|
防黑三剑客
近两年,黑客活动日益猖獗,用户对防黑客产品的需求逐渐升温。如今,已有大量入侵探测产品涌入市场。相对而言,网络入侵探测产品还是个新兴市场,但它发展迅猛。按照基本的网络探测方法,当今的入侵探测产品可分为三种:事后审核分析、实时数据包分析和实时活动监视。每一种方法均有其自身价值和优缺点,适用于不同的网络、不同的应用需求。
剑客一:事后审核分析
传统的入侵探测是进行事后审核分析。SAIC公司的CMDS和TIS公司的Stalker都属于这种。它们可以对UNIX系统进行审查追踪分析,并找出其中的可疑活动。
这类产品主要有两个优点,第一,它可以解决组织进行检查和管理审核时遇上的巨大困难。购买这样的产品,可以通过审核的集中化和自动化节省成本。第二,审核可以对历史事件进行分析,更加成熟的产品可以用图表表示出结果,并且可以进行趋势分析。这种产品特别适用于调查过去一段时间内发生的入侵事件。
从基于网络安全的角度来看,纯粹的事后调查软件的缺点是,等它们发现安全问题再做出反应、保护数据已经为时过晚。另外,大多数黑客知道如何通过篡改审核记录以掩盖其行踪。所以,事后审核分析经常失效。
剑客二:实时数据包分析
进行实时入侵探测的一种方法是让一个系统专门检查通过一段网络的数据包。通常,只有以太网才能够被监视。若要使用这种方法,必须把入侵探测软件安装到一个系统上,并把该系统的网络接口卡设置为混杂式,从而使软件可以阅读和分析所有通过的数据包。它不仅检查文件头部分,而且检查数据包的内容。这种入侵探测软件包含一个引擎,用于查找诸如提供假IP地址和数据包泛滥等特定方式的入侵。当包分析软件发现一个潜在问题时,它立即做出反应:通过控制台发布通告,边打印边蜂鸣,发送电子邮件,甚至关闭该网络进程。这种产品包括:Wheelgroup的NetRanger、Iss的Realsecure和Network Associate的Cyber Cop。
数据包分析技术的优点是:第一,许多基于网络的入侵(如虚假IP地址、数据包泛滥)最适合于进行包检查。另外,你不必为每一台主机都安装一套软件。但包分析软件仅仅监视连接媒介上流过的数据包,而不包括节点。节点是任何网络的重要组成部分,根据网络最基本的定义———网络是由节点和连接媒介组成的,因而不能将数据包分析软件归属为基于网络的入侵探测工具。
只使用数据包探测技术进行入侵探测也有其局限性:如,数据包分析入侵探测是在远离应用程序和被保护数据的地方进行的,数据包分析无法探测到以下几种入侵行为:
●利用UNIX系统缓冲器溢出裂缝进入侵(获取“Root”)。
●利用Windows NT系统脆弱的登记表,获取系统管理员的密码。
●浏览该用户无权访问的文件。
●通过电话线远程入侵重要服务器。
●在系统中投放特洛伊木马病毒;例如,改变Windows NT的登录程序。
●篡改网面和网络服务器的内容。
●改变防火墙和路由器的设备,使之无法正常工作。
●侵入数据库。
包分析探测工具还需要为每一个被监视的网络段配置一个专用机器,机器的价格取决于网络连接的传输速度。由于包分析探测工具必须跟上网络传输流量,因而随着网络速度的不断提高,包分析探测工具的硬件必须不断升级。另外,包分析分侵探测无法监视加密的数据包,它最多能够发现有数据包通过网络连接,但无法报告加密的数据包的内容。
剑客三:实时活动监视
网络专家认为数据包分析确实可以提供一层超越防火墙的保护,但这种保护是很有限的。另一种有效的实时入侵探测方法是对发生在组成网络的各种系统和设备上、与网络安全相关的活动进行的监视。大多数实时活动监视工具还可同时察看操作系统、审核数据。在实时活动监视工具中,更成熟的产品还应包括以下功能:
●跟踪审核应用程序、数据库、Web服务器、路由器、防火墙等。
●监视重要文件以防特洛伊木马病毒,监视未经允许的更改。
●监视TCP和UDP端口活动。
●接受SNMP(简单网络管理协议)的捕捉和触发。
试图进入未经授权的重要文件或者用新版本替换原来的登录程序等一些入侵行为,都可以被实时活动监视器探测到。与数据包探测工具不同,它可以发现用户非法获得“Root”(UNIX)或者系统管理员密码(Windows NT)。当监视器发现可疑活动,它就在造成破坏之前采取立即行动。这种行动包括通告到控制台,发现一个电子邮件,打印一版报告,使用户无效,结束入侵进程,关闭系统,或执行一个命令。
实时活动监视的优点是它们安装在离重要数据和应用程序很近的地方,所有设备都处于被监视状态下,对网络内部和网络外部入侵的监视就变得十分容易。另外,包分析无法发现许多应用程序和操作系统级入侵,只有系统级监视才能探测到这些入侵。
实时活动监视有两种:单独系统和管理器/代理。单独系统活动监视运行在一个单独的系统上,并且探测发生在这个系统上的入侵行为,这样的入侵探测工具只安装和运行在单独的系统上。Intrusion Detection公司的Kane Security Monitor和TIS′Webstalker都是适用于Windows NT的单独系统的工具。
管理器/代理入侵探测方法是把代理程序安装到企业网中的每一台设备,这些代理程序连接到不同的管理程序,管理程序按照顺序与入侵探测控制台连接。通过控制台,可以远程安装、升级代理程序、设备代理程序入侵探测方式和跟踪发生在整个网络的入侵活动。
管理器/代理入侵探测方法结构图
探测方法的比较
下面表格列出了几种不同的入侵方法的主要特点,指出了每一种探测方法能够探测到什么类型的网络安全威胁和入侵。“ ”表示它可以探测到并可做出反应。“d”表示只能探测到。但是标有“d”或“ ”的并不一定意味着目前所有使用这种方法的产品均具有该功能,它只是表明这种方法支持该功能。
入侵探测功能 |
事后审查追踪分析 |
实时数据包分析 |
实时活动监视 |
| 单独节点 |
管理器/代理 |
| 特点 |
| 历史审查追踪分析 |
d |
|
√ |
√ |
| 不需要使用专用设备 |
d |
√ |
√ |
√ |
| 实时入侵探测 |
|
√ |
√ |
√ |
| 立即反应 |
|
√ |
√ |
√ |
| 与系统和网络帧管理的集成 |
|
√ |
√ |
√ |
| 全网络报告 |
d |
√ |
|
√ |
| 跨网络审查活动 |
d |
|
|
√ |
| 支持操作系统特有事件 |
|
|
√ |
√ |
| 监视应用程序、数据库、web服务器等安全活动 |
d |
|
√ |
√ |
| 通过网络自动发送id软件 |
d |
|
|
√ |
| 从中心控制台自动升级软件 |
d |
√ |
|
√ |
| 可探测的网络入侵和威胁 |
| 破译密码 |
d |
|
√ |
√ |
| 在多系统中破译密码 |
|
|
|
√ |
| 虚假ip地址 |
|
√ |
|
√ |
| 网络包同步 |
|
√ |
√ |
√ |
| 定点攻击 |
|
√ |
|
|
| 远程拨号入侵 |
d |
|
√ |
√ |
| 来自非法ip地址的入侵 |
|
√ |
|
√ |
| 非法抢占“root” |
|
|
√ |
√ |
| 篡改重要文件 |
d |
|
√ |
√ |
| 特洛伊木马探测 |
d |
|
√ |
√ |
| 非法浏览文件 |
d |
|
√ |
√ |
| 非法浏览多系统文件 |
|
|
|
√ |
| 反应类型 |
| 发警报给控制台 |
|
√ |
|
√ |
| 发送电子邮件 |
|
√ |
√ |
√ |
| 打印到报告上 |
|
√ |
√ |
√ |
| 使入侵者账户失效 |
|
|
√ |
√ |
| 停止网络访问 |
|
√ |
|
√ |
| 停止入侵者进程 |
|
√ |
√ |
√ |
| 关闭系统 |
|
|
√ |
√ |
| 终止入侵者账户进程 |
|
|
√ |
√ |
| 开始snmp捕捉 |
|
√ |
√ |
√ |
| 记录事件到安全服务器 |
|
√ |
|
√ |
| 执行特定命令 |
|
√ |
√ |
|
如前面表格所示,所有的入侵探测方法都自有优缺点。事后监视技术不能够立即做出反应,实时数据报分析适合于分析所有低级别的数据包入侵,但因为它距离系统距离太远而无法独立有效地探测到全网络的入侵活动。实时活动监视考虑到了主机和连接媒介,相对而言,管理器/代理活动监视方法是非常有效的,它可以从路由器、防火墙等设备上获取信息,探测多种不同的入侵。
管理器/代理结构不仅可以监视整个网络的入侵活动和审查踪迹管理,也可以进行实时入侵活动的探测。它包含了第一种和第三种方法,将包分析这个特殊代理程序添加到管理器/代理产品当中。
单独使用任何一种入侵探测方法都会存在漏洞,尽管目前没有一种单独的产品能够跨越多于两种方法,随着入侵探测技术的发展,不久的将来,将会出现同时使用三种探测方法的产品,综合运用多种技术,这也是防黑客产品的发展方向。
(,2000-11-01)
|
