APT檢測(cè)是IDS發(fā)展方向

網(wǎng)絡(luò)安全的高速發(fā)展給網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用市場(chǎng)帶來(lái)了前所未有的機(jī)遇，然而機(jī)遇與挑戰(zhàn)并存，網(wǎng)絡(luò)安全市場(chǎng)雖然迎來(lái)了一個(gè)快速發(fā)展的機(jī)會(huì)，但是由于網(wǎng)絡(luò)延伸的速度超出了人們的預(yù)想，網(wǎng)絡(luò)安全問(wèn)題表現(xiàn)出越來(lái)越復(fù)雜的狀態(tài)，給網(wǎng)絡(luò)應(yīng)用市場(chǎng)的前進(jìn)帶來(lái)了新的困難，想要發(fā)展網(wǎng)絡(luò)應(yīng)用市場(chǎng)的前提是如何建立可管理、可控制、可信度高的網(wǎng)絡(luò)環(huán)境。

隨著網(wǎng)絡(luò)技術(shù)發(fā)展速度日趨加快，入侵手段也從原來(lái)的單一入侵演變成現(xiàn)在的混合型威脅，以往的防護(hù)手段已經(jīng)無(wú)法滿足網(wǎng)絡(luò)安全的需要。信息安全建設(shè)不得不提出新的理念，那就是切實(shí)可行的為用戶提供立體防護(hù)體系，這樣的體系不僅要局部安全、全局安全、智能安全，而且還要多層次、全方位保護(hù)網(wǎng)絡(luò)信息的安全。正是由于網(wǎng)絡(luò)安全面臨著各種各樣的入侵威脅，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控是現(xiàn)下我們的首要任務(wù)。

傳統(tǒng)的安全防護(hù)有防火墻等手段，但防火墻本身容易受到攻擊，且對(duì)于內(nèi)部網(wǎng)絡(luò)出現(xiàn)的問(wèn)題經(jīng)常束手無(wú)策。防火墻是一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。但是目前的網(wǎng)絡(luò)入侵技術(shù)多是動(dòng)態(tài)的，不會(huì)按照人們的預(yù)期出現(xiàn)在指定的位置，防火墻技術(shù)在實(shí)際應(yīng)用中暴露出無(wú)法預(yù)防這些網(wǎng)絡(luò)入侵的缺陷，它只能提供靜態(tài)的網(wǎng)絡(luò)防護(hù)。根據(jù)調(diào)查顯示來(lái)自于網(wǎng)絡(luò)內(nèi)部的入侵行為在網(wǎng)絡(luò)攻擊中占有一半以上的比率，而防火墻技術(shù)只能攔截到來(lái)自于網(wǎng)絡(luò)外部的攻擊。與此同時(shí)網(wǎng)絡(luò)的攻擊還有可能來(lái)自于病毒，像蠕蟲病毒等的攻擊，防火墻技術(shù)明顯表現(xiàn)的力不從心?；诰W(wǎng)絡(luò)入侵的上述特性，加之防火墻不能很好的滿足現(xiàn)今網(wǎng)絡(luò)安全的需求，那么就目前情況針對(duì)網(wǎng)絡(luò)安全問(wèn)題如何通過(guò)實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)測(cè)來(lái)達(dá)到來(lái)保護(hù)對(duì)網(wǎng)絡(luò)環(huán)境安全就成為目前的重中之重。入侵檢測(cè)系統(tǒng)的出現(xiàn)是為了彌補(bǔ)防火墻的不足，能夠?yàn)榫W(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)，通過(guò)跟蹤入侵發(fā)現(xiàn)攻擊行為及時(shí)采取有效的防護(hù)手段，進(jìn)行網(wǎng)絡(luò)的恢復(fù)或斷開連接等操作。如果說(shuō)防火墻是網(wǎng)絡(luò)環(huán)境的大門，那么入侵檢測(cè)系統(tǒng)就是網(wǎng)絡(luò)環(huán)境的監(jiān)控。

入侵檢測(cè)系統(tǒng)，英文Intrusion detection system的縮寫，簡(jiǎn)稱IDS。它是一種全方位的網(wǎng)絡(luò)安全設(shè)備，它通過(guò)分析來(lái)自網(wǎng)絡(luò)傳輸信息的若干關(guān)鍵點(diǎn)的信息能，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控，并且能從收集到的信息中即時(shí)發(fā)現(xiàn)并處理傳輸過(guò)程中的可疑信息，告知用戶采取主動(dòng)反應(yīng)措施。網(wǎng)絡(luò)安全可能受到的攻擊包括沒(méi)有訪問(wèn)權(quán)限的非法用戶，也就是我們經(jīng)常所說(shuō)的黑客（hackers），還有就是來(lái)自網(wǎng)絡(luò)內(nèi)部，雖然有訪問(wèn)網(wǎng)絡(luò)的許可，但是卻非法使用網(wǎng)絡(luò)的用戶（insider threat），對(duì)于這些可能發(fā)生的攻擊入侵檢測(cè)系統(tǒng)都能及時(shí)有效的發(fā)現(xiàn)。入侵檢測(cè)系統(tǒng)是一種積極主動(dòng)的實(shí)時(shí)檢測(cè)技術(shù)，它的出現(xiàn)改變了以往的靜態(tài)防護(hù)模式，能夠發(fā)現(xiàn)動(dòng)態(tài)入侵企圖，這點(diǎn)與其他一些網(wǎng)絡(luò)安全設(shè)備有著相當(dāng)大的差別。入侵檢測(cè)的研究最早可以追溯到20世紀(jì)80年代，1980年，James P.Anderson的《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》(《Computer Security Threat Monitoring and Surveillance》)第一次詳細(xì)闡述了入侵檢測(cè)的概念;提出計(jì)算機(jī)系統(tǒng)威脅分類;提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想，他將入侵行為劃分為外部闖入、內(nèi)部授權(quán)用戶越權(quán)使用和濫用。入侵是指任何試圖破壞資源完整性、機(jī)密性、可用性的行為，還包括用戶對(duì)系統(tǒng)資源的誤用。1984年到1986年，喬治敦大學(xué)的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型--IDES(入侵檢測(cè)專家系統(tǒng))。1987年DorothyE Denning提出了入侵檢測(cè)的模型，首次將入侵檢測(cè)作為一種計(jì)算機(jī)安全防御措施提出。1988年之后，美國(guó)開展對(duì)分布式入侵檢測(cè)系統(tǒng)(DIDS)的研究，將基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)方法集成到一起。DIDS是分布式入侵檢測(cè)系統(tǒng)歷史上的一個(gè)里程碑式的產(chǎn)品。1989年，加州大學(xué)戴維斯分校的ToddHeberlein發(fā)表論文《ANetworkSecurityMonitor》，該監(jiān)控器用于捕獲TCP/IP分組，第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)，網(wǎng)絡(luò)入侵檢測(cè)從此誕生。1990年，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM(Network Security Monitor)，該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。入侵檢測(cè)系統(tǒng)發(fā)展史翻開了新的一頁(yè)，兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。隨著目前攻擊的多樣化、復(fù)雜化，入侵檢測(cè)技術(shù)也在飛速地發(fā)展，目前入侵檢測(cè)技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)研究的熱點(diǎn)。總體來(lái)說(shuō)，入侵檢測(cè)系統(tǒng)的發(fā)展經(jīng)歷了五個(gè)階段：最早的是基于主機(jī)的入侵檢測(cè)系統(tǒng)，如IDES；基于多主機(jī)的入侵檢測(cè)系統(tǒng)，如NIDES；基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，如NSM；分布式入侵檢測(cè)系統(tǒng)，DIDS；以及面向大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

盡管入侵檢測(cè)系統(tǒng)（IDS）發(fā)展迅速，但是還是常受到專家和用戶詬病。Gartner就一直不看好入侵檢測(cè)系統(tǒng)（IDS），在多份報(bào)告中對(duì)IDS提出非議。2003年 Gartner公司副總裁Richard Stiennon發(fā)表《入侵檢測(cè)已壽終正寢，入侵防御將萬(wàn)古長(zhǎng)青》。Gartner指出入侵防御要替代入侵檢測(cè)報(bào)告引發(fā)的安全業(yè)界震動(dòng)，而在另一份《2003年：信息安全的炒作周期》的報(bào)告中，Gartner稱入侵檢測(cè)系統(tǒng)是一次市場(chǎng)失敗。受Gartner報(bào)告的影響，IDS倍受攻擊。至今關(guān)于入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)之間關(guān)系的討論已經(jīng)趨于平淡，2006年IDC年度安全市場(chǎng)報(bào)告更是明確指出入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)是兩個(gè)獨(dú)立的市場(chǎng)，給這個(gè)討論畫上了一個(gè)句號(hào)?？梢哉f(shuō)，目前無(wú)論是從業(yè)于信息安全行業(yè)的專業(yè)人士還是普通用戶，都認(rèn)為入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)是兩類產(chǎn)品，并不存在入侵防御系統(tǒng)要替代入侵檢測(cè)系統(tǒng)的可能。

IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理，所以檢測(cè)規(guī)則的更新總是落后于攻擊手段的更新。IDS缺乏準(zhǔn)確定位和處理機(jī)制，IDS僅能識(shí)別IP地址，無(wú)法定位IP地址，不能識(shí)別數(shù)據(jù)來(lái)源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時(shí)候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣關(guān)閉同時(shí)會(huì)影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機(jī)制。缺乏基于行為的0DAY分析能力是用戶對(duì)入侵檢測(cè)系統(tǒng)（IDS）不滿意最集中的一點(diǎn)。筆者以為如果IDS將APT檢測(cè)作為其主要功能方向?qū)⒋蟠笤鰪?qiáng)這一弱點(diǎn)。

APT（Advanced Persistent Threat）即高級(jí)持續(xù)性威脅是一種利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT攻擊的原理相對(duì)于其他攻擊形式更為高級(jí)和先進(jìn)，其高級(jí)性主要體現(xiàn)在APT在發(fā)動(dòng)攻擊之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。在此收集的過(guò)程中，此攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò)，并利用0day漏洞進(jìn)行攻擊。社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。針對(duì)被鎖定對(duì)象發(fā)送幾可亂真的社交工程惡意郵件，使用者只要一時(shí)不察，就可能會(huì)讓自己的計(jì)算機(jī)被植入惡意程序。通過(guò)電子郵件附件進(jìn)行的APT攻擊，已成為單位聞之色變的主要入侵方式。從一些受到APT攻擊的大型單位中可以發(fā)現(xiàn)，這些單位受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。黑客針對(duì)某些特定員工發(fā)送釣魚郵件，以此作為使用APT攻擊的源頭。

如今，信息化與日常生活工作結(jié)合的愈發(fā)緊密，單位業(yè)務(wù)對(duì)信息系統(tǒng)越來(lái)越依賴，安全的邊界已經(jīng)從傳統(tǒng)的網(wǎng)關(guān)、桌面終端延續(xù)到任何應(yīng)用及業(yè)務(wù)可能到達(dá)的每一個(gè)節(jié)點(diǎn)，基于漏洞的APT攻擊可能就潛伏在我們身邊。由于員工缺乏信息安全方面的素養(yǎng)，對(duì)黑客入侵方式如什么是釣魚郵件、釣魚連接和釣魚電話等新入侵方式的認(rèn)識(shí)。如大部分的網(wǎng)絡(luò)釣魚訊息，目的是希望讓人進(jìn)入會(huì)收集個(gè)人資料的惡意網(wǎng)站，由于這些電子郵件或其它形式訊息都是用HTML格式，使用者在點(diǎn)選鏈接前，只要將鼠標(biāo)箭頭停在這些鏈接上，就可以在瀏覽器狀態(tài)列上，看到實(shí)際網(wǎng)址(通常在瀏覽器或電子郵件軟件視窗的底部)，而大部分員工不認(rèn)得這些網(wǎng)站，或它用的是像bit.ly的短網(wǎng)址，或鏈接來(lái)源都沒(méi)有接觸過(guò)的，大部分員工會(huì)下意識(shí)的（沒(méi)有任何防范）情況下直接點(diǎn)擊附件或鏈接，導(dǎo)致打開惡意附件文件，惡意附件文件會(huì)攻擊一個(gè)目前仍不明的漏洞來(lái)植入并執(zhí)行后門程序。這個(gè)后門程序可以讓潛在攻擊者來(lái)做遠(yuǎn)端存取，能在受感染機(jī)器做出其他惡意行為。根據(jù)我們的分析，這個(gè)后門程序也會(huì)下載并執(zhí)行其他惡意文件，讓受感染系統(tǒng)被進(jìn)一步的感染和或竊取資料。

對(duì)于APT攻擊的防御成為擺在全體信息安全從業(yè)者面前的重大課題，特別是針對(duì)實(shí)施APT攻擊容易利用的Web應(yīng)用程序漏洞、Email郵件社工和0DAY漏洞等方面的防御，增加安全指數(shù)，提高攻擊難度。降低APT攻擊成功率，提高預(yù)警能力。

入侵檢測(cè)系統(tǒng)（IDS）缺乏零日漏洞預(yù)警能力，但是其已知特征檢測(cè)能力還是令人滿意的。不過(guò)在APT攻擊的防御上，入侵檢測(cè)系統(tǒng)（IDS）正好可以大展拳腳。潛伏性和持續(xù)性是APT攻擊最大的威脅，這就決定了APT攻擊難以被檢測(cè)。通過(guò)對(duì)APT攻擊的相關(guān)行為的分析，發(fā)現(xiàn)APT攻擊的一些蛛絲馬跡從而及時(shí)處理APT攻擊，減輕威脅是可以做到的。而IDS最主要的功能就是檢測(cè)已知特征入侵行為，可以用于APT攻擊的關(guān)聯(lián)分析上。

目前的入侵檢測(cè)設(shè)備只是為已知特征威脅提供必要的預(yù)警和支持，還不到為未知威脅的有效發(fā)現(xiàn)，但是把APT 檢測(cè)作為入侵檢測(cè)的發(fā)展方向，其前瞻性一下就體現(xiàn)出來(lái)了。