【TechTarget中国原创】没有任何一种入侵检测技术是100%有效的。基于异常的产品必须进行小心配置才能识别出正常的行为,但这仍然可能产生误报。基于签名的产品并不要求大量的配置,但它们不能检测出零日攻击。
供应商已经通过开发整合入侵检测系统技术的产品来应对这个问题。有些供应商做得更好,他们通过使用一种对正常和异常行为的持续分析来创建新的签名作为更广泛的入侵检测技术。
为了实现更深入地整合入侵检测系统,用户必须考虑特定应用的保护设备。
特定应用网络行为分析工具:完全屏蔽Web攻击
Web应用经常是严重攻击的入口。例如,电子商务应用访问内部数据库获取有价值的信息(如,客户列表和信用卡号),所以它们极容易成为攻击目标。结果,Web应用防火墙同时整合了基于异常和基于签名的技术来检测经常使用的攻击技术。
典型的Web应用攻击技术包括:
SQL注入:这是一个应用的数据库层漏洞的暴露。
跨站脚本:恶意攻击者会在Web应用上注入客户端脚本。
操作系统命令注入:攻击者通过Web应用漏洞执行操作系统命令,从而获取数据或上传恶意程序。
应用防火墙同时使用基于异常和基于签名的入侵检测技术
Web应用防火墙组合了基于异常的技术和特定应用方法。例如,从一个特定的客户端到一个电子商务网站的请求通常至少会间隔几秒钟时间。而一连串快速的一秒出现几次的请求就很可能是一个攻击。类似地,大多数Web应用会在每一个请求的响应中传输有限数量的数据。如果出现一个非常大的响应,那么这可能就意味着可能有一个攻击在请求扫描时没有被捕捉到。
Web应用防火墙也使用基于签名的方法,扫描比对到达的请求与预先更新好的签名列表。
作为入侵检测系统的反垃圾邮件产品:SPF和DKIM
反垃圾邮件产品通常不被认为是入侵检测系统,但木马和网络钓鱼则被认为是对网络安全的严重攻击。大多数反垃圾邮件产品都是基于签名的,但是也会使用特定应用技术。
最新开发的垃圾邮件识别技术已经使用了很多年了,其中包括两个标准的开发:Sender Policy Framework (SPF)和DomainKeys Identified Mail (DKIM)。实际上没有任何一种技术能够检测垃圾邮件;相反,它们只关注于保证邮件是从正确的发送者传输过来的——而不是电子邮件欺骗。
SPF是一个电子邮件验证系统,它可以让管理员注册一个目录列表,记录哪些主机可以从特定的域发送电子邮件。这种做法的目的是消除电子邮件欺骗。通过DKIM,发送者能够通过在每一条消息中嵌入一个电子签名来确认邮件发送,而这个电子签名是接收者能够验证的。
这两个标准都受限于它们的使用是可选的。并不是所有包含SPF或DKIM信息。许多合法服务提供商已经采用了其中的一个协议,所以一个合理的技术是要将任何不使用这两个协议的邮件确定为垃圾邮件。这样做的缺点是有些邮件可能被错误地标记或阻挡。
反垃圾邮件:将发送者的声誉作为行为分析
基于发送者的声誉进行过滤是一个更新的扩展。这个技术基于大多数的垃圾邮件来自有限的发送源这样一个事实。客户的反垃圾邮件设备会基于到达的电子邮件编译一个发送者列表,并报回给供应商。供应商收集和整合了客户输入,然后计算每一个发送者的声誉值。
这个声誉值是基于一系列的因数的,包括发送者的服务提供者的身份、来源地国家、日常电子邮件容量和所包含的链接到受感染Web页面的URL。供应商更新他的发送者数据库,组合最近的报表到之前一个报表,并周期性地更新客户列表。来自声誉值很低的站点的电子邮件会被阻挡,而来自可疑来源的电子邮件可以被限制速率。
在一个VoIP环境中检测异常网络行为
VoIP是另一个可以从结合基于异常和基于签名方法中受益的应用。黑客会尝试获取免费呼叫或对合法用户拒绝服务。他们也可能攻入系统进行大量的非法呼叫——这类似于垃圾邮件。VoIP安全设备整合了VoIP协议的特定方法与基于异常及基于签名的这两种方法。
整合防御设备与主机和工作站软件
范围、复杂性和攻击的可能开销要求使用所有这些技术:基于异常、基于签名和特定应用方法。攻击可以进入网络而不需要穿越Internet连接端的事实意味着入侵防御设备必须安装在重要的内部位置和网关上。最后,主机和工作站的相关软件提供了一个附加的保护。另外也有一些解决方案组合所有这些组件,在组件中共享这些信息,然后一起创建一个综合的、统一的防御。