發展了許多安全機制,但安全問題仍然倍受懷疑和關註。象電子
商務這種應用是否會得到充分的推廣,將在很大程度上取決於人
們對網絡環境下的信息系統安全的信心。由於已從理論上證明不
存在絕對安全的安全系統,因此壹般將審計跟蹤、攻擊檢測系統
作為信息系統的最後壹道安全防線。
早期中大型的計算機系統中都收集審計信息來建立跟蹤文件
,這些審計跟蹤的目的多是為了性能測試或計費,因此對攻擊檢
測提供的有用信息比較少;此外,最主要的困難在於由於審計信
息粒度的安排,審計信息粒度較細時,數據過於龐大和細節化,
而由於審計跟蹤機制所提供的信息的數據量過於巨大,將有用的
信息源沒在其中;因此,對人工檢查由於不可行而毫無意義。
對於攻擊企圖/成功攻擊,被動審計的檢出程度是不能保證的
。通用的審計跟蹤能提供用於攻擊檢測的重要信息,例如什麽人
運行了什麽程序,何時訪問或修改過那些文件,使用過內存和磁
盤空間的數量等等;但也可能漏掉部門重要的攻擊檢測的相關信
息。為了使通用的審計跟蹤能用於攻擊檢測等安全目的,必須配
備自動工具對審計數據進行分析,以期盡早發現那些可疑事件或
行為的線索,給出報警或對抗措施。
(壹)基於審計信息的攻擊檢測技術
1、檢測技術分類
為了從大量的、有時是冗余的審計跟蹤數據中提取出對安全
功能有用的信息,基於計算機系統審計跟蹤信息設計和實現的系
統安全自動分析或檢測工具是很必要的,可以用以從中篩選出涉
及安全的信息。其思路與流行的數據挖掘(Data Mining)技術是
極其類似的。
基於審計的自動分析檢測工具可以是脫機的,指分析工具非
實時地對審計跟蹤文件提供的信息進行處理,從而得到計算機系
統是否受到過攻擊的結論,並且提供盡可能多的攻擊者的信息;
此外,也可以是聯機的,指分析工具實時地對審計跟蹤文件提供
的信息進行同步處理,當有可疑的攻擊行為時,系統提供實時的
警報,在攻擊發生時就能提供攻擊者的有關信息,其中可以包括
攻擊企圖指向的信息。
2、攻擊分類
在安全系統中,壹般至少應當考慮如下三類安全威脅:外部
攻擊、內部攻擊和授權濫用。攻擊者來自該計算機系統的外部時
稱作外部攻擊;當攻擊者就是那些有權使用計算機,但無權訪問
某些特定的數據、程序或資源的人意圖越權使用系統資源時視為
內部攻擊,包括假冒者(即那些使用其他合法用戶的身份和口令
的人)秘密使用者(即那些有意逃避審計機制和存取控制的人)
;特權濫用者也是計算機系統資源的合法用戶,表現為有意或無
意地濫用他們的特權。
通過審計試圖登錄的失敗記錄可以發現外部攻擊者的攻擊企
圖;通過觀察試圖連接特定文件、程序和其他資源的失敗記錄可
以發現內部攻擊者的攻擊企圖,如可通過為每個用戶單獨建立的
行為模型和特定的行為的比較來檢測發現假冒者;但要通過審計
信息來發現那些授權濫用者往往是很困難的。
基於審計信息的攻擊檢測特別難於防範的攻擊是具備較高優
先特權的內部人員的攻擊;攻擊者可通過使用某些系統特權或調
用比審計本身更低級的操作來逃避審計。對於那些具備系統特權
的用戶,需要審查所有關閉或暫停審計功能的操作,通過審查被
審計的特殊用戶、或者其他的審計參數來發現。審查更低級的功
能,如審查系統服務或核心系統調用通常比較困難,通用的方法
很難奏效,需要專用的工具和操作才能實現。總之,為了防範隱
秘的內部攻擊需要在技術手段而外確保管理手段的行之有效,技
術上則需要監視系統範圍內的某些特定的指標(如CPU、內存和磁
盤的活動),並與通常情況下它們的歷史記錄進行比較,以期發
現之。
3、攻擊檢測方法
(1)檢測隱藏的非法行為
基於審計信息的脫機攻擊檢測工作以及自動分析工具可以向
系統安全管理員報告此前壹天計算機系統活動的評估報告。
對攻擊的實時檢測系統的工作原理是基於對用戶歷史行為的
建模以及在早期的證據或模型的基矗審計系統實時地檢測用戶對
系統的使用情況,根據系統內部保持的用戶行為的概率統計模型
進行監測,當發現有可疑的用戶行為發生時,保持跟蹤並監測、
記錄該用戶的行為。SRI(Stanford Ressearch Institute)研制
開發的IDES(Intrusion-Detection Expert System)是壹個典型
的實時檢測系統。IDES系統能根據用戶以前的歷史行為決定用戶
當前的行為是否合法。系統根據用戶的歷史行為,生成每個用戶
的歷史行為記錄庫。IDES更有效的功能是能夠自適應地學習被檢
測系統中每個用戶的行為習慣,當某個用戶改變他的行為習慣時
,這種異常就會被檢測出來。目前 IDES中已經實現的監測基於以
下兩個方面:壹般項目:例如CPU的使用時間:I/O的使用通道和
頻率,常用目錄的建立與刪除,文件的讀寫、修改、刪除,以及
來自局域網的行為;特定項目:包括習慣使用的編輯器和編譯器
、最常用的系統調用、用戶ID的存娶文件和目錄的使用。
IDES除了能夠實時地監測用戶的異常行為。還具備處理自適
應的用戶參數的能力。在類似IDES這樣的攻擊檢測系統中,用戶
行為的各個方面都可以用來作為區分行為正常或不正常的表征。
例如,某個用戶通常是在正常的上班時間使用系統,則偶然的加
班使用系統會被IDES報警。根據這個邏輯,系統能夠判斷使用行
為的合法或可疑。顯然這種邏輯有“肅反擴大化/縮小化”的問題
。當合法的用戶濫用他們的權利時,IDES就無效了。這種辦法同
樣適用於檢測程序的行為以及對數據資源(如文件或數據庫)的
存取行為。
(2)基於神經網絡的攻擊檢測技術
如上所述,IDES(Intrusion Detection Expert System)類的
基於審計統計數據的攻擊檢測系統,具有壹些天生的弱點,因為
用戶的行為可以是非常復雜的,所以想要準確匹配壹個用戶的歷
史行為和當前的行為相當困難。
錯發的警報往往來自對審計數據的統計算法所基於的不準確
或不貼切的假設。作為改進的策略之壹,SRI(Stanford Researc
h Institute)的研究小組利用和發展神經網絡技術來進行攻擊檢
測。神經網絡可能用於解決傳統的統計分析技術所面臨的以下幾
個問題:①難於建立確切的統計分布:統計方法基本上是依賴於
用戶行為的主觀假設,如偏差高斯分布;錯發警報常由這種假設
所導致。②難於實現方法的普適性:適用於某類用戶行為的檢測
措施壹般無法適用於另壹類用戶。③算法實現比較昂貴:由於上
面壹條原因,即基於統計的算法對不同類型的用戶行為不具有自
適應性,因此算法比較復雜而且龐大,導致算法實現上的昂貴。
而神經網絡技術不存在這個問題,實現的代價較校④系統臃腫難
於剪裁:由於采用統計方法檢測具有大量用戶的計算機系統,將
不得不保留大量的用戶行為信息,導致系統的臃腫和難於剪裁。
而基於神經網絡的技術能夠回避這壹缺點,根據實時檢測到的信
息有效地加以處理作出攻擊可能性的判斷。
目前,神經網絡技術提出了對基於傳統統計技術的攻擊檢測
方法的改進方向,但尚不十分成熟,所以傳統的統計方法仍將繼
續發揮作用,也仍然能為發現用戶的異常行為提供相當有參考價
值的信息。
(3)基於專家系統的攻擊檢測技術
進行安全檢測工作自動化的另外壹個值得重視的研究方向就
是基於專家系統的攻擊檢測技術,即根據安全專家對可疑行為的
分析經驗來形成壹套推理規則,然後再在此基礎之上構成相應的
專家系統。由此專家系統自動進行對所涉及的攻擊操作的分析工
作。
所謂專家系統是基於壹套由專家經驗事先定義的規則的推理
系統。例如,在數分鐘之內某個用戶連續進行登錄,且失敗超過
三次就可以被認為是壹種攻擊行為。類似的規則在統計系統似乎
也有,同時應當說明的是基於規則的專家系統或推進系統也有其
局限性,因為作為這類系統的基礎的推理規則壹般都是根據已知
的安全漏洞進行安排和策劃的,而對系統的最危險的威脅則主要
是來自未知的安全漏洞。實現壹個基於規則的專家系統是壹個知
識工程問題,而且其功能應當能夠隨著經驗的積累而利用其自學
習能力進行規則的擴充和修正。當然這樣的能力需要在專家的指
導和參與下才能實現,否則可能同樣會導致較多的錯報現象。壹
方面,推進機制使得系統面對壹些新的行為現象時可能具備壹定
的應對能力(即有可能會發現壹些新的安全漏洞);另壹方面,
攻擊行為也可能不會觸發任何壹個規則,從而不被檢測到。專家
系統對歷史數據的依賴性總的來說比基於統計的技術的審計系統
較少,因此系統的適應性比較強,可以較靈活地適應廣譜的安全
策略和檢測需求。但是迄今為止推理系統和謂詞演算的可計算問
題距離成熟解決都還有壹定的距離。
(4)基於模型推理的攻擊檢測技術
攻擊者在攻擊壹個系統時往往采用壹定的行為程序,如猜測
口令的程序,這種行為程序構成了某種具有壹定行為特征的模型
,根據這種模型所代表的攻擊意圖的行為特征,可以實時地檢測
出惡意的攻擊企圖。雖然攻擊者並不壹定都是惡意的。用基於模
型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監
視具有特定行為特征的某些活動。根據假設的攻擊腳本,這種系
統就能檢測出非法的用戶行為。壹般為了準確判斷,要為不同的
攻擊者和不同的系統建立特定的攻擊腳本。
當有證據表明某種特定的攻擊模型發生時,系統應當收集其
他證據來證實或者否定攻擊的真實,既要不能漏報攻擊,對信息
系統造成實際的損害,又要盡可能的避免錯報。
當然,上述的幾種方法都不能徹底地解決攻擊檢測問題,所
以最好是綜合地利用各種手段強化計算機信息系統的安全程序以
增加攻擊成功的難度,同時根據系統本身特點輔助以較適合的攻
擊檢測手段。
4、其它相關問題
為了防止過多的不相幹信息的幹擾,用於安全目的的攻擊檢
測系統在審計系統之外還要配備適合系統安全策略的信息采集器
或過濾器。同時,除了依靠來自審計子系統的信息,還應當充分
利用來自其它信息源的信息。在某些系統內可以在不同的層次進
行審計跟蹤。如有些系統的安全機制中采用三級審計跟蹤。包括
審計操作系統核心調用行為的、審計用戶和操作系統界面級行為
的、和審計應用程序內部行為的。
另壹個重要問題是決定運行攻擊檢測系統的運行場所。為了
提高攻擊檢測系統的運行效率,可以安排在與被監視系統獨立的
計算機上執行審計跟蹤分析和攻擊性檢測,這樣作既有效率方面
的優點,也有安全方面的優點。
因為監視系統的響應時間對被監測的系統的運行完全沒有負
面影響,也不會因為其它安全有關的因素而受到影響。
總之,為了有效地利用審計系統提供的信息,通過攻擊檢測
措施防範攻擊威脅,計算機安全系統應當根據系統的具體條件選
擇適用的主要攻擊檢測方法並且有機地融合其它可選用的攻擊檢
測方法。同時應當清醒地認識到,任何壹種攻擊檢測措施都不能
視之為壹勞永逸的,必須配備有效的管理和組織措施。
(二)攻擊檢測系統的測試
為了恰當地對市場上的攻擊檢測系統產品進行公正有效的評
估和測試,攻擊檢測系統的測試工作是很重要的。
對於用戶而言,第三方的測試報告在采購上很有指導意義。
我國已經有些單位對此十分重視,作了很多開創性的工作,也已
經取得了不小的成績。美國IDG InfoWorld測試中心小組開發了壹
種可以視之為BenchMark類型的測試基準——IWSS16。該小組收集
了若幹種典型且可以公開得到的攻擊方法,對其進行組合,形成
IWSS16。IWSS16組合了四種主要類型的攻擊手段:(1)收集信息攻
擊網絡攻擊者經常在正式攻擊之前,進行試探性的攻擊,目標是
獲取系統有用的信息,所以,第壹大類的攻擊檢測註意力集中在
PING掃描、端口掃描、帳戶掃描、DNS轉換等操作方面。網絡攻擊
者經常使用的攻擊工具包括: Strobe、NS、Satan(Security A
dministrator's Tool for Auditing Network)。利用這些工具
可獲取網絡上的內容、網絡漏洞何在等信息。
(2)獲取訪問權限攻擊
在IWSS16中集成了壹系列的破壞手段來獲取對網絡的特許訪
問,其中包括許多故障制造攻擊,例如發送函件故障、遠程Inte
rnet Mail Access Protocol緩沖區溢出、 FTP故障、phf故障等
。通過這些攻擊造成的故障,暴露系統的漏洞,獲取訪問權限。
(3)拒絕服務攻擊
拒絕服務攻擊是最不容易捕獲的攻擊,因為不留任何痕跡,
安全管理人員不易確定攻擊來源。由於其攻擊目標是使得網絡上
節點系統癱瘓,因此,是很危險的攻擊。當然,就防守壹方的難
度而言,拒絕服務攻擊是比較容易防禦的攻擊類型。這類攻擊的
特點是以潮水般的申請使系統在應接不暇的狀態中崩潰;除此而
外,拒絕服務攻擊還可以利用操作系統的弱點,有目標地進行針
對性的攻擊。
(4)逃避檢測攻擊
國際黑客已經進入有組織有計劃地進行網絡攻擊階段,美國
政府有意容忍黑客組織的活動,目的是使黑客攻擊置於壹定的控
制下,並且通過這壹渠道獲得防範攻擊的實戰經驗。國際黑客組
織已經發展出不少逃避檢測的技巧。但是,魔高壹尺道高壹丈,
矛與盾的相生相克、交替發展是普遍的規律,攻擊檢測系統的發
展研究方向之壹也是要對逃避企圖加以克服。
(三)幾種典型的攻擊檢測系統
(1)NAI公司是領先的專業網絡安全產品提供商,其攻擊檢測
系統產品主要是三個獨立產品:Cybercop Scanner、Cybercop S
erver和Cybercop Network。
Cybercop Scanner是NAI的網絡安全產品系列之壹,其目標是
在復雜的網絡環境中檢測出薄弱環節,Cybercop Scanner對Intr
anet、Web服務器、防火墻等網絡安全環節進行全面的檢查,從而
發現這些安全環節的攻擊脆弱所在,其中包括已經眾所周知的漏
洞,也有許多尚不為人知的漏洞。Cybercop Scanner所發現的這
些網絡產品、網絡系統上的安全漏洞都向軟件廠商和有關的組織
(如FIRST)報告,以便能夠盡快在盡可能大的範圍內解決安全漏洞
所帶來的危險。Cybercop Scanner特別擅長於解決路由器和防火
墻的過濾程序的安全問題,這方面成功的產品在市場上還不多見
。這是由在 Cybercop Scanner產品內的工具 CAPE(Custom Audi
ting Packet Engine)完成的。CAPE可以執行非常復雜的協議層的
欺騙和攻擊模擬,可以簡便地構成適應各種不同的具體網絡的專
用工具,且不要求太高的編程能力。對於希望內部人員解決安全
檢測工具的組織和單位,Cybercop Scanner無疑是比較理想的選
擇。對於那些安全問題的咨詢公司,由於Cybercop Scanner可以
從外部提供對網絡運行狀況的檢測,因此也是適用的工具。
Cybercop Server是NAI的網絡安全產品系列之壹,其目標是
在復雜的網絡環境中提供防範、檢測和對攻擊作出反應,並能采
取自動抗擊措施的工具。Cybercop Server基於客戶機/服務器對
整個網絡進行檢測,建立了新的工業標準——多維安全保護。當
今網絡環境的最大特點就是不可預知性,Web服務器的第壹道防線
是防火墻,Web服務器提供HTTP、FTP以及其它Web協議,這些協議
有別於其它的規範通道,而很多黑客正是通過這些Web協議繞過防
火墻等安全機制的防範。Cybercop Server能夠在黑客成功進入系
統之前檢測出攻擊者並及時報告系統安全管理人員。
Cybercop Server提供實時的檢測服務。NAI在Cybercop Ser
ver中采用了專利技術“Watchdog box”,能夠實時檢測攻擊,並
能解決諸如Web服務器的異常中斷、非法用戶試圖替換超級用戶、
Web服務器的內容被非法修改、非法的網絡入侵者以及非法的登錄
等。Cybercop Server還能夠提供自動對抗措施。在檢測出攻擊企
圖後,能夠自動啟動編程對策,例如:終止登錄過程、終止處理
進程、發出尋呼或發出Email給Web管理員、重啟動Web服務器以及
生成壹個 SNMP陷阱等。Cybercop Server還留有供用戶進壹步開
發的編程接口,借此可以形成與其它安全產品的合作,進壹步加
強系統的安全強度。
Cybercop Network是NAI的網絡安全產品系列之壹,其主要功
能是在復雜的網絡環境中通過循環監測網絡流量 (Traffic)的手
段保護網絡上的***享資源。Cybercop Network提供不停頓的對全
網絡的監測,以及對攻擊企圖的實時報警。Cybercop Network是
基於審計數據的攻擊檢測系統,對於不論內部或者外部的攻擊、
授權濫用都可以給出準確和及時的報警;也可以識別遭受攻擊的
系統成分,對系統活動進行日誌登記記錄;捕獲攻擊線索等。
Cybercop Network系統由智能化的傳感器(Sensor)構成, S
ensor分布在網絡各處敏感和易遭攻擊的場所,如廣域連接、撥號
連接、蔟集服務器、特定的節段等。該產品提供定義監控、過濾
及封鎖網絡通信量的規則的功能,能夠有效地監測網絡,檢測出
攻擊企圖,及時發送警報/電子函件報警、進行事件記錄,還具備
向安全管理人員發尋呼的功能並采取應對/對抗措施。Sensor是可
以根據組織/企業需要進行配置以適合系統安全策略的信息采集器
。
Cybercop能夠生成多種形式的報告,包括HTML、ASCⅡ正文、
RTF格式以及Comma Delimited格式。
(2)ISS公司(Internet Security System)的 RealSecure
2.0 for Windows NT是壹種領導市場的攻擊檢測方案。RealSecu
re 2.0提供了分布式安全體系結構,多個檢測引擎可以監控不同
的網絡並向中央管理控制臺報告。控制臺與引擎之間的通信可以
采用128-bit RSA進行認證和加密。
(3)Abirnet公司的Session-wall-3是壹種功能比較廣泛的安
全產品,其中包括攻擊檢測系統功能。
Session-wall-3提供定義監控、過濾、及封鎖網絡通信量的
規則的功能,因此其解決方案比較簡潔、靈活。
Session-wall-3檢測到攻擊後即向本地控制臺發送警報、電
子函件、進行事件記錄,還具備向安全管理人員發尋呼的功能。
報表功能也比較強。
(4)Anzen公司的NFR(Netware Flight Recorder)提供了壹
個網絡監控框架,利用這相框架可以有效地執行攻擊檢測任務。
OEM公司可以基於NFR定制具備比較專門用途的攻擊檢測系統,有
些軟件公司已經NFR開發出各自的產品。
(5)IBM公司的IERS系統(Internet Emergency Response Se
rvice)由兩個部件組成;NetRanger檢測器和 Boulder監控中心
。NetRanger檢測器負責監聽網絡上的可識別的通信數字簽名,壹
旦發現異常情況,就啟動Boulder監控中心的報警器