IDS的數(shù)據(jù)收集機(jī)制

葉惠敏 宋獻(xiàn)濤

  研究數(shù)據(jù)收集機(jī)制的重要性是顯而易見的:就準(zhǔn)確性、可靠性和效率而言,IDS收集到的數(shù)據(jù)是它進(jìn)行檢測和決策的基礎(chǔ)。如果收集數(shù)據(jù)的時(shí)延太大,系統(tǒng)很可能在檢測到攻擊的時(shí)候,入侵者已經(jīng)長驅(qū)直入;如果數(shù)據(jù)不完整,系統(tǒng)的檢測能力就會(huì)大打折扣;如果數(shù)據(jù)本身不正確,系統(tǒng)就無法檢測某些攻擊,從而給用戶造成一種很虛假的安全感,后果更不堪設(shè)想。

  普萊斯在研究了不同濫用檢測系統(tǒng)的需求和不同操作系統(tǒng)提供的數(shù)據(jù)之后,得出了一個(gè)結(jié)論:傳統(tǒng)操作系統(tǒng)所提供的審計(jì)數(shù)據(jù)無法為濫用檢測提供足夠的有用信息。

基于網(wǎng)絡(luò)的數(shù)據(jù)收集和基于主機(jī)的數(shù)據(jù)收集

  入侵檢測系統(tǒng)目前所能檢測到的大部分入侵都是由主機(jī)上的活動(dòng)引起的,如執(zhí)行某一命令、訪問某項(xiàng)服務(wù)并提供不正確的數(shù)據(jù)等,這些攻擊活動(dòng)發(fā)生在終端機(jī)上,有時(shí)通過網(wǎng)絡(luò)檢測也可以發(fā)現(xiàn)它們。

  針對網(wǎng)絡(luò)本身的攻擊通常都是數(shù)據(jù)洪流,即發(fā)送的數(shù)據(jù)量超過網(wǎng)絡(luò)的承受能力,以至于使得合法數(shù)據(jù)包通信受阻。但在終端機(jī)上也照樣可以檢測到這些攻擊,例如,通過查看主機(jī)ICMP層是否有大量的Echo-Request分組,也可以檢測到是否有Ping洪流攻擊發(fā)生。

  基于網(wǎng)絡(luò)的數(shù)據(jù)收集有時(shí)會(huì)比基于主機(jī)的數(shù)據(jù)收集效果更好,尤其是主機(jī)對攻擊行為沒有反應(yīng)的時(shí)候(例如,攻擊數(shù)據(jù)包指向的端口是關(guān)閉的),但即使在這種情況下,也可以通過終端主機(jī)網(wǎng)絡(luò)棧的底層檢測到這些攻擊。

  總體而言,基于主機(jī)的數(shù)據(jù)收集要好一些,原因如下:

  1.基于主機(jī)收集到的數(shù)據(jù)能準(zhǔn)確反映主機(jī)上發(fā)生的情況,而不是根據(jù)從網(wǎng)絡(luò)上收集到的數(shù)據(jù)包去猜測發(fā)生了什么事情。

  2.在數(shù)據(jù)流量很大的網(wǎng)絡(luò)中,網(wǎng)絡(luò)監(jiān)視器經(jīng)常會(huì)丟包,但主機(jī)監(jiān)視器則可以報(bào)告每臺主機(jī)上發(fā)生的所有事件。

  3.基于網(wǎng)絡(luò)的數(shù)據(jù)收集機(jī)制對插入攻擊和規(guī)避攻擊無能為力,但基于主機(jī)的數(shù)據(jù)收集就不存在這樣的問題,它能夠處理主機(jī)收到的所有數(shù)據(jù)。

  這些問題也從更一般的意義上反映出了直接數(shù)據(jù)收集和非直接數(shù)據(jù)收集方法的差異。

直接監(jiān)控和間接監(jiān)控

我們將數(shù)據(jù)收集分成直接監(jiān)控和間接監(jiān)控兩種方法。

  1.直接監(jiān)控:從數(shù)據(jù)生成地或?qū)俚刂苯荧@取數(shù)據(jù)。例如,如果要直接監(jiān)控某主機(jī)的CPU負(fù)載情況,就需要從主機(jī)相應(yīng)的內(nèi)核結(jié)構(gòu)中獲取數(shù)據(jù); 如果要直接監(jiān)控inetd后臺進(jìn)程所提供的網(wǎng)絡(luò)服務(wù)的情況,就需要直接從inetd獲取關(guān)于那些訪問情況的數(shù)據(jù)。

  2.間接監(jiān)控:從能反映監(jiān)控目標(biāo)行為的數(shù)據(jù)源處獲取數(shù)據(jù)。還以前面的兩個(gè)例子為證,間接監(jiān)控可以通過讀取記錄CPU負(fù)載的日志文件,完成對主機(jī)CPU 負(fù)載的監(jiān)控;通過讀取inetd后臺進(jìn)程所產(chǎn)生的日志文件,或通過類似TCP-Wrappers的輔助程序,間接監(jiān)控網(wǎng)絡(luò)服務(wù)的訪問情況;也可以通過監(jiān)視發(fā)往主機(jī)特定端口的數(shù)據(jù)包進(jìn)行間接監(jiān)控。

  就檢測入侵行為而言,直接監(jiān)控要優(yōu)于間接監(jiān)控,原因如下:

 。1)從非直接數(shù)據(jù)源獲取的數(shù)據(jù)(例如審計(jì)蹤跡)在被IDS使用之前,有被入侵者修改的潛在可能。

 。2)非直接數(shù)據(jù)源可能無法記錄某些事件。例如,并不是inetd后臺進(jìn)程的所有行為都會(huì)被記錄到日志文件中的; 間接數(shù)據(jù)源可能無法訪問監(jiān)視對象的內(nèi)部信息,例如,TCP-Wrappers不能檢查inetd后臺進(jìn)程的內(nèi)部操作,只能檢查那些通過外部接口傳遞的數(shù)據(jù)。

  (3)在間接監(jiān)控中,數(shù)據(jù)一般都是通過某種機(jī)制生成的(如編寫審計(jì)蹤跡的代碼),但那些機(jī)制并不了解IDS使用數(shù)據(jù)的具體需求。正因如此,從間接數(shù)據(jù)源獲取的數(shù)據(jù)量總是非常之大,一個(gè)C2級生成的審計(jì)蹤跡可能包含每個(gè)用戶每天50k~500k的記錄,對于一個(gè)中等規(guī)模的用戶組來說,每天審計(jì)蹤跡數(shù)據(jù)可能會(huì)有好幾百兆。

由于這個(gè)原因,IDS在使用間接數(shù)據(jù)源時(shí),通常必須消耗大量的資源對數(shù)據(jù)進(jìn)行過濾和精簡。

  直接監(jiān)控方法只獲取它需要的數(shù)據(jù),所以生成的數(shù)據(jù)量相對較小。此外,監(jiān)控組件自身也會(huì)對數(shù)據(jù)進(jìn)行分析,只有在檢測到相關(guān)事件時(shí)才產(chǎn)生結(jié)果,這樣就減少了數(shù)據(jù)的存儲量。

 。4)間接監(jiān)控機(jī)制的伸縮性差。因?yàn)楫?dāng)主機(jī)及其內(nèi)部被監(jiān)控要素的數(shù)目增加時(shí),過濾數(shù)據(jù)的開銷會(huì)降低被監(jiān)控主機(jī)的性能。

 。5)間接數(shù)據(jù)源常常在數(shù)據(jù)產(chǎn)生和IDS訪問這些數(shù)據(jù)之間有一個(gè)時(shí)延,而直接監(jiān)控的時(shí)延就小得多,這樣IDS才能據(jù)此做出更及時(shí)的響應(yīng)。

外部探測器和內(nèi)部探測器

  有些入侵檢測系統(tǒng)在實(shí)現(xiàn)數(shù)據(jù)收集時(shí)采用了外部探測器和內(nèi)部探測器,如普渡大學(xué)的AAFID,使用外部探測器時(shí),監(jiān)控組件與被監(jiān)控程序分離,而內(nèi)部探測器則在所監(jiān)控的程序代碼內(nèi)實(shí)現(xiàn)。

  外部探測器和內(nèi)部探測器在用于直接數(shù)據(jù)收集時(shí)各有利弊。下表列出了這兩種類型探測器各自的優(yōu)缺點(diǎn)。

從軟件工程的角度來看,內(nèi)部探測器和外部探測器在以下幾方面具有不同的特點(diǎn):

  1.錯(cuò)誤引入:當(dāng)使用內(nèi)部探測器時(shí),必須修改被監(jiān)視程序的代碼,所以程序操作中更容易引入錯(cuò)誤。當(dāng)然,外部探測器也會(huì)引入錯(cuò)誤,例如,代理消耗了過量資源,或庫調(diào)用錯(cuò)誤地修改了某些參數(shù)。因此,實(shí)現(xiàn)內(nèi)部探測器的代碼應(yīng)盡量短,這樣,萬一出現(xiàn)錯(cuò)誤,檢查難度也不會(huì)太大。

  2.可維護(hù)性:外部探測器與所監(jiān)控的程序是相互分離的,所以更容易維護(hù)。

  3.規(guī)模:內(nèi)部探測器是現(xiàn)成程序的一部分,所以避免了與創(chuàng)建進(jìn)程相關(guān)的一些基本開銷,因而可以比外部探測器小。

  4.完備性:內(nèi)部探測器可以訪問所監(jiān)視程序中的任何信息,而外部探測器只能訪問外部可獲的數(shù)據(jù)。所以,內(nèi)部探測器能獲得關(guān)于監(jiān)視程序行為更完備的信息。此外,內(nèi)部探測器可以被放置在所監(jiān)視程序的任何地方,而外部探測器只能“從外面”檢查程序,所以前者比后者的觀察范圍要廣。

  5.正確性:內(nèi)部探測器訪問的數(shù)據(jù)更完全,而外部探測器只能根據(jù)可獲數(shù)據(jù)作出基于經(jīng)驗(yàn)的猜測,所以前者產(chǎn)生的結(jié)果也比后者更正確。

  對于IDS的設(shè)計(jì)者和實(shí)現(xiàn)者來說,研究所使用的數(shù)據(jù)源、權(quán)衡使用這些數(shù)據(jù)源的利弊以及是否可能有更好的方法,都是至關(guān)重要的。只有當(dāng)決策數(shù)據(jù)可靠時(shí),IDS的可靠性才能得到保證。所以如何為入侵檢測系統(tǒng)提供盡可能好的數(shù)據(jù)源是所有IDS開發(fā)商和研究者應(yīng)認(rèn)真考慮的問題。

摘自《計(jì)算機(jī)世界》


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國移動(dòng):6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國移動(dòng)算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

    業(yè)界最新資訊


      最新招聘信息