入侵检测系统脆弱点和其防护机制研究.pdfVIP

入侵检测系统脆弱点及其防护机制研究 邓琦皓周伟 罗军勇 王清贤 信息工程大学信息工程学院郑州450002 摘要：入侵检测系统(InS)的研究已经成为信息安全领域中的一个热点。但许多 研究者仅仅致力于研究自动检测入侵的相关技术，而很少考虑IDS本身的安全。由 于设计机理问题，IDS本身存在着一些可能会被攻击者利用的脆弱点。IDS如果被攻 击了，它可能就会停止工作，或者报告错误的信息，或者不能识别出正在进行的攻 击。本文对各类IDS存在的脆弱点及其攻击方式进行了分类和分析。介绍并分析了 目前国内外在JDS肪护方面所做的一些努力。最后，本文探讨了IDS防护方面可能 ．的解决技术和实现策略，这对于设计、实现健壮的IDS有一定的借鉴意义。 关键词：入侵检测系统：脆弱点；攻击：防护 1 引言 迅猛发展的Internet给人们带来方便的同时，也给信息保障带来了越来越多的 挑战。现在入侵检测系统(IDS)的研究已经成为了信息安全领域中的一个热点。各 种商业产品层出不穷，各个研究机构也在不断的探索新的检测手段，但却很少有研 究者考虑IDS本身的安全。由于设计机理问题，13S本身也存在着一些可能会被攻 击者利用的脆弱点，所以IDS成为信息系统安全屏障的同时，也成为了入侵者的研 究目标，各种针对IDS的规避手段、甚至是直接破坏IDS系统本身的方法不断出现。 TDS如果被攻击了，它可能就会停止工作，或者报告错误的信息，或者不能识别出 正在进行的攻击。在分布式协同入侵检测系统中，由于协同攻击的检测依赖于分布 在整个被保护网络中的本地入侵检测组件所提供的信息，所以对部分入侵检测组件 进行攻击，可能会导致整个协同入侵检测系统无效。研究IDS的脆弱点及其攻击手 段对于我们设计、实现健壮的IDS有一定的借鉴意义。本文对各类TOS存在的脆弱 点进行了剖析，分析了针对这些脆弱点的攻击方式。本文还对目前国内外在入侵检 测保护机制方面所做的一些主要工作进行了介绍、分析。最后，本文探讨了IDS防 护方面可能的解决技术和实现策略。 18l 2 IDS的脆弱点及其攻击手段分析 2 1针对数据源的攻击 无论是基于网络的入侵检测系统(NIDS)还是基于主机的入侵检测系统(HIDS) 都需要从相应的数据源收集数据，然后再进行分析。入侵者可以构造特殊的数据源 数据或篡改原始事件数据来逃避入侵检测系统的检测，我们可以将这类攻击统称为 蒙蔽(tempering)攻击。蒙蔽攻击的危害是巨大的，它会使网络安全管理员误认为 系统是安全的，从而丧失了及时处理后续攻击的时机，而且不能及时收集入侵证据。 下面我们分别对NIDS和HIDS的情况进行分析。 2．11 网络流量的不确定性造成的攻击 NIDS静静地监控一个网络链路，它的～个基本问题是有经验的攻击者可以通 过利用NIDS所观察到的流量的不确定性而逃避检测。具体说来，NIDS的不确定性 表现在以下3个方面：(1)NIDS对一个特定协议所允许的所有的行为缺乏完整的 分析。例如，如果NIDS不能重组m分片，攻击者就可以故意以分片而不是完整的 Ⅲ数据包发动攻击。因为口终端系统被要求进行分片重组，攻击流将会影响受害 系统，而NIDS将检测不到这次攻击，因为它不能重构完整的数据包。(2)由于不 能详细了解受害终端系统的协议实现，NIDS将不能确定受害系统将怎样处理给定 的一系列数据包，因为不同的实现对同样一组包的解释方式并不相同。不幸的是， Interact协议规范并没有准确的指定协议的完整行为，尤其是缺乏对特例情况的说 明。此外，不同的操作系统和应用程序一般都是实现协议的不同子集。(3)由于不 能详细了解NIDS和受害端系统之间的网络拓扑，NIDS可能不能确定终端系统是否 能“看见”给定的一个包。例如，NIDS能捕获某个rrL域值比较低的包，这个包 也许能转发到终端系统，也许不能转发到终端系统。如果NIDS认为包已经被接收 了，而实际上它并没有到达终端系统，那么它关于终端系统的协议状态的模型将是 不正确的。 流量的不确定性会造成“插入”和“规避”攻击。“插入”是指NIDS对数据包 的过滤原则不如目标主机严格，因此，被NIDS所接收的某些数据包，实际上会被 目标主机所丢弃，因此，NIDS所重构的信息包含一些干扰字符。而“规避”则是 182 指NID