觀點

入侵偵測系統的偵測限制

2002 / 09 / 25
入侵偵測系統的偵測限制

文 / 圖 賴左罕


今日的入侵偵測系統(Intrusion Detection System)產生為數過多的資訊,但卻缺乏有效過濾、篩選及相互關聯資料的技巧及能力。儘管入侵偵測系統能帶來各項優點,但在此要特別強調的是,建置入侵偵測系統對企業在加強資訊安全上而言,並不是萬無一失的。企業在還沒有對資訊安全有相當成熟的基本觀念及處理程序之前,建置入侵偵測系統時會面臨較多的困難。因為今日的入侵偵測系統其偵測攻擊事件是依據入侵攻擊的特徵資料(attack pattern/signature)而不是依據使用行為(behaviour)的方式,所以入侵偵測被侷限在事先定義的系統事件下。另外,管理控制台(management console)無法有效地管理無限制數量的監聽裝置(sensor/engine),而且也無法支援相互關聯於來自多個不同資訊來源的資料;目前的入侵偵測系統所提供的資料相互關聯回報大多是建立在預先設計好的範本(template),這樣的回報方案是很有幫助的,但卻是有限的。



在現今的入侵偵測系統有一項優點就是能夠提供十分豐富的資訊,但相對卻也是其最大的缺點-無法有效處理為數過多的資料。入侵偵測系統核心程式所需的過濾、篩選及建立相互關聯資料的技巧尚未被成熟地開發問世。這樣的技巧需要有將政策(policy)翻譯成為規則,並將規則套用至不同監聽裝置上的能力,而且要有能力將監聽裝置部署在能取得最佳監聽資訊的位置。這意味著監聽裝置的微調以及其位置部署最佳化仍需被開發,而這些解決方案尚停留在研究開發的階段中。目前入侵偵測系統在建置上所面臨的這些問題是遲早會被解決的,但是企業在現階段,必須將這些問題提前考慮到入侵偵測系統的建置生命週期中。



目前入侵偵測系統少了什麼?(一)





本文作者任職於顧問公司

入侵偵測系統技術目前仍然被視為「尚未完全建全」的狀態,以科技的角度來看,的確是還有一些缺點及距離。以下將為大家介紹的是我們期望入侵偵測系統所能帶來的功能,但卻是在目前的商業入侵偵測系統套裝產品中還無法完全克服的瓶頸。


分散式大規模環境監控


在一個大規模分散式的網路環境中,結合不同的入侵資訊以判斷是否有大規模的攻擊正在進行是非常困難的。一個多層次的回報系統可以協助合併來自於不同網路區段所產生的入侵資訊是非常重要的。但這並不容易克服,因為一個單一的入侵偵測系統的管理控制台(management console)僅能有效地管理為數有限的監聽裝置(sensor/engine)。一般來說,每個管理控制台可以連接管理約10至20個監聽裝置,有些廠商號稱可以連接管理30個以上至50個不等的監聽裝置,但其實際的數量應取決於各企業的網路環境及建置經驗,以評估建置多少個監聽裝置才是最佳的數量。然而在一個大規模的網路環境中,上百個監聽裝置是必需的,而數十個管理控制台也是無可避免的,所以管理這些系統的管理者也將會有十分沉重的負擔。


事件間的相互關聯性


要將各個不同網路區段上的網路端及主機端入侵偵測系統所偵測到的活動,進行相互關聯,對判斷攻擊事件上是十分有幫助而且很重要的功能。現在舉個例子,假設攻擊者以一個小時才對一個端口或一個IP位址進行慢速的端口掃描,並以這樣的方式對多個不同的IP位址進行掃描,此時各個入侵偵測系統對這種方式的慢速攻擊是非常難偵測出來的。所以如果這些來自於不同位址的主機能將其各自所偵測到的事件相互關聯的話,那入侵攻擊方式的特徵(attack pattern)就會較容易被察覺出來。研究專家認為,未來的入侵偵測系統將會依賴異常使用偵測方式(Anomaly Detection)來判斷在正常使用之外的可疑活動。


使用異常使用偵測方式的入侵偵測系統將在事件相互關聯上有較好的成效,因為它在察覺入侵攻擊的能力不是建立在入侵方式的特徵資料,而使建立在偵測異常的使用行為。異常使用偵測方式的入侵偵測系統目前尚未廣泛地在商業入侵偵測系統套裝產品上被應用。結合異常使用偵測技巧的入侵偵測系統將會顯著地提昇在偵測未知攻擊方式之特徵的能力。當然其可管理性也將會成為另一個考量,因為這樣的系統會產生更加龐大的資料量,因此也會需要更多的時間及更高的電腦運算能力來監聽異常使用的活動。


降低警訊誤判的頻率


無論任何警衛系統都會產生錯誤的警訊判斷,入侵偵測系統當然也不會例外。即使當時毫無任何入侵行為發生,它們可能還是會回報有疑似入侵攻擊的行為正在進行中;這樣的誤判警訊在進行調查及解決時是非常耗時的。降低誤判警訊的關鍵全在於監聽裝置(sensor/engine)的部署位置及微調監聽裝置,以期有效對應到所制定的政策(policy)。過濾攻擊事件的政策(policy)必需很清楚明確地制定,以有效協助監聽裝置進行微調工作。因為各個監聽裝置間會產生相對的互動,適當的部署位置及微調將會變得較為複雜,反而因此需要解決因這樣的互動所導致的誤判警誤。


目前入侵偵測系統少了什麼?(二)
交換式網路環境下的監聽


目前網路端入侵偵測系統產品在監聽交換式網路環境上有其困難。交換式網路環境所產生的問題為:



  • 應該監聽交換集線器(Switch)的那一部份?(例如:Cisco 提供一個專門監聽的連接埠)


  • 如果網路區段之間有不協調的頻寬速度時會如何?(例如:網路骨幹是採用100Mbps,而虛擬區域網段(Virtual LAN)或交換網路區段(switched segment)採用的是10Mbps),資訊可能在這樣的狀況下遺失。


  • 有什麼可以改善封包資訊的遺失?因為封包一旦錯誤並不會在監聽埠上重現。


  • 應該如何處理當入侵偵測系統連接有速限的監聽埠時所造成的額外資訊流失?因為監聽埠並無能力處理所有連接超過20Mbps速限的網路端入侵偵測系統。




未來的入侵偵測系統產品在監聽交換網路的能力上將會有較好改善。較理想、可改善交換網路監聽的速度及品質的方式,便是將入侵偵測的核心引擎(intrusion detection engine)與入侵攻擊特徵(attack pattern)的辨識系統分隔開。不過,這樣的分隔建置在技術上要達到是十分困難的,因為必須要將較高速且高效能的入侵偵測系統建置在硬體及可程式化的特定應用整合線路(Application-Specific Integrated Circuits - ASICs)平台上。


註:ASIC是特別設計用以執行特定應用程式的硬體晶片,執行效能較一般的處理晶片(CPU)效率更高。


建置及運作上的困難


入侵偵測系統的建置是十分困難的,主要原因出在建置所需的各項資源及技術上的複雜程度;當然這也可以說是所有資訊安全系統建置上所共同面臨的問題。入侵偵測系統建置的困難,主要是因為對建置小組而言產生過多的警訊報告。尤其是在初期的建置階段,警訊報告的過多及重覆性將會把整個企業給淹沒。要解決建置上的困難可以考慮採用以下的建議:



  • 事先規劃完善的整體架構


  • 事先規劃有效的緊急事件反應能力及作業流程


  • 從別人的經驗中學習。



當入侵偵測系統一旦正式開始上線運作,系統升級維護及警訊評估調查所需的資源及人力將會是另一項不可低估輕視的工作。網路專家及調查專家需要評估判斷各項警訊以決定是否需要採取進一步的行動。


對未知攻擊方式的有限偵測


不論是網路端或是主機端入侵偵測系統,目前皆是依賴已知的攻擊手法以及過去所曾發生過的攻擊方式。新穎的攻擊技巧將會為系統帶來意外,正如同防毒偵測軟體一樣,無法有效地偵測到未知的病毒,除非病毒特徵(virus signature/pattern)已經更新並包含到防毒軟體之中。較完善的入侵偵測產品廠商會迅速地對最新的攻擊手法做回應並且更新其產品,廠商應提高更新入侵攻擊特徵資料的頻率,改以每日或雙週更新而非每月或每三個月的方式。期望未來的產品能夠讓使用者自行決定是要使用異常使用偵測方式(Anomaly Detection)或是使用不當使用偵測方式(Misuse Detection),而且未來的產品將能提供使用者即時的自定異常使用或不當使用資訊的功能;對入侵偵測的效果將會有明顯的提昇。


目前入侵偵測系統少了什麼?(三)
缺乏產品間的整合運作性


目前尚無正式的業界標準規範來協助入侵偵測系統的建置,然而缺乏標準將會影響到部份企業期望混合使用多項來自於不同廠商的入侵偵測方案,以及確保在不同廠商之間的入侵偵測系統可以相互整合運作。雖然部份廠商的產品支援通用入侵偵測架構(Common Intrusion Detection Framework - CIDF),但是尚未普遍。由於通用入侵偵測架構定義著組成入侵偵測系統之通用元件的規格,若是能被業界廣泛的採用,那將會確保不同的入侵偵測系統可以互相運作溝通。


系統部署位置及進階微調工具


目前僅有少數的工具能幫助企業對入侵偵測系統的建置管理進行微調,而大部份這些工具都是由入侵偵測系統廠商所提供的。因此越多的企業建置這樣的技術,廠商們將會開發更多相關的建置範本以幫助其他的企業簡化建置微調的程序。


適切的事件回應


未來理想的入侵偵測系統應該包含一個警訊自動回應系統,以提供系統在面對入侵攻擊時可以獨立執行應對之策。但是目前由於以下幾項原因,並不建議採用警訊自動回應系統:



  1. 這樣的系統設定將會非常複雜,因為面對數量過大的系統設定,在管理上將會非常困難


  2. 數量龐大的誤判警訊只會增加系統的複雜度。




在未來,警訊自動回應系統將會影響整體的資訊安全架構,包含自動重新設定網路元件以配合入侵偵測系統,例如防火牆的設定,過濾路由器(filtering routers),網路管理及作業系統等。


加密後的網路封包


網路端入侵偵測系統無法對加密(encrypted)過後的網路封包進行分析檢視,所以入侵偵測僅能等網路封包到達主機端並經過解密(decrypted)後才能有效地發揮其功能。


加密功能


許多入侵偵測系統產品在管理控制台與監聽裝置之間傳遞資訊時,並不會對資料進行加密,因此這些資訊有可能會被竊取、刪除或是被修改,然而攻擊者有可能利用這些資訊來掩飾他們的行跡,或是截取系統的弱點資訊,而用來計劃進一步的攻擊。如果資訊安全對一個企業環境而言是一項非常重要考量時,將這樣的資訊加密將會是一項很有效且安全的作法。


IDS的明天
儘管這些技術性上的不足,但是我們仍然可以在一些過濾效力較高、僅會收集並回報有限事件的系統上,看到入侵偵測系統所能帶來的優點以及不斷提昇的系統安全。有限的自動事件偵測及記錄檔案分析當然會比完全沒有這樣的功能要來的好,但是除非入侵偵測系統的產品廠商能夠克服上述的各項瓶頸,不然入侵偵測系統的應用將還是會有所侷限。