网络入侵检测系统的主动响应技术 2003-12-22

李广峰 胡昌振 戴 斌 北京理工大学网络安全技术实验室 100081

摘 要：响应是网络入侵检测系统（NIDS）的主要组成部分，主动响应机制是系统的主要应用。本文简介了主动响应机制的不同表现方式及特点，并对主动响应技术的发展前景作了简单论述。

关键词： 网络入侵检测系统（NIDS）、主动响应、追踪技术、欺骗网

1 引言 随着现代科技和信息技术的发展，计算机网络迅速发展，但同时网络入侵的风险性和机会也相应增多，为了消除这种威胁，入侵检测系统（IDS）就相应而出现。

入侵检测技术（IDS）自80年代提出以来得到了极大的发展，典型的入侵检测系统（IDS）通常采用静态异常模型和规则的滥用模型来检测入侵，这些IDS的检测基本是基于服务器或网络的，即主机基和网络基。基于服务器的IDS采用服务器操作系统的检测序列作为主要输入源来检测入侵行为，而大多数基于网络的IDS则以监控网络故障作为检测机制，网络入侵检测系统是监视计算机网络系统中违背系统安全策略行为的过程。按照最为规范的形式来划分，入侵检测分为以下3个模块：

① 数据源：提供用于系统监视的审计记录流。 ② 分析引擎：用于对审计数据进行分析，发现入侵或异常行为。 ③ 响应：根据分析引擎的输出结果，产生适当的反应。 并且数据源、分析引擎和响应模块是相辅相成的。数据源为分析引擎提供原始数据进行入侵分析，分析引擎执行实际的入侵或异常行为检测，分析引擎的结果提交给响应模块，帮助采取必要和适当的动作，阻止进一步的入侵行为或恢复受损害的系统。同时响应模块作用的对象也包括数据源和分析引擎，对数据源来说，可以要求提供更为细致的信息，调整监视策略，收集其他类型的数据；对分析引擎，则可以增加、删除或更改系统的检测规则，修正检测过程中的参考模型，调整系统的运行参数等。随着入侵检测技术（IDS）的不断发展和完善，响应模块成为其中的关键部分，并得到充分发展。 在入侵检测系统（IDS）中，在完成系统安全状况分析并确定系统所出问题之后，就要让人们知道这些问题的存在(在特定情况下，还有采取行动) ，这在入侵检测处理过程模型中称为响应。响应包括被动响应和主动响应。被动响应就是系统仅仅简单地记录和报告所检测出的问题，而主动响应则是系统(自动地或与用户配合)要为阻塞或影响攻击进程而采取行动。在早期的入侵检测系统（IDS）中被动响应是唯一的响应模式，随着技术的不断发展和人们对安全性的不断提高主动响应成为现今入侵检测系统（IDS）的主要响应模式。

2 主动响应的类别及特点 在网络站点安全处理措施中，入侵检测的一个关键部分就是确定使用哪一种入侵检测响应方式以及根据响应结果来决定采取哪些行动，主动响应是主要方式。主动响应主要包括以下几种选项可供选择：

2．1 对入侵者采取反击行动 2．1．1入侵追踪技术 对入侵者采取反击行动的方式在一些组织和机构特别受欢迎，因为这些组织和机构的网络安全管理人员特别希望能够追踪入侵者的攻击来源，并采取行动切断入侵者的机器和网络连接。但是这一方式本身就存在安全纰漏，首先入侵者的常用攻击方法是先黑掉一个系统，然后在利用它作为攻击另外系统的平台；其次，即使入侵者来自一其合法控制的系统，但他也会利用IP地址欺骗技术使反击误伤到无辜者；并且反击的结果可能挑起最猛烈的攻击，因为入侵者会从常规监视和扫描演变成全面的攻击，从而是系统资源陷入危机；进一步来讲，由于反击行动涉及到重要法规和现实问题，所以这种响应方式也不应该成为最常用的主动响应。

2．1．2 入侵警告和预防 对付入侵者也可以采取比较温和的方式。一方面，入侵检测系统可以有意的断开与其的网络对话，例如向入侵者的计算机发送TCP的RESET包，或发送TCMP Destination Unreachable(目标不可达)包，系统也可以利用防火墙和网关阻止来自入侵的IP 地址的数据包；另一方面，系统可以发邮件给怀疑入侵者的系统的管理员请求协助以识别问题和处理问题。这种响应方式只能发现问题，处理问题，但对入侵检测系统的完善所起的作用并不明显，但在一些研究机构和院校得到一定应用。

这种响应方式是大部分商业入侵检测系统（IDS）所标榜和追求的，但由于应用起来涉及的问题比较多，发展相对比较慢。

2．2 修正系统环境 修正系统环境类似于自动控制的反馈环节，并具有自学习进化功能。修正系统环境以堵住导致入侵发生的漏洞的概念与一些研究者提出的关键系统耦合的观点是一致的，它可通过增加敏感水平来改变分析引擎的操作特征，或通过插入规则改变专家系统来提高对一些攻击的怀疑水平或增加监视范围以比通常更好的采样间隔来收集信息。 这种响应方式由于相对于上一种响应来说相比更为缓和，若与提供调查支持的响应相结合可称为是最佳响应配置，可广泛应用。

2．3 收集额外信息 当被保护的系统非常重要并且系统管理人员需不断的进行法则矫正时就需要收集入侵者的信息，并不断的改进和优化系统；并且可以将入侵者转移到专用服务器。这些专用服务器设置被称为欺骗网技术，欺骗网技术就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。从原理上讲，每个有价值的网络系统都存在安全弱点，而且这些弱点都可能被入侵者所利用。网络欺骗主要有以下三个作用： ① 影响入侵者使之按照你的意志进行选择； ② 迅速地检测到入侵者的进攻并获知其进攻技术和意图； ③ 消耗入侵者的资源。 一个理想的欺骗网可以使入侵者感到他们不是很容易地达到了期望的目标（当然目标是假的），并使其相信入侵取得了成功。 HoneyPots（蜜罐）技术是现阶段欺骗网技术的主要应用。一个"HoneyPots"就是一个设计用来观测入侵者如何探测并最终入侵系统的一个系统，它意味着包含一些并不威胁公司机密的数据或应用程序同时对于入侵者来说又具有很大的诱惑力的这样的一个系统，也就是放置在你网络上的一台计算机表面看来象一台普通的机器但同时通过一些特殊配置来引诱潜在的黑客并捕获他们的踪迹。它并不是用来抓获入侵者，仅仅想知道他们在并不知道自己被观测的情况下如何工作，入侵者呆在"HoneyPots"的时间越长，他们所使用的技术就暴露的越多，而这些信息可以被用来评估他们的技术水平，了解他们使用的攻击工具。通过学习他们使用的工具和思路，可以更好的保护我们的系统和网络。 而且以这种方式收集的信息对那些从事网络安全威胁趋势分析的人来说也是有价值的。这种信息对那些必须在有敌意威胁的环境里运行或易遭受大量攻击的系统(例如政府Web 服务器或具有商业价值的电子商务网站)是特别重要的。

这种响应方式在一些国外大型研究机构得到充分重视，主要用途在于研究，而不在于商业价值，因此商业公司对这方面重视相对有限。HoneyPots技术充分体现了网络入侵检测系统的防御功能，尤其对收集入侵者的威胁信息或者收集证据来采取法律措施至关重要

以上三种响应模式是主动响应的主要表现形式，由于科研院所和商业公司所追求的目标和作用的不同，响应模式的应用也是互不相同，因此主动响应的发展就出现了多元化的发展方向，下面就主动响应的发展谈一下看法。 3． 主动响应的发展前景 主动响应的发展从目的来讲可从两方面谈起，但每一方面都离不开修正系统环境模式，由于修正系统环境模式总是与入侵检测分析方案相联系，在这里就不作论述。

3．1商业应用上 从商业角度讲，对入侵者采取反击行动，特别是网络追踪技术是其产品的卖点，因此网络追踪技术得到了一定发展。在国外，主要发展方向为两方面：主动式追踪和被动式追踪。

3．1．1 被动式追踪 在被动式追踪技术方面，国外已经有了一些产品，如Thumbprinting技术对应用层数据进行摘要，基于某种Hash算法，可根据摘要追踪；Timing-based系统使用连接的时间特性来区分各个连接；Deviation-based方法定义两次TCP连接之间最小延迟作为“deviation”。

这些技术和方法都有一个共同的缺点就是计算复杂，无论采取哪一种方法都涉及大量计算，由于现在的网络速度和发展，大规模采取任何一种方式都是不可能的。这类产品的发展前景并不被看好，一些产品已经不做进一步发展。

3．1．2 主动式追踪 主动式追踪技术研究主要涉及信息隐形技术，如针对http协议，在返回的http报文中加入用户不易察觉并且有特殊标记的内容，从而在网络中检测这些标记追踪定位。这种方法不需要计算每个数据包，并进行比较，因此有很大的优势，在国外主动式追踪技术已经有了一些实用化工具，如IDIP、SWT等，但基本还处于保密阶段。

随着信息隐形技术的发展，主动式追踪技术将得到进一步发展，在未来战争计算机对抗技术的迫切需求下，国家安全部门及一些军事科研机构将投入更大的精力于这方面技术的研究

3．2 研究应用中 在研究应用中,欺骗网技术是主动响应的主要发展方向。在现阶段欺骗网技术主要围绕HoneyPots技术和Honeynets技术不断发展。

3．2．1 HoneyPots技术 利用HoneyPots技术构建一个HoneyPots目的就是观察入侵者，收集信息。因此HoneyPots的精髓就是它的监视功能——毕竟全部意图就是将入侵者置于显微镜之下。考虑