10大IT關鍵技術-Active Defense
文章推薦指數: 80 %
入侵偵測系統(Intrusion Detection System,IDS)是用來偵測資訊系統或網路上潛在的惡意破壞活動。
早從1970年代就有的概念,卻直到最近5年才開始產品化,成為企業資訊 ...
移至主內容
按讚加入iThome粉絲團
文/iThome
|
2003-08-26發表
入侵偵測系統面臨世代交替
網路型和主機型為主,誘捕型仍受爭議
入侵偵測系統(IntrusionDetectionSystem,IDS)是用來偵測資訊系統或網路上潛在的惡意破壞活動。
早從1970年代就有的概念,卻直到最近5年才開始產品化,成為企業資訊安全防護體系的要角,主要原因是「駭客不夠長進」,因為之前以網路層攻擊為主,使用防火牆就綽綽有餘,隨著駭客攻擊手法演進,防火牆已無法以應付應用層攻擊,才發展出動態防禦的入侵偵測系統。
有人將入侵偵測系統分為網路型、主機型、混合型及誘捕型等4種類型,但最常見的類型是網路型和主機型,這類產品也最多。
網路型入侵偵測系統(NetworkIntrusionDetectionSystem,NIDS)主要是由一個或多個偵測器,加上收集與分析資料的主控臺所組成,可以分析每個通過的網路封包,並與已知的攻擊特徵進行比對,如果符合某項攻擊特徵,系統就會啟動防護機制,例如發簡訊或命令防火牆中斷該連線。
主機型入侵偵測系統(Host-basedIntrusionDetectionSystem,HIDS)是從主機系統稽核日誌檔演進而來,必須在主機上安裝代理程式﹙Agent﹚,負責監視主機內部的程序,並監控記錄檔與可疑活動,若有任何系統事件都會被記錄至日誌檔,並與攻擊特徵資料庫比對,判斷主機是否遭到攻擊。
誘捕型入侵偵測系統(DeceptionSystems)的目的是偵測未經授權的活動,任何進出誘捕系統的封包都會被認定是可疑的。
但它卻是受到爭議的產品,有些廠商認為誘捕型系統只適合學術研究,因為它誘導駭客上勾,因此收集的證據無法用來起訴駭客;另一派看法是誘捕型系統不是主動式的誘捕器,駭客必須執行探測工具才能發現誘捕系統,這樣已經有犯罪的意圖。
2種偵測技術:攻擊特徵比對、通訊協定異常分析
入侵偵測的原理是將收集到的資訊,與資料庫中的攻擊特徵﹙Signatures﹚做比對,判斷是否為惡意行為,原理就像防毒軟體會依據病毒碼檢查已知的病毒。
但檢測規則總是落後於攻擊手段,一般而言,新的漏洞在網路上公布後,幾乎第二天就能找到攻擊方法和程式碼,但相對應的檢測規則卻需要好幾天,存在一定的時間差,讓駭客有足夠的時間進行入侵。
越來越多的駭客和安全專家傾向不公布他們發現的漏洞,自然更難整理出攻擊特徵,而且公布檢測規則後,也方便了入侵者,他們可以先檢查所有的規則,然後採用不會被偵測出的手法進行入侵。
事實上,只要稍微修改攻擊內容,就可以輕易迴避特徵比對的入侵偵測系統。
由於特徵比對存在一定的缺陷,因此目前廠商都增加通訊協定異常分析(ProtocolAnomalyAnalysis)技術,用來檢查通訊協定是否有異常狀況。
因為駭客攻擊常利用不完善的程式,或HTTP、RPC(RemoteProcedureCall,Blaster蠕蟲便是利用該服務的漏洞)及SMTP等通訊協定的漏洞,所以通訊協定異常分析會偵測通訊的結構與內容,檢查出可能是攻擊發動徵兆的無效字元、非預期資料與額外字元,例如CodeRed使用GET指令要求伺服器執行惡意的程式碼,系統會判定它違反HTTP通訊協定,而將CodeRed視為一種攻擊行為。
同時,通訊協定異常分析能辨識出未知的入侵行為,在攻擊造成損害前就予以制止。
IDC槓上Gartner,該相信誰?
IDC預測2002到2007年入侵偵測與弱點評估的全球市場,會從2002年的7.29億美元,擴增到2007的16.28億,亞洲則會由1.16億擴增到3.55億。
就產品銷售而言,網路型入侵偵測系統是最多企業採購的入侵偵測產品,因為不須變更網路架構,安裝與使用都很簡便;主機型入侵偵測系統則易受應用程式干擾,加上中文編碼與本土應用程式(ERP、自行開發的系統)等問題,實際使用的企業較少。
IDS市場雖被看好,不過產品存在誤報與漏報、增加管理負擔、有流量限制及無法即時回應缺點,所以Gartner提出不同的看法。
Gartner的報告指出,在2005年前,當紅炸子雞IDS將功成身退,他們的理由是防火牆越來越聰明(例如CheckPointNGAI),網路流量分析軟體逐漸增強,而且應用程式與加密技術越來越複雜,相信若干年後將是一個「沒有入侵的年代」。
Gartner並建議企業應將IDS的建置經費挪到防禦性軟體上,例如同時具備網路層與應用層防禦能力的防火牆產品。
聰明的讀者應該發現到Gartner的這份報告偏袒防火牆產品。
雖然沒有入侵行為是企業所憧憬的烏托邦,但也要考慮其他外在條件是否能配合,第一個條件就是系統漏洞,從年初的SQLSlammer,到最近的Blaster蠕蟲,他們都是利用系統的漏洞進行攻擊,即使微軟和資安廠商早已釋出修正檔,並提出警告,但仍有不少企業和使用者遭到攻擊。
其次就是防火牆只能阻擋一部分的攻擊入侵,再聰明的防火牆也無法偵測所有攻擊行為,特別是來自內部的攻擊,因為不須經過防火牆,自然也就不會被偵測出來。
IDS進化版:IPS/IDP,直接偵測異常行為
為了解決入侵偵測的問題,廠商推出入侵偵測與防禦(IntrusionDetectionandPrevention,IDP),或稱為入侵預防系統(IntrusionPreventionSystem,IPS),希望能在零誤判率的情況下偵測出攻擊行為,並能立即加以阻止。
比較簡單的解釋是IPS=入侵偵測系統+防火牆。
駭客攻擊程序是先探測(Probe),然後滲透(Penetrate)、常駐(Persist)、擴張(Propagate),直到癱瘓(Paralyze)階段,真正的傷害也會在此時發生,可能開始進行DDoS攻擊,或是檔案被刪除、系統當機。
在前面兩個階段中,同一個攻擊程式可能會利用不同的方式滲透,並且使用迴避技術,例如將攻擊程式隱藏在URL的Unicode中,讓防火牆以為是正常的網頁存取,並迴避入侵偵測系統。
但在攻擊的後三個階段中,駭客的攻擊模式則相當固定,例如增加未授權的使用者帳戶或啟動新的網路連線,由於攻擊程式可能會竄改作業系統核心,是相當明顯的入侵行為,比前兩階段容易被辨識出。
第一代入侵偵測系統是使用特徵比對技術,第二代入侵偵測系統則增加通訊協定異常檢測,第三代入侵偵測系統應該會演變為入侵預防,不再比對攻擊特徵和分析通訊協定,而是直接偵測異常行為。
系統會忽略攻擊程式是利用何種手法進入企業內部,專注在分析攻擊程式的破壞行為,舉例來說,如果駭客的最終目的是增加網頁伺服器上未授權的使用者帳號,有多種攻擊手法可以達到這個目的,若是使用特徵比對,需要有多組攻擊特徵才能偵測出可能的攻擊,但偵測異常行為只要發現該行為(新增未授權帳號),便能立即阻止該攻擊。
IPS雖然有自身的優勢,但也不是全無缺點。
由於必須裝置在閘道上,所以受到DoS攻擊後很容易故障,有的產品會提供Bypass模組,降低對網路的影響,但相對也降低網路安全性。
而且,IPS是新研發的技術,可偵測的攻擊仍有限,無法像IDS能偵測出各式攻擊。
選產品前先培養資安人才
大部分的入侵偵測系統都是針對大型企業所開發,並不能符合國內中小企業的需求,主因是產品由國外廠商研發,對企業規模的認定也不同。
不過目前本土廠商已經有開發相關的解決方案,而且採用硬體裝置,並具備多合一功能,滿足中小企業多種安全需求。
比較令人驚訝的是,當政府機關和大企業在建置入侵偵測系統時,很少會考慮入侵偵測系統對防火牆性能的影響,怎樣能不影響網路效能,或者該如何制定偵測政策。
許多企業只聽廠商片面之詞,就花上百萬建置入侵偵測系統,建置完成後卻問題百出,有的放錯位置,有的不知如何設定,而且幾乎對統計報表一竅不通,讓入侵偵測系統無用武之地。
文⊙陳世煌
熱門新聞
ApacheLog4j驚爆近年最嚴重漏洞,殃及蘋果、微軟、推特重要服務,連美國國安局都受影響
2021-12-13
【資安警訊】ApacheLog4j日誌框架系統重大漏洞(CVE-2021-44228),已出現攻擊行動,需儘速採取緩解措施
2021-12-13
ApacheLog4j漏洞開採活動早在官方公布9天前便開始,現已大舉展開
2021-12-14
CentOS將於年底來到EoL
2021-12-13
Log4Shell漏洞已被開採散布勒索軟體
2021-12-15
【Log4Shell漏洞資訊更新】Log4j2.15.0修補不全、Apache再釋2.16.0新版,國家駭客已開始行動
2021-12-16
【冠軍模型幕後推手:中研院資訊所博士後研究員王建堯】靠軟硬整合實力拿下兩次世界第一
2021-12-13
【冠軍模型催生關鍵:業界出題學界解題模式】一場會議催生世界第一物件偵測模型YOLOv4,一張GPU就跑得動
2021-12-13
Advertisement
2021iThome鐵人賽
專題報導
臺灣製造!世界第一物件偵測AI
Nvidia2022新戰略
臺灣第一輛自駕貨車上路
Line2021AI生產力大改造
中國信託服務力的進化
更多專題報導
延伸文章資訊
- 1iDS智慧安防雜誌-專注智慧安防應用市場專業雜誌
iDS智慧安防雜誌創立於2013年12月,致力於推廣安防智慧化技術與創新安防科技產品,詳細報導安防產業趨勢與市場脈動,於2017年1月從平面媒體轉型成電子媒體,並於2018 ...
- 2IDS(送醫療上山下海) - 衛生福利部中央健康保險署
- 3Industrial cameras - IDS Imaging Development Systems GmbH
Industrial cameras from IDS - versatile, powerful and easy to handle. Discover the great variety ...
- 4入侵檢測系統- 維基百科,自由的百科全書
入侵檢測系統(英語:Intrusion-detection system,縮寫為IDS)是一種網路安全裝置或應用軟體,可以監控網路傳輸或者系統,檢查是否有可疑活動或者違反企業的政策。
- 5IDS Imaging Development Systems GmbH: 工业相机
IDS工业相机具有多样化的功能,功能齐全并且轻鬆就能上手。直接在线了解我们的工业相机的种类。