有時�����,我們似乎是在通過針孔攝像機來尋找網(wǎng)絡攻擊�。我們運用不同的工具(利用防火墻和入侵檢測系統(tǒng))來監(jiān)視周邊環(huán)境����,監(jiān)視通過惡意軟件的攻擊(利用反惡意攻擊軟件)、利用欺騙手段發(fā)起的攻擊(利用反釣魚解決方案)���,以及對動態(tài)數(shù)據(jù)的攻擊(利用流量分析和網(wǎng)絡攻擊日志記錄)和對靜態(tài)數(shù)據(jù)的攻擊(利用系統(tǒng)和應用程序日志記錄)����。每種工具都起到了很大的作用�����,但我們似乎很少看到有一種工具能夠為所有相關數(shù)據(jù)提供一種網(wǎng)絡態(tài)勢感知能力���。
最近我讀了一篇文章��,是集成Web安全����、數(shù)據(jù)安全和電子郵件安全產(chǎn)品制造商Websense的銷售副總裁Andrew Philpot寫的一篇很有意思的關于統(tǒng)一內(nèi)容安全的文章,這是針對英國和愛爾蘭的��。他的基本觀點來自于其自己公司研究實驗室的數(shù)據(jù)支持����,他表示“統(tǒng)一內(nèi)容安全可以使企業(yè)在不妨礙合法企業(yè)操作的情況下管理風險。像這樣一個系統(tǒng)在安全決策的過程中擔任一個中間角色�;它通過多個溝通渠道和內(nèi)容分類來達到這個目的,以識別潛在的安全威脅�����。這既包括外部也包括內(nèi)部安全���,防止數(shù)據(jù)丟失和業(yè)務濫用����,它和傳統(tǒng)的停止惡意軟件和周邊安全攻擊的手段一樣有效�����。”
我在閱讀Philpot的文章中的一些細節(jié)的同時�����,還看到了一篇研究論文���,是由澳大利亞墨爾本大學計算機科學和軟件工程的幾位作者寫的��,《一個關于協(xié)調攻擊和協(xié)同入侵檢測的調查》����,該論文的摘要如下:
協(xié)調的攻擊���,如大規(guī)模的隱蔽掃描�、蠕蟲病毒的爆發(fā)和分布式拒絕服務攻擊����,在多個網(wǎng)絡同時進行。這種攻擊是非常難以用隔離的入侵檢測系統(tǒng)來進行監(jiān)測的���,即使能監(jiān)測���,監(jiān)測的也只是互聯(lián)網(wǎng)的一個非常有限的部分。在本文中���,我們總結了當下利用協(xié)同入侵檢測系統(tǒng)(CIDS)檢測上述攻擊的研究方向�。我們強調了兩個在當下CIDS研究過程中的主要挑戰(zhàn):CIDS架構和報警關聯(lián)算法,并回顧了當下應對這兩個方面挑戰(zhàn)的CIDS方法�����。最后�����,我們強調了綜合解決大范圍協(xié)同入侵檢測的機會作為總結�����。
作者以一個關于幾個協(xié)調攻擊的調查作為開始���,包括2003年的SQL-Slammer蠕蟲病毒和2007年的風暴蠕蟲�。這些攻擊是典型的“非常難以察覺的���,因為這些攻擊的證據(jù)通過多個網(wǎng)絡管理域進行傳播��。”研究人員說為了及時發(fā)現(xiàn)大規(guī)模的協(xié)調攻擊�,我們需要結合來自多個地理分布的可疑網(wǎng)絡活動的證據(jù)��。他們認為,CIDS允許從多個來源搜集證據(jù)是非常必要的���。他們還主張實時處理���,而不是進行事后的大量數(shù)據(jù)分析�。因為“盡管協(xié)調的攻擊可能在稍后階段更容易發(fā)現(xiàn),但是入侵檢測工具的作用將被削弱����,因為到了那個階段,這種損害已經(jīng)造成了��。”
CIDS有兩個主要的組成部分:
1.一個檢測單元�,由多個檢測傳感器組成,每個傳感器都監(jiān)測其自身所在的子網(wǎng)或者單獨的主機��,然后生成低級別的入侵警報�����。
2.一個相關單元����,將低級別的入侵警報轉化成高級別的經(jīng)過攻擊確認的入侵檢測報告。
特別有趣的兩個部分是文章有關隱私和信任的部分。作者指出了信息共享系統(tǒng)的參與者將不愿意提供數(shù)據(jù)�����,除非他們的數(shù)據(jù)可以得到保護���。一種方法是進行消毒��,其中身份信息要么被刪除要么被改造�����。他們寫道“另一個重要的方面是超出了文章的重點�����,那就是關于協(xié)調入侵檢測的安全和信任問題�。這個問題在CIDS系統(tǒng)中比其他問題的優(yōu)先級低了很多����。”消息認證是有用的,但是這種方法不能防止合法用戶發(fā)送惡意數(shù)據(jù)�����。
筆者認為,CIDS將是網(wǎng)絡安全的未來����。