论文部分内容阅读
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文80多篇,出版专著近20本。
信息安全管理系列之四十九
在本系列之前的讨论中大多从架构或标准等视角探讨信息安全问题,但毫无疑问,在信息安全实践中,安全技术/产品占据了更重要的位置。当然,技术和管理是相辅相成、密不可分的两个面。在后续的文章中,我们开始陆续介绍一些主流的安全技术/产品。和其他文献不同,我们主要关注如何“使用”。
摘要:介绍了入侵检测防御产品(IDS/IPS)的概念、主要发展过程、主要技术路线、未来发展趋势以及相关的国际和国家标准。
关键词:信息安全 入侵检测系统 标准化
Abstract: This paper introduces the concept of intrusion detection and prevention systems (IDPS), the main development process, the main technical routes, future development trends and related international/national standards.
Key words: information security, Intrusion Detection System (IDS), standardization
1 概念
所有未經允许的进入都可以称为“入侵”,这个词汇在物理层面并不难判断,例如国土遭到了敌人入侵,但是在虚拟的网络空间(cyberspace)中,入侵的概念变得广义且模糊,黑客攻击肯定是入侵行为,但是尚未破解的口令尝试也算,直至恶意代码等都可以列入其中。也就是说,在信息安全情境中,所有的恶意行为都列入其中,不再刻意限定边界。
入侵检测是对企图入侵、正在入侵或已经发生的入侵行为识别的过程。无论以任何技术实现上述目标的系统,都可以称为入侵检测系统(Intrusion Detection System,IDS)。通俗地讲,IDS的目标就是发现可能的恶意威胁(称为事件),记录该事件并采取适当的行动。这就引出了IDS的两个基本问题:
问题A:如何判断恶意的事件?
问题B:采取什么适当的行动?
2 主要发展过程
在物理世界,因为有了围墙,所以有了门作为出入口,同时控制其中安全。在数字世界,因为有了电子安全边界(Electronic Security Perimeters,ESP),所以有了控制出入口的防火墙。总之,因为有了边界的概念,就产生了入侵的概念。因此,防火墙和IDS的提出都非常早,防火墙几乎与路由器同时产生。
1980年2月26日,James P. Anderson Co.1)在标题为Computer Security Threat Monitoring and Surveillance(计算机安全监控与监视)的一份报告中提出了入侵检测的概念。在该报告的引言中就提出项目的目标在于提高系统的审计和监视能力,因此,在当时,对于入侵检测的理解更强调审计跟踪(audit trail)。
Dorothy E. Denning2)在1983—1987年作为计算机科学家的身份参与至斯坦福国际研究院(SRI International),在这期间,她带领设计了入侵检测专家系统(Intrusion Detection Expert System,IDES)。需要注意的是,IDS是被定义为专家系统的。这一认识,奠定了其后续发展的基调。至此,IDS的概念框架基本确定,在后续的发展中,主要是技术突破的问题。
既然可以认为是专家系统,对IDS而言,那么准确性就非常重要,几乎所有的厂商都在强调准确性。但实际情况是,限于底层技术的瓶颈,IDS的准确率总是有限的。也就是说,“问题A:如何判断恶意的事件?”是IDS领域不变的主题。
回顾问题B,回归到IDS的本源,IDS的产生是为了监视系统,监视系统的最终目的是为了防止入侵,最好是能够阻止攻击或者与外部系统联动预防威胁。因此,对于入侵分成两个层次的理解:1)最好是能够防止入侵,防患于未然;2)如果不能阻止,至少能够事后发现,亡羊补牢。
以此为分界点,目标为2)的为第一代IDS,目标为1)的为第二代IDS,称为入侵防御系统(Intrusion Prevention System,IPS)。
3 技术分析及其趋势
IDS的技术分析本质是讨论问题A的解决。
目前,IDS的技术主要有:统计异常检测(anomaly-based detection)和特征码检测(signature-based detection)。
统计异常检测是由Dorothy E. Denning所提出的,其基本原理就是建立基线,定义什么是正常,然后将测量特定时间段和监控指标发生的事件数量进行对比。统计异常检测的本质就是统计学。最简单的例子是某个阶段有人总是输错口令(password),造成账户被锁定。这就被定义为异常事件。统计异常检测的IDS/IPS将与其类似的概念扩展到涵盖网络流量模式、应用程序事件和系统利用率。
统计异常检测优点是善于检测突然超过标准的事件,例如CPU资源耗尽,某个网络节点流量异常等,缺点是不能适应快速变化的网络环境,换句话说,“正常”并不是一成不变的,一旦变化频繁,统计异常检测的准确性就迅速降低,产生更多的误报。
特征码检测的原理跟病毒检测原理类似,依赖于已知的不良行为和模式进行判断,这与统计异常检测的逻辑实际是相反的。如果统计异常检测非常重要的是依赖于定义“正常”,那么特征码检测主要是依赖于定义“不正常”,即不良行为和模式的数据工作库。 特征码检测非常善于识别已知的威胁,而且如果定义良好的话,精确度也会非常高。显然,特征码检测无法预知可能的威胁。统计异常检测的本质是“有罪推定”,与正常的差异都会被预警,而特征码检测的本质是“无罪推定”。
在技术上,对恶意事件的判定,越来越偏向预测的方向发展,例如,利用神经网络、贝叶斯网络、贝叶斯推理等,在后续,人工智能和大数据对于形如IDS/IPS的专家系统肯定有很大的促进。
在具体产品设计上,集成化是比较明显的趋势,例如,统一威胁管理(Unified Threat Management,UTM)就是将防火墙、网关防病毒和IDS/IPS等产品集成在一起。抛开UTM这种没有实际技术突破的产品,防火墙和IDS/IPS等都在向应用层(OSI的第7层)发展,都在试图解析报文中的数据净荷,以提高判断的准确率。
4 相关的国际和国家标准
从文献[3]和[4]中得知,IDS的相关标准,可以分为产品相关标准和应用场景相关标准。其中,产品相关标准关注的是如何设计、生产IDS/IPS,应用场景相关标准关注的是如何选择、部署IDS/IPS。如引言中所述,在本文中,我们更關注的是应用场景相关的IDS/IPS标准。
在ISO/IEC27000标准族中,有ISO/IEC 27039:
2015 Information technology—Security techniques— Selection, deployment and operations of intrusion detection and prevention systems (IDPS)《信息技术 安全技术 入侵检测与防御系统(IDPS)选择、部署和操作》。
ISO/IEC 27039之前被发布为ISO/IEC 18043:
2006,修改采用的国家标准为GB/T 28454—2012《信息技术 安全技术 入侵检测系统的选择、部署和操作》。从其中标题的变化就可以看出从IDS向IPS的变化趋势。
此外,国家标准发布了两个CC类的产品标准,分别为:1)GB/T 20275—2013《信息安全技术 网络入侵检测系统技术要求和测试评价方法》;2)GB/T 28451—2012《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》。
5 小结
IDS/IPS通常被认为是继防病毒软件和防火墙之后的最重要的安全防护手段之一,此三者被业界称为“信息安全老三样”。市场上存在各种各样的IDS/IPS产品,以及各种各样的不依据技术路线的分类,例如,基于主机的IDS称为HIDS,基于网络的IDS称为NIDS。但是万变不离其宗,本文梳理了其发展过程,分析了主流的技术实现路线,以帮助读者选择合适的产品。
参考文献
[1] Mark Rhodes-Ousley. 信息安全完全参考手册(第2版)[M]. 北京:清华大学出版社,2014.
[2] 刘建伟, 王育民.网络安全——技术与实践(第2版)[M].北京:清华大学出版社,2015.
[3] 谢宗晓,李宽.通用准则(CC)与信息安全管理体系(ISMS)的比较分析[J].中国质量与标准导报,2018(7):28-32.
[4] 李军,谢宗晓.基于产品和基于流程的信息安全标准及其分析[J].中国质量与标准导报,2017(12):60-63.
信息安全管理系列之四十九
在本系列之前的讨论中大多从架构或标准等视角探讨信息安全问题,但毫无疑问,在信息安全实践中,安全技术/产品占据了更重要的位置。当然,技术和管理是相辅相成、密不可分的两个面。在后续的文章中,我们开始陆续介绍一些主流的安全技术/产品。和其他文献不同,我们主要关注如何“使用”。
摘要:介绍了入侵检测防御产品(IDS/IPS)的概念、主要发展过程、主要技术路线、未来发展趋势以及相关的国际和国家标准。
关键词:信息安全 入侵检测系统 标准化
Abstract: This paper introduces the concept of intrusion detection and prevention systems (IDPS), the main development process, the main technical routes, future development trends and related international/national standards.
Key words: information security, Intrusion Detection System (IDS), standardization
1 概念
所有未經允许的进入都可以称为“入侵”,这个词汇在物理层面并不难判断,例如国土遭到了敌人入侵,但是在虚拟的网络空间(cyberspace)中,入侵的概念变得广义且模糊,黑客攻击肯定是入侵行为,但是尚未破解的口令尝试也算,直至恶意代码等都可以列入其中。也就是说,在信息安全情境中,所有的恶意行为都列入其中,不再刻意限定边界。
入侵检测是对企图入侵、正在入侵或已经发生的入侵行为识别的过程。无论以任何技术实现上述目标的系统,都可以称为入侵检测系统(Intrusion Detection System,IDS)。通俗地讲,IDS的目标就是发现可能的恶意威胁(称为事件),记录该事件并采取适当的行动。这就引出了IDS的两个基本问题:
问题A:如何判断恶意的事件?
问题B:采取什么适当的行动?
2 主要发展过程
在物理世界,因为有了围墙,所以有了门作为出入口,同时控制其中安全。在数字世界,因为有了电子安全边界(Electronic Security Perimeters,ESP),所以有了控制出入口的防火墙。总之,因为有了边界的概念,就产生了入侵的概念。因此,防火墙和IDS的提出都非常早,防火墙几乎与路由器同时产生。
1980年2月26日,James P. Anderson Co.1)在标题为Computer Security Threat Monitoring and Surveillance(计算机安全监控与监视)的一份报告中提出了入侵检测的概念。在该报告的引言中就提出项目的目标在于提高系统的审计和监视能力,因此,在当时,对于入侵检测的理解更强调审计跟踪(audit trail)。
Dorothy E. Denning2)在1983—1987年作为计算机科学家的身份参与至斯坦福国际研究院(SRI International),在这期间,她带领设计了入侵检测专家系统(Intrusion Detection Expert System,IDES)。需要注意的是,IDS是被定义为专家系统的。这一认识,奠定了其后续发展的基调。至此,IDS的概念框架基本确定,在后续的发展中,主要是技术突破的问题。
既然可以认为是专家系统,对IDS而言,那么准确性就非常重要,几乎所有的厂商都在强调准确性。但实际情况是,限于底层技术的瓶颈,IDS的准确率总是有限的。也就是说,“问题A:如何判断恶意的事件?”是IDS领域不变的主题。
回顾问题B,回归到IDS的本源,IDS的产生是为了监视系统,监视系统的最终目的是为了防止入侵,最好是能够阻止攻击或者与外部系统联动预防威胁。因此,对于入侵分成两个层次的理解:1)最好是能够防止入侵,防患于未然;2)如果不能阻止,至少能够事后发现,亡羊补牢。
以此为分界点,目标为2)的为第一代IDS,目标为1)的为第二代IDS,称为入侵防御系统(Intrusion Prevention System,IPS)。
3 技术分析及其趋势
IDS的技术分析本质是讨论问题A的解决。
目前,IDS的技术主要有:统计异常检测(anomaly-based detection)和特征码检测(signature-based detection)。
统计异常检测是由Dorothy E. Denning所提出的,其基本原理就是建立基线,定义什么是正常,然后将测量特定时间段和监控指标发生的事件数量进行对比。统计异常检测的本质就是统计学。最简单的例子是某个阶段有人总是输错口令(password),造成账户被锁定。这就被定义为异常事件。统计异常检测的IDS/IPS将与其类似的概念扩展到涵盖网络流量模式、应用程序事件和系统利用率。
统计异常检测优点是善于检测突然超过标准的事件,例如CPU资源耗尽,某个网络节点流量异常等,缺点是不能适应快速变化的网络环境,换句话说,“正常”并不是一成不变的,一旦变化频繁,统计异常检测的准确性就迅速降低,产生更多的误报。
特征码检测的原理跟病毒检测原理类似,依赖于已知的不良行为和模式进行判断,这与统计异常检测的逻辑实际是相反的。如果统计异常检测非常重要的是依赖于定义“正常”,那么特征码检测主要是依赖于定义“不正常”,即不良行为和模式的数据工作库。 特征码检测非常善于识别已知的威胁,而且如果定义良好的话,精确度也会非常高。显然,特征码检测无法预知可能的威胁。统计异常检测的本质是“有罪推定”,与正常的差异都会被预警,而特征码检测的本质是“无罪推定”。
在技术上,对恶意事件的判定,越来越偏向预测的方向发展,例如,利用神经网络、贝叶斯网络、贝叶斯推理等,在后续,人工智能和大数据对于形如IDS/IPS的专家系统肯定有很大的促进。
在具体产品设计上,集成化是比较明显的趋势,例如,统一威胁管理(Unified Threat Management,UTM)就是将防火墙、网关防病毒和IDS/IPS等产品集成在一起。抛开UTM这种没有实际技术突破的产品,防火墙和IDS/IPS等都在向应用层(OSI的第7层)发展,都在试图解析报文中的数据净荷,以提高判断的准确率。
4 相关的国际和国家标准
从文献[3]和[4]中得知,IDS的相关标准,可以分为产品相关标准和应用场景相关标准。其中,产品相关标准关注的是如何设计、生产IDS/IPS,应用场景相关标准关注的是如何选择、部署IDS/IPS。如引言中所述,在本文中,我们更關注的是应用场景相关的IDS/IPS标准。
在ISO/IEC27000标准族中,有ISO/IEC 27039:
2015 Information technology—Security techniques— Selection, deployment and operations of intrusion detection and prevention systems (IDPS)《信息技术 安全技术 入侵检测与防御系统(IDPS)选择、部署和操作》。
ISO/IEC 27039之前被发布为ISO/IEC 18043:
2006,修改采用的国家标准为GB/T 28454—2012《信息技术 安全技术 入侵检测系统的选择、部署和操作》。从其中标题的变化就可以看出从IDS向IPS的变化趋势。
此外,国家标准发布了两个CC类的产品标准,分别为:1)GB/T 20275—2013《信息安全技术 网络入侵检测系统技术要求和测试评价方法》;2)GB/T 28451—2012《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》。
5 小结
IDS/IPS通常被认为是继防病毒软件和防火墙之后的最重要的安全防护手段之一,此三者被业界称为“信息安全老三样”。市场上存在各种各样的IDS/IPS产品,以及各种各样的不依据技术路线的分类,例如,基于主机的IDS称为HIDS,基于网络的IDS称为NIDS。但是万变不离其宗,本文梳理了其发展过程,分析了主流的技术实现路线,以帮助读者选择合适的产品。
参考文献
[1] Mark Rhodes-Ousley. 信息安全完全参考手册(第2版)[M]. 北京:清华大学出版社,2014.
[2] 刘建伟, 王育民.网络安全——技术与实践(第2版)[M].北京:清华大学出版社,2015.
[3] 谢宗晓,李宽.通用准则(CC)与信息安全管理体系(ISMS)的比较分析[J].中国质量与标准导报,2018(7):28-32.
[4] 李军,谢宗晓.基于产品和基于流程的信息安全标准及其分析[J].中国质量与标准导报,2017(12):60-63.