7.5 補充IDPS的工具

7.5.1 總則

對于檢測入侵并減輕入侵引起的損害而言， IDPS并不是唯一、完善的解決方案。因此， 選擇IDPS時， 還需要借助一些設備和工具以加強和補充IDPS的能力， 主要包括：

– 文件完整性檢查器；

– 防火墻或安全網關；

– 蜜罐；

–網絡管理工具；

– 安全信息和事態管理(SIEM) 工具；

– 病毒(內容)保護工具；

– 脆弱性評估工具。

7.5.2 文件完整性檢查器

文件完整性檢查器是輔助IDPS的另一類安全工具， 其利用關鍵文件與對象的信息摘要或者加密校驗碼，與參考值相比較，來標記文件的差異或變化。由于攻擊者可能修改系統文件，因此目前主要在攻擊的三個階段使用加密校驗碼：第一階段，攻擊者修改了作為攻擊目標的系統文件(例如，放置木馬)；

第二階段，攻擊者試圖在系統內留下后門，以便隨后能重新進入：最后階段，攻擊者試圖掩蓋痕跡，使系統責任人可能意識不到攻擊。

選擇文件完整性檢查器時，需要考慮其優缺點。

優點：

– 可以確定廠商提供的bug補丁或其他期望變更是否已經運用于系統二進制文件；

– 允許對攻擊痕跡進行快速可靠的判斷，特別是對已被攻擊的系統進行取證檢查時；

– 攻擊者經常修改或者替換系統文件，并利用技術手段保留系統管理員例行檢查的文件屬性：而使用此工具能檢測到對文件的任何變更或修改；

– 可識別對數據文件的修改。

缺點：

– 在分析期間，可能要求關閉信息系統或者至少是關閉被檢查的系統。

7.5.3 防火墻

防火墻(見GB/T 25068.2)主要用于限制網絡間的訪問。簡單的防火墻是基于組織可訪問的源IP地址、目的IP地址和端口號來過濾網絡流量[例如，組織只接受來自電子郵件服務器(端口號25)或者web服務器(端口號80) 的流量] 。然而， 應用級防火墻使用應用協議信息可提供更復雜的過濾方式。當防火墻位于封閉區域時， 它能減少NIDPS需要檢查的流量。

當被阻止的流量試圖通過防火墻時， 與NIDPS相比， 大多數防火墻在監視網絡信息內容和發起報警方面較為受限， 面NIDPS專門用來檢查網絡包， 檢測其中合法和非法流量的構成， 并在檢測其中存在惡意內容時發出報警。同時， 當需要時， NIDPS報警也能用來改變防火墻的過濾參數。

當在防火墻內側部署NIDPS時， 適當配置的防火墻會大大減少由NIDPS檢查數據包的數量。此類NIDPS配置可極大提高NIDPS的準確性。因為在控制傳人流量的同時， 能消除由掃描活動導致的Internet背景噪聲。

7.5.4 蜜罐

蜜罐是誘騙系統的專業術語，用來欺騙、分散、轉移并引誘攻擊者在看似有價值的信息上花費時間，但這些信息實際上是捏造的，對合法用戶來說毫無價值。蜜罐的主要目的是收集對組織有威脅的信息，并引誘入侵者遠離關鍵系統。

蜜罐不是一個操作系統，而是能引誘攻擊者保持足夠在線時間的信息系統，以評估攻擊者的意圖、技能水平和操作方法。

分析蜜罐中入侵者的活動可以使組織更好地理解系統受到的威脅和其脆弱性， 從而改進IDPS的操作， 為推進組織IDPS的策略、攻擊特征數據庫以及整體方法(此方法是IDPS避免受到已知攻擊威脅的最佳實踐)的發展提供幫助。

蜜罐使用前，需尋求法律顧問的指導。鑒于蜜罐是一種誘捕技術，需要確定蜜罐及其數據的合法性。

選擇蜜罐時，需要考慮其優缺點。

優點：

– 將攻擊者轉移到他們不能破壞的目標系統；

– 蜜罐不管理已授權的活動，因此蜜罐捕捉到的所有活動均是可疑的；

– 管理員有更多時間決定如何應對攻擊者；

– 能夠更加容易、廣泛地監視攻擊者活動，監視結果可用來優化威脅模型、提升保護系統的能力；

– 可以有效捕捉在網絡上進行窺探的內部人員。

缺點：

– 使用此設備的合法性尚不確定；

– 一旦進入誘捕系統，攻擊者可能發動更具破壞性的攻擊；

– 為了使用這些系統，管理員和安全管理者需具備較多的專業知識。

7.5.5 網絡管理工具

網絡管理工具利用探測技術來監視網絡設備的可用性和性能，通過收集網絡部件和拓撲信息，來進行網絡基礎設施配置和管理。

網絡管理工具主要與IDPS報警相關聯， 幫助IDPS操作者恰當地處理報警并評價他們對于所監視系統的影響。

7.5.6 安全信息事態管理(SIEM) 工具

SIEM工具主要用來整合來自IDPS、防火墻、嗅探器等的信息(收集相關信息并減少過載信息) ， 并將整合后的信息發送給管理平臺和報警控制平臺，使得分析者可以管理和利用這些海量信息。同時，SIEM通過關聯分析(使無數小的單個數據包和多個數據源在雷達控制下長時間關聯) 收集的數據可大大減少漏報的數量。

SIEM工具也可用于處理從IDPS獲得的數據， 其主要功能包括：

– 收集和維護與安全相關的不同數據源的事態數據， 可能包含來自一個或多個IDPS的數據、來自網絡設備與主機的日志文件以及來自反病毒工具的事件數據；

– 進一步處理所收集的數據，特別是提供進一步的事態關聯、事態過濾和事態聚合；

– 事態關聯：通過建立安全和非安全相關事態的情景來檢測非模式相關的安全漏洞；
-事態過濾：通過基于相關性的關聯來降低報警級別(例如， IDPS報警和安全補丁級別) ；
– 事態聚合：通過收集和歸一化基于源、目的、時間戳和事態描述等的事態， 來降低IDPS報警
溢出；
– 為報告相關報警提供簡單易用的界面，為基于收集數據的報警進行深層次分析提供幫助。

7.5.7 病毒(內容)保護工具

病毒(內容) 保護工具可通過對特定流量和病毒來源信息的交叉分析， 提供附加數據來對IDPS進行補充。

7.5.8 脆弱性評估工具

脆弱性評估是風險評估、安全審計(符合性檢查)和監視策略的重要組成部分。其通過查找脆弱性，采取糾正措施來減少入侵者利用脆弱性入侵的機會。因此使用脆弱性評估能極大地減少IDPS查找攻擊的數量。

與執行攻擊腳本不同， 脆弱性評估重點在于評估給定主機對給定脆弱性的暴露程度。因此， IDPS檢測脆弱性評估活動失效并不表示IDPS不能檢測攻擊。相反的， IDPS對脆弱性評估活動的檢測并不意味著相同的IDPS也可以準確地檢測到攻擊。

脆弱性評估工具主要用來測試網絡主機對損害的敏感度。其與IDPS結合使用， 為檢查IDPS在攻擊檢測和攻擊應對方面的有效性提供了好的方法。脆弱性評估工具可分為基于主機或基于網絡兩類。

其中，基于主機的脆弱性工具通過查詢數據源、配置細節和其他狀態信息，來評估信息系統的安全，其允許訪問目標主機，通過遠程連接在目標主機上運行。基于網絡的脆弱性工具用來掃描與網絡服務相關聯主機的脆弱性。脆弱性評估需要由管理者批準以后才能進行。使用脆弱性評估工具是對IDPS的補充而不是替代。

選擇脆弱性評估工具時，需要考慮其優缺點。

優點：

– 脆弱性評估工具為記錄信息系統的安全狀態提供了有效的方法，它可以重建安全基線以便在系統變更后回退；

– 定期使用脆弱性評估工具能夠可靠識別信息系統的變更；

– 最大的優點是幫助識別脆弱性；

– 允許將已知脆弱性與攻擊數據相匹配，以確定攻擊是否成功。

缺點：

– 基于主機的脆弱性評估工具在建立、管理和維護方面通常比基于網絡的工具更加昂貴；

– 基于網絡的脆弱性評估工具是與平臺無關的，因此不如基于主機的工具更有針對性；

– 脆弱性評估消耗資源(可能是不切實際的，也可能是以降低系統或網絡性能為代價，或者在規定日期和時間限制下運行)；

– 在許多情況下，脆弱性評估是周期性(周、月或隨機的)活動，可能不能及時檢測出安全事件；

– 和IDPS一樣， 脆弱性評估工具易受到誤報或漏報的影響， 需要仔細分析；

– 重復地脆弱性評估會使基于異常的IDPS忽視真正的攻擊；

– 需要更新攻擊特征；

– 基于主機的脆弱性評估工具無法檢測網絡中的未授權系統。

基于網絡脆弱性評估需要限定在目標系統中，由于收集數據是敏感信息(易被入侵者利用入侵信息系統)，因此需要注意保護敏感信息和數據的隱私。