保將新的病毒、網路攻擊或其他可疑行為新增到檢測系統資料庫中,從而阻止不良活動。
由SourceFire開發的CiscoSnort是可用NIDS中最常見的。Snort確實很受歡迎,因為它高度可定製,有良好的文件,可擴充套件,並且免費。
網路檢測引擎的分類
NIDS將檢測並判斷行為是惡意行為或符合已知模式的行為。在系統執行中,可以使用兩種機制中的其中一種或同時使用兩種機制,而每種機制都具有其優點及不足
基於特徵碼的檢測
使用此方法的IDS將使用一個已知攻擊型別的資料庫,就像防病毒軟體使用已知病毒和端蟲的資料庫一樣。在IDS執行並開始根據資料庫分析流量後,好戲就開場了。如果任何活動和特徵碼檔案中的模式相匹配,則會觸發警報,然後管理員即可選擇他們認為合適的響應。
特徵碼識別在發現己知的攻擊模式方面非常出色,但對任何未知的攻擊特徵效果很差。此外,與攻擊無關的其他流量可能會觸發所謂的誤報報警。
隨著特徵碼資料庫大小的增加,分析流量所需的時間也將會增加,從而導致效能的下降。在有非常大量的流量通過DS,同時效能需求已經超出負載的情況下,可能無法正確遮蔽某些惡意流量。
攻擊的演化和小變化可能導致單次攻擊需要多個特徵碼進行防禦。攻擊程式碼僅僅更改一位就可能導致需要建立一個新的特徵碼。
基於異常的檢測
在該檢測系統中,通過對網路上的流量進行一段時間的分析,或者由系統所有者自行設定一些模式,建立一個基線。這些基線用於匹配與識別網路異常活動。在系統調整完成,準備就緒後,即可“開啟”它,並開始就其檢測到的任何超出基線的活動傳送警報。
該系統需要一個正常網路活動的模型,以將其與所分析的流量進行比較。該模型必須儘可能準確,因為不正確或不完整的模型很容易導致虛假或誤導性的結果。IDS應瞭解所監視網路上正常流量是怎樣的。應分別對網路流量高峰時段——通常是在早晨,大部分使用者開始上班、檢查電子郵件和其他資訊時——和大多數員工離開、網路活動很少的流量低谷時段建立基線。
如果IDS系統沒有徹底針對網路上正常的行為進行 “訓練”,那麼檢測中就很容易出現誤報和漏報的問題。
協議異常檢測
這種檢測方法是基於某個特定協議的已知規則。為了判定存在何種異常,系統使用某個協議的已知規範,然後將其用作對比流量的模型。因此,通過應用該系統,有可能在新的攻擊成為重大威脅並蔓延之前發現它們。
此方法可以檢測新的攻擊,能夠先其他方法一步,檢測到相同的活動並警告管理員。
檢測方法依賴於協議的使用或誤用,而非不斷演化的攻擊方法。
此方法不需要特徵碼更新。
該型別系統中的警報通常與其他系統的警報不同,因此應該查閱製造商提供的指南以獲得參考
基於主機的入侵檢測
基於主機的入侵檢測系統(HIDS)部署在一個獨立的系統上。HIDS將僅監視一個系統中活動,並且通常會部署在諸如域控制器或web伺服器之類極其重要的系統上。HIDS也可能部署在任何伺服器,有時還包括其他非伺服器系統上。該型別的檢測系統擅長檢測系統誤用以及通常稱之為內部濫用的行為。由於它們在主機上的位置,它們實際上接近通過身份驗證的使用者自身。HIDS通常在 Windows平臺上可用,但也可在Linux和Unix系統上找到。
一個運作正常的HIIDS應能跟蹤系統狀態,並檢測流量或其他活動的變化。HIDS可以監控的活動取決於具體系統,可能包括以下內容:
- 許可權濫用
- 篡改日誌
- 登入失敗
- 非計劃的重新啟動
- 安裝軟體
- 可疑的入站流量
- 可疑的程式
- 更改檔案
- 對應用程式的請求
- 訪問API
從某種意義上而言,許多使用者己經以防病毒程式和安全套件的形式在其系統中安裝了HIDS。這些程式通常具備監視系統狀態的能力,並花費大量時間檢查計算機內各個實體的活動,以及某個程式是否應該訪問系統資源。但需要謹記的是,許多包含此功能的消費級安全應用程式與企業或企業系統不在一個檔次上。
入侵防禦系統
入侵防禦系統(Intrusion Prevention System, IPS)是IDS的一個“近支表親”。雖然IDS確實提供警報及與NIDS相同的功能,但是它們的“功能表”中提供了額外的用於阻止攻擊的功能層次。NIDS是被動的,與之相對,IPS則將在檢測到攻擊活動時主動響應。IPS將根據其己具備的規則和配置,記錄、阻止並報告被檢測為惡意的內容。以下是一些不同形式的入侵防禦系統:
基於網路的入侵防禦系統(Network-Based Intrusion Prevention System , NIPS)
通過分析協議活動,監控整個網路的可疑流量。
無線入侵防禦系統(Wireless Intrusion Prevention System, WIPS)
通過分析無線網路協議,監控無線網路中的可疑流量。
網路行為分析(Network Behavior Analysis , NBA)
檢查網路流量以識別產生異常流量的威脅,例如分散式拒絕服務(DDoS)攻擊、某些
形式的惡意軟體以及違反策略的行為。
基於主機的入侵防禦系統(Host-Based Intrusion Prevention System , HIPS)
通過分析在該主機內發生的事件,監視單個主機的可疑活動。
本作品採用《CC 協議》,轉載必須註明作者和本文連結