保證信息系統安全的經典手段是「存取控制」或「訪問控 制」,但無論在理論上還是在實踐中,這種手段都不能徹底填補一個系統的安全漏洞,也還沒有一種切實可行的辦法解決合法用戶在通過「身份鑑別」或「身份認 證」後濫用特權的問題。攻擊檢測技術就像治安巡邏隊,專門注重於發現形跡可疑者。
計算機網絡技術的發展和應用對人類生活方式的影響越來越大。通過Internet網連
接到幾乎世界上任何一台計算機。因此,傳統的安全域的概念也已經發生了深刻的變化,邊界變得模糊了,網絡系統管理員再也不能滿足於守住安全邊界了;也不再 有信心保護敏感信息萬無一失。越來越多的證據表明計算機信息系統的安全性是十分脆弱的。基於計算機、網絡的信息系統的安全問題已經成為非常嚴重的問題。
一、存取控制與攻擊檢測:站崗與巡邏
保證信息系統安全的經典手段是「存取控制」或「訪問控制」,這種手段在經典的以及現代的安全理論中都是 實行系統安全策略的最重要的手段。但迄今為止,軟件工程技術還沒有達到A2級所要求的形式生成或證明一個系統的安全體系的程度,所以不可能百分之百地保證 任何一個系統(尤其是底層系統)中不存在安全漏洞。而且,無論在理論上還是在實踐中,試圖徹底填補一個系統的安全漏洞都是不可能的,也還沒有一種切實可行 的辦法解決合法用戶在通過「身份鑑別」或「身份認證」後濫用特權的問題。打個比方,經典的安全體系就像一座城池,身份認證就好像進城時的查路條一樣,著重 點在於防範奸細混入;但是這種措施對於城池的安全仍是遠遠不夠的。
攻擊檢測作為其他經典手段的補充和加強,是任何一個安全系統中不可或缺的最後一道防線;攻擊檢測可以分 為被動、非在線地發現和實時、在線地發現計算機網絡系統中的攻擊者兩種方法。從大量非法入侵或計算機盜竊案例可以清晰地看到,計算機系統的最基本防線「存 取控制」或「訪問控制」,在許多場合不是防止外界非法入侵和防止內部用戶攻擊的絕對無懈可擊的屏障。大量攻擊成功的案例是由於系統內部人員不恰當地或惡意 地濫用特權而導致的。攻擊檢測技術則類似於治安巡邏隊,專門注重於發現形跡可疑者,信息系統的攻擊者很有可能通過了城門的身份檢查,或者爬越了城牆而混入 城中;這時要想進一步加強信息系統的安全強度,就需要增派一支巡邏隊,專門負責檢查在城市中鬼鬼祟祟行動可疑的人員。
攻擊檢測提供了一種機制,對合法用戶而言能夠在一定程度上使他們為其失誤或非法行為負責,從而增強他們 的責任感。對非法進入的攻擊者而言則意味著增強了糾察力度,行使著公安局、檢察院的職責。攻擊檢測具有最後防線性質的防範能力,或許是用來發現合法用戶濫 用特權的唯一方法,而且完善的攻擊檢測還能用具有法律效力的方式證明一個受到懷疑的人是否有罪。
早期中大型的計算機系統中都收集審計信息來建立跟蹤文件,這些審計跟蹤的目的多是為了性能測試或計費,因此對攻擊檢測提供的有用信息比較少。
二、攻擊檢測技術
1.攻擊分類
在信息系統中,一般至少應當考慮如下三類安全威脅:外部攻擊、內部攻擊和行為濫用。攻擊者來自該計算機 系統的外部時稱作外部攻擊;當攻擊者就是那些有權使用計算機,但無權訪問某些特定的數據、程序或資源的人企圖越權使用系統資源時視為內部攻擊,包括假冒者 (即那些使用其他合法用戶的身份和口令的人)、秘密使用者(即那些有意逃避審計機制和存取控制的人員);特權濫用者也是計算機系統資源的合法用戶,表現為 有意或無意地濫用他們的特權。
通過審計試圖登錄的失敗記錄可以發現外部攻擊者的攻擊企圖;通過觀察試圖連接特定文件、程序和其他資源的失敗記錄可以發現內部攻擊者的攻擊企圖,如可通過比較為每個用戶單獨建立的行為模型和特定的行為來檢測發現假冒者;但要通過審計信息來發現那些權利濫用者往
往是很困難的。
基於審計信息的攻擊檢測特別難於防範具備較高優先特權的內部人員的攻擊,因為攻擊者可通過使用某些系統 特權或調用比審計本身更低級的操作來逃避審計。對於那些具備系統特權的用戶,需要審查所有關閉或暫停審計功能的操作,通過審查被審計的特殊用戶、或者其他 的審計參數來發現。審查更低級的功能,如審查系統服務或核心系統調用通常比較困難,通用的方法很難奏效,需要專用的工具和操作才能實現。總之,為了防範隱 秘的內部攻擊需要在技術手段以外確保管理手段行之有效,技術上則需要監視系統範圍內的某些特定的指標(如CPU、內存和磁盤的活動),並與通常情況下它們 的歷史記錄進行比較,以期發現之。
2.攻擊檢測技術分類
基於計算機系統審計跟蹤信息設計和實現的系統安全自動分析或檢測工具是最為自然樸素的攻擊檢測技術。可以從審計系統篩選出涉及安全的信息。其思路與流行的數據挖掘(Data Mining)技術極其類似。
基於審計的自動分析檢測工具可以是脫機的,也可以是聯機或在線的。分析工具實時地對審計跟蹤文件提供的信息進行同步處理,當有可疑的入侵行為時,系統提供實時的警報,在攻擊發生時就能提供攻擊者的有關信息。
對於信息系統安全強度而言,聯機或在線的攻擊檢測是比較理想的,能夠在案發現場及時發現攻擊行為,有利 於及時採取對抗措施,使損失降低到最低限度。同時也為抓獲攻擊犯罪分子提供有力的證據。但是,聯機的或在線的攻擊檢測系統所需要的系統資源,幾乎隨著系統 內部活動數量的增長呈幾何級數增長。
3.攻擊檢測方法
(1)基於審計的攻擊檢測
基於審計信息的攻擊檢測工具以及自動分析工具可以向系統安全管理員報告計算機系統活動的評估報告,通常是脫機的、滯後的。
對攻擊的實時檢測系統的工作原理是基於對用戶歷史行為的建模,以及在早期的證據或模型的基礎之上。審計系統實時地檢測用戶對系統的使用情況,根據系統內部保持的用戶行為的概率統計模型進行監測,當發現有可疑的用戶行為發生時,保持跟蹤並監測該用戶的行為。
系統應具備處理自適應的用戶參數的能力。能夠判斷使用行為的合法或可疑。系統應當能夠避免「肅反擴大/縮小化」的問題。這種辦法同樣適用於檢測程序的行為以及對數據資源(如文件或數據庫)的存取行為。
(2)基於神經網絡的攻擊檢測技術
如上所述,基於審計統計數據的攻擊檢測系統,具有一些天生的弱點,因為用戶的行為可以是非常複雜的,所 以想要準確匹配一個用戶的歷史行為和當前的行為是相當困難的。錯發的警報往往來自於對審計數據的統計算法所基於的不準確或不貼切的假設。SRI的研究小組 利用和發展神經網絡技術來進行攻擊檢測。神經網絡可能用於解決傳統的統計分析技術所面臨的以下幾個問題:
●難於建立確切的統計分佈
●難於實現方法的普適性
●算法實現比較昂貴
●系統臃腫難於剪裁
目前,神經網絡技術提出了對基於傳統統計技術的攻擊檢測方法的改進方向,但尚不十分成熟,所以傳統的統計方法仍將繼續發揮作用,也仍然能為發現用戶的異常行為提供相當有參考價值的信息。
(3)基於專家系統的攻擊檢測技術
進行安全檢測工作自動化的另外一個值得重視的研究方向就是基於專家系統的攻擊檢測技術,即根據安全專家對可疑行為的分析經驗來形成一套推理規則,然後再在此基礎之上構成相應的專家系統。由此專家系統自動進行對所涉及的攻擊操作的分析工作。
所謂專家系統是基於一套由專家經驗事先定義的規則的推理系統。例如,在數分鐘之內某個用戶連續進行登 錄,且失敗超過三次就可以被認為是一種攻擊行為。類似的規則在統計系統似乎也有,同時應當說明的是基於規則的專家系統或推理系統也有其局限性,因為作為這 類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的,而對系統的最危險的威脅則主要是來自未知的安全漏洞。實現一個基於規則的專家系統是 一個知識工程問題,而且其功能應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。
(4)基於模型推理的攻擊檢測技術
攻擊者在入侵一個系統時往往採用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行 為特徵的模型,根據這種模型所代表的攻擊意圖的行為特徵,可以實時地檢測出惡意的攻擊企圖,儘管攻擊者並不一定都是惡意的。用基於模型的推理方法人們能夠 為某些行為建立特定的模型,從而能夠監視具有特定行為特徵的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了准確判斷,要為不 同的入侵者和不同的系統建立特定的攻擊腳本。
當有證據表明某種特定的攻擊模型發生時,系統應當收集其他證據來證實或者否定攻擊的真實,以儘可能的避免錯報。
為了防止過多的不相干信息的干擾,用於安全目的的攻擊檢測系統在審計系統之外一般還配備適合系統安全策 略的信息採集器或過濾器。同時,還應當充分利用來自其它信息源的信息。在某些系統內可以在不同的層次進行審計跟蹤。如有些系統的安全機制中採用三級審計跟 蹤,包括審計操作系統核心調用行為的跟蹤、審計用戶和操作系統界面級行為的跟蹤、和審計應用程序內部行為的跟蹤。
總之,和經典安全措施相同,任何一種攻擊檢測措施都不能視之為一勞永逸的,必須配合有效的管理和組織措施,形成立體的和縱深有序的安全防禦體系。
留言列表
