有时,我们似乎是在通过针孔摄像机来寻找网络攻击。我们运用不同的工具(利用防火墙和入侵检测系统)来监视周边环境,监视通过恶意软件的攻击(利用反恶意攻击软件)、利用欺骗手段发起的攻击(利用反钓鱼解决方案),以及对动态数据的攻击(利用流量分析和网络攻击日志记录)和对静态数据的攻击(利用系统和应用程序日志记录)。每种工具都起到了很大的作用,但我们似乎很少看到有一种工具能够为所有相关数据提供一种网络态势感知能力。
最近我读了一篇文章,是集成Web安全、数据安全和电子邮件安全产品制造商Websense的销售副总裁Andrew Philpot写的一篇很有意思的关于统一内容安全的文章,这是针对英国和爱尔兰的。他的基本观点来自于其自己公司研究实验室的数据支持,他表示“统一内容安全可以使企业在不妨碍合法企业操作的情况下管理风险。像这样一个系统在安全决策的过程中担任一个中间角色;它通过多个沟通渠道和内容分类来达到这个目的,以识别潜在的安全威胁。这既包括外部也包括内部安全,防止数据丢失和业务滥用,它和传统的停止恶意软件和周边安全攻击的手段一样有效。”
我在阅读Philpot的文章中的一些细节的同时,还看到了一篇研究论文,是由澳大利亚墨尔本大学计算机科学和软件工程的几位作者写的,《一个关于协调攻击和协同入侵检测的调查》,该论文的摘要如下:
协调的攻击,如大规模的隐蔽扫描、蠕虫病毒的爆发和分布式拒绝服务攻击,在多个网络同时进行。这种攻击是非常难以用隔离的入侵检测系统来进行监测的,即使能监测,监测的也只是互联网的一个非常有限的部分。在本文中,我们总结了当下利用协同入侵检测系统(CIDS)检测上述攻击的研究方向。我们强调了两个在当下CIDS研究过程中的主要挑战:CIDS架构和报警关联算法,并回顾了当下应对这两个方面挑战的CIDS方法。最后,我们强调了综合解决大范围协同入侵检测的机会作为总结。
作者以一个关于几个协调攻击的调查作为开始,包括2003年的SQL-Slammer蠕虫病毒和2007年的风暴蠕虫。这些攻击是典型的“非常难以察觉的,因为这些攻击的证据通过多个网络管理域进行传播。”研究人员说为了及时发现大规模的协调攻击,我们需要结合来自多个地理分布的可疑网络活动的证据。他们认为,CIDS允许从多个来源搜集证据是非常必要的。他们还主张实时处理,而不是进行事后的大量数据分析。因为“尽管协调的攻击可能在稍后阶段更容易发现,但是入侵检测工具的作用将被削弱,因为到了那个阶段,这种损害已经造成了。”
CIDS有两个主要的组成部分:
1.一个检测单元,由多个检测传感器组成,每个传感器都监测其自身所在的子网或者单独的主机,然后生成低级别的入侵警报。
2.一个相关单元,将低级别的入侵警报转化成高级别的经过攻击确认的入侵检测报告。
特别有趣的两个部分是文章有关隐私和信任的部分。作者指出了信息共享系统的参与者将不愿意提供数据,除非他们的数据可以得到保护。一种方法是进行消毒,其中身份信息要么被删除要么被改造。他们写道“另一个重要的方面是超出了文章的重点,那就是关于协调入侵检测的安全和信任问题。这个问题在CIDS系统中比其他问题的优先级低了很多。”消息认证是有用的,但是这种方法不能防止合法用户发送恶意数据。
笔者认为,CIDS将是网络安全的未来。
【编辑推荐】
