入侵檢測系統(tǒng)的標準化

張曉芬　牛少彰


北京郵電大學信息安全中心



　　摘 要 入侵檢測系統(tǒng)（IDS）的標準化是必然要經(jīng)歷的階段，標準化的制定有利于不同的IDS之間的協(xié)作，從而發(fā)現(xiàn)新的入侵活動；有利于IDS與訪問控制、應急、入侵追蹤等系統(tǒng)交換信息，相互協(xié)作，形成一個整體有效的安全保障系統(tǒng)。本文首先介紹了網(wǎng)絡安全的重要性，并給出了防火墻和入侵檢測系統(tǒng)的相關(guān)知識，指出了其中存在的問題，從而說明了入侵檢測系統(tǒng)標準化產(chǎn)生的背景，接著介紹了國外已經(jīng)存在的標準草案，之后著重分析了制定IDS標準的意義以及國內(nèi)制定標準的可行性，最后展望了IDS標準化發(fā)展的方向。


　　關(guān)鍵詞 入侵檢測系統(tǒng)（IDS） 入侵檢測數(shù)據(jù)交換標準 通用入侵檢測



1 引言


　　在信息化社會中，計算機通信網(wǎng)絡在政治、軍事、金融、商業(yè)、交通、電信、文教等方面的作用日益增大。社會對計算機網(wǎng)絡的依賴也日益增強。隨著網(wǎng)絡的開放性、共享性及互聯(lián)性的擴大，特別是Internet的出現(xiàn)，網(wǎng)絡的重要性和對社會的影響也越來越大。隨著網(wǎng)絡上各種新業(yè)務的興起，比如電子商務、電子現(xiàn)金等，以及各種專用網(wǎng)的建設(shè)，使安全問題顯得越來越重要。


　　網(wǎng)絡安全從本質(zhì)上來講就是網(wǎng)絡上的信息安全。凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡安全所要研究的領(lǐng)域。防火墻技術(shù)是實現(xiàn)網(wǎng)絡安全措施的一種手段�？梢杂脕砭芙^未經(jīng)授權(quán)的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時允許合法用戶訪問網(wǎng)絡資源。但是，防火墻不能防止內(nèi)部的攻擊，因為它只是提供了對網(wǎng)絡邊緣的防衛(wèi)。內(nèi)部人員可能濫用被給予的訪問權(quán)，由此導致的事故占了全部事故的一半以上。而且，一旦闖入防火墻，防火墻就無法知道正在發(fā)生的事情。入侵檢測系統(tǒng)（IDS）是一種不同于防火墻的主動保護網(wǎng)絡資源的網(wǎng)絡安全系統(tǒng)，是防范網(wǎng)絡攻擊的最后一道防線，是其他安全措施的必要補充，在網(wǎng)絡安全技術(shù)中起著不可替代的作用。入侵檢測系統(tǒng)包括三個功能部件：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎、基于分析引擎的結(jié)果產(chǎn)生反應的響應部件。


　　但是，隨著計算機網(wǎng)絡資源共享的進一步加強，并且隨著網(wǎng)絡規(guī)模的擴大，網(wǎng)絡入侵的方式、類型、特征各不相同，入侵活動變得復雜而又難以捉摸。某些入侵的活動靠單一IDS不能檢測出來。不同的IDS之間沒有協(xié)作，結(jié)果造成缺少某種入侵模式而導致IDS不能發(fā)現(xiàn)新的入侵活動。網(wǎng)絡的安全也要求IDS能夠與訪問控制、應急、入侵追蹤等系統(tǒng)交換信息，相互協(xié)作，形成一個整體有效的安全保障系統(tǒng)。然而，要達到這些要求，需要一個標準來加以指導，系統(tǒng)之間要有一個約定，如數(shù)據(jù)交換的格式、協(xié)作方式等。


2 IDS標準研究狀況


　　為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級研究計劃署（DARPA）和互聯(lián)網(wǎng)工程任務組（IETF）的入侵檢測工作組（IDWG）發(fā)起制定了一系列IDS的標準草案。


　　IDWG主要負責制定入侵檢測響應系統(tǒng)之間共享信息的數(shù)據(jù)格式和交換信息的方式，以及滿足系統(tǒng)管理的需要。IDWG的任務是，對于入侵檢測系統(tǒng)、響應系統(tǒng)和它們需要交互的管理系統(tǒng)之間的共享信息，定義數(shù)據(jù)格式和交換程序。IDWG提出的建議草案包括三部分內(nèi)容：入侵檢測消息交換格式（IDMEF）、入侵檢測交換協(xié)議（IDXP）以及隧道模型（Tunnel Profile）。


　　IDMEF描述了一種表示入侵檢測系統(tǒng)輸出消息的數(shù)據(jù)模型，并且解釋了使用這個模型的基本原理。IDMEF數(shù)據(jù)模型以面向?qū)ο蟮男问奖硎痉治銎靼l(fā)送給管理器的警報數(shù)據(jù)。數(shù)據(jù)模型的設(shè)計目標是用一種明確的方式提供了對警報的標準表示法，并描述簡單警報和復雜警報之間的關(guān)系。該數(shù)據(jù)模型用XML（可擴展的標識語言）實現(xiàn)。自動的入侵檢測系統(tǒng)能夠使用IDMEF提供的標準數(shù)據(jù)格式，來對可疑事件發(fā)出警報。這種標準格式的發(fā)展將使得在商業(yè)、開放資源和研究系統(tǒng)之間實現(xiàn)協(xié)同工作的能力，同時允許使用者根據(jù)他們的強點和弱點獲得最佳的實現(xiàn)設(shè)備。實現(xiàn)IDMEF最適合的地方是入侵檢測分析器（或稱為“探測器”）和接收警報的管理器（或稱為“控制臺”）之間的數(shù)據(jù)信道。


　　IDXP是一個用于入侵檢測實體之間交換數(shù)據(jù)的應用層協(xié)議，能夠?qū)崿F(xiàn)IDMEF消息、非結(jié)構(gòu)文本和二進制數(shù)據(jù)之間的交換，并提供面向連接協(xié)議之上的雙方認證、完整性和保密性等安全特征。IDXP模型為建立連接、傳輸數(shù)據(jù)和斷開連接。


　　DARPA提出的建議是通用入侵檢測框架（CIDF），最早由加州大學戴維斯分校安全實驗室主持起草工作。CIDF主要介紹了一種通用入侵說明語言（CISL），用來表示系統(tǒng)事件、分析結(jié)果和響應措施。為了把IDS從邏輯上分為面向任務的組件，CIDF試圖規(guī)范一種通用的語言格式和編碼方式以表示在組件邊界傳遞的數(shù)據(jù)。CIDF所做的工作主要包括四部分：IDS的體系結(jié)構(gòu)、通信體制、描述語言和應用編程接口（API）。


　　CIDF根據(jù)IDS系統(tǒng)通用的需求以及現(xiàn)有的IDS系統(tǒng)的結(jié)構(gòu)，將IDS系統(tǒng)的構(gòu)成劃分為五類組件：事件組件、分析組件、數(shù)據(jù)庫組件、響應組件和目錄服務組件。從功能的角度，這種劃分體現(xiàn)了入侵檢測系統(tǒng)所必須具有的體系結(jié)構(gòu)：數(shù)據(jù)獲取、數(shù)據(jù)管理、數(shù)據(jù)分析、行為響應，因此具有通用性。這些組件以GIDO（統(tǒng)一入侵檢測對象）格式進行數(shù)據(jù)交換。GIDO是對事件進行編碼的標準通用格式（由CIDF描述語言CISL定義）。這里的組件只是邏輯實體，一個組件可能是某臺計算機上的一個進程甚至線程，也可能是多個計算機上的多個進程。


　　CIDF組件在一個分層的體系結(jié)構(gòu)里進行通信，這個體系結(jié)構(gòu)包括三層：GIDO層、消息層和協(xié)商傳輸層。GIDO層的任務就是提高組件之間的互操作性，就如何表示各種各樣的事件做了詳細的定義。消息層確保被加密認證消息在防火墻或NAT等設(shè)備之間傳輸過程中的可靠性。消息層沒有攜帶有語義的任何信息，它只關(guān)心從源地址得到消息并送到目的地；相應地，GIDO層只考慮所傳遞消息的語義，而不關(guān)心這些消息怎樣被傳遞。協(xié)商傳輸層規(guī)定GIDO在各個組件之間的傳輸機制。


　　CIDF的通信機制主要討論消息的封裝和傳遞，分為四個方面：①匹配服務：它為CIDF組件提供一種標準的統(tǒng)一機制，并且為組件定位共享信息的通信“合作者”。因此極大提高了組件的互操作性,減少了開發(fā)多組件入侵檢測與響應系統(tǒng)的難度；②路由：組件之間要通信時，有時需要經(jīng)過非透明的防火墻，發(fā)送方先將數(shù)據(jù)包傳遞給防火墻的關(guān)聯(lián)代理，然后再由此代理將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地。CIDF采用了源路由和絕對路由；③消息層：消息層的使用達到了下面的目標：提供一個開放的體系結(jié)構(gòu)，使通信獨立于操作系統(tǒng)、編程語言和網(wǎng)絡協(xié)議，簡化向CIDF中添加新的組件，支持認證與保密的安全要求，同步（封鎖進程與非封鎖進程）；④消息層處理：消息層處理規(guī)定了消息層消息的處理方式，它包括四個規(guī)程：標準規(guī)程、可靠傳輸規(guī)程、保密規(guī)程和鑒定規(guī)程。


　　CIDF的工作重點是定義了一種應用層的語言CISL，用來描述IDS組件之間傳送的信息，以及制定一套對這些信息進行編碼的協(xié)議。CISL使用了一種被稱為S表達式的通用語言構(gòu)建方法，S表達式是標識符和數(shù)據(jù)的簡單循環(huán)分組，即對標記加上數(shù)據(jù)，然后封裝在括號內(nèi)完成編組。CISL使用范例對各種事件和分析結(jié)果進行編碼，把編碼的句子進行適當?shù)姆庋b，就得到了GIDO。GIDO的構(gòu)建與編碼是CISL的重點。


　　CIDF的API負責GIDO的編碼、解碼和傳遞，它提供的調(diào)用功能使得程序員可以在不了解編碼和傳遞過程具體細節(jié)的情況下，以一種很簡單的方式構(gòu)建和傳遞GIDO。它分為兩類：GIDO編碼/解碼API和消息層API。


　　CIDF和IDWG都還不成熟，目前仍在不斷地改進和完善中，但可以預見，標準化是未來的入侵檢測系統(tǒng)必然方向，而CIDF或IDWG很可能會代表將來的IDS國際通用標準。


3 入侵檢測標準研究的意義


　　當面對入侵活動越來越廣泛，并且許多攻擊是經(jīng)過長時期準備、通過網(wǎng)上協(xié)作開展進行時，入侵檢測系統(tǒng)和它的組件之間共享這種類型攻擊信息十分重要。共享讓系統(tǒng)之間對可能即將來臨的攻擊發(fā)出警報。主要的意義在于共享攻擊特征數(shù)據(jù)，安全控制系統(tǒng)之間相互協(xié)作有利于產(chǎn)品評估。


　　 數(shù)據(jù)交換標準化解決了入侵檢測系統(tǒng)和它的組件之間共享攻擊信息問題。提高了IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性。CIDF使得IDS系統(tǒng)能夠劃分為具有不同的功能模型組件，在不同于最初被創(chuàng)建的環(huán)境下，這些組件依然能夠被重新使用。同時，CIDF解決了不同入侵檢測系統(tǒng)的互操作性和共存問題。它所提供的標準數(shù)據(jù)格式，使得IDS中的各類數(shù)據(jù)可以在不同的系統(tǒng)之間傳遞并共享。CIDF的完善的互用性標準以及最終建立的一套開發(fā)接口和支持工具，提供了獨立開發(fā)部分組件的能力。


　　盡管計算機網(wǎng)絡資源共享在進一步加強，網(wǎng)絡規(guī)模在不斷擴大，網(wǎng)絡入侵的方式、類型、特征各不相同，入侵活動變得復雜而又難以捉摸，只要有統(tǒng)一的入侵檢測標準，就能夠檢測出靠單一的IDS不能檢測出來的某些入侵活動。而且，標準的制定使得不同的IDS之間存在協(xié)作，形成某種入侵模式使得IDS能夠發(fā)現(xiàn)新的入侵活動。同時IDS能夠與訪問控制、應急、入侵追蹤等系統(tǒng)交換信息，相互協(xié)作，形成一個整體有效的安全保障系統(tǒng)，滿足網(wǎng)絡安全的需求。


4 關(guān)于國內(nèi)開展入侵檢測系統(tǒng)標準的思考


　　 要使得國內(nèi)廠商做出的安全產(chǎn)品能夠符合國際標準，與其他安全產(chǎn)品互相溝通，并且具有長久的生命力，就必須把IDS的標準化提高到一個重要的高度。目前國內(nèi)還沒有制定出入侵檢測標準。要建立國內(nèi)的入侵檢測標準和IDS產(chǎn)品的測試開展，應該從以下幾點進行。


　　首先應該宣傳IDS的重要性。國外就特別關(guān)注入侵檢測技術(shù)的發(fā)明創(chuàng)新及應用研究。DARPA資助20多個項目，用于入侵檢測系統(tǒng)測試評估的費用達1000萬美元。麻省理工學院林肯實驗室開發(fā)了非實時的IDS性能評估工具，該工具能夠動態(tài)地加速重放大量的數(shù)據(jù)，迅速產(chǎn)生所需測試數(shù)據(jù)。IBM公司蘇黎世研究實驗室也開發(fā)了一套IDS測評工具。


　　其次將IDS標準作為一個項目，進行分工合作。讓更多的研究者參與到IDS標準的研究中，分別針對每一點去進行開發(fā)研究，這樣做出來的產(chǎn)品更為成熟、更加能夠經(jīng)受得住市場的沖擊。具有長久的生命力。


　　然后成立IDS討論組如郵件列表，進行交換意見。最后起草IDS標準草案，征求意見稿。


　　國內(nèi)制定IDS標準的可行性。從技術(shù)路線來看，國內(nèi)可以取國外研究組織的研究成果，結(jié)合我國實際情況，制定可操作的標準。同時靠國內(nèi)研究單位力量，調(diào)查IDS產(chǎn)品狀況，然后制定標準草案。在制定標準的過程中可能會遇到難點，如標準的實際可操作性和標準的完備性。如何來解決相應的難點？我們可以組織人員調(diào)查研究國外IDS標準，在制定了IDS標準草案稿后，廣泛征求意見使得標準盡可能地完善。同時建立IDS評估測試實驗室來驗證標準的可操作性。國外安全機構(gòu)早已建立起弱點數(shù)據(jù)庫系統(tǒng)，入侵者往往借助系統(tǒng)弱點而成功地進行攻擊。因此，檢測弱點使用常會發(fā)現(xiàn)入侵者。同時，弱點數(shù)據(jù)庫系統(tǒng)會讓安全管理員意識到系統(tǒng)存在，從而及時修補弱點漏洞，防止入侵。www.whitehats.com 已建立了全球免費的攻擊特征數(shù)據(jù)庫系統(tǒng)，IDS可以利用這些特征庫來檢測入侵者。在弱點數(shù)據(jù)庫系統(tǒng)和攻擊特征數(shù)據(jù)庫系統(tǒng)基礎(chǔ)上，設(shè)計IDS測試方法，并構(gòu)建常用的檢測公共庫，因此就能夠?qū)崿F(xiàn)IDS的評估系統(tǒng)。測試環(huán)境包括兩個方面，一種是在線實時網(wǎng)絡環(huán)境，另一種是離線網(wǎng)絡環(huán)境�？紤]到測試的復雜性，可以使用系統(tǒng)仿真測試。


5 結(jié)束語


　　IDS是近年來發(fā)展起來的促進系統(tǒng)安全的技術(shù)，它日益受到各國政府和學者的重視。其標準化的發(fā)展尚未成熟，我國在這一方面所做的工作相對更少，本文較全面地介紹了IDS標準化所涉及的一些問題，以期推動我國IDS標準化的研究。




----《中國數(shù)據(jù)通信》