APT检测是IDS发展方向

网络安全的高速发展给网络设备和网络应用市场带来了前所未有的机遇，然而机遇与挑战并存，网络安全市场虽然迎来了一个快速发展的机会，但是由于网络延伸的速度超出了人们的预想，网络安全问题表现出越来越复杂的状态，给网络应用市场的前进带来了新的困难，想要发展网络应用市场的前提是如何建立可管理、可控制、可信度高的网络环境。

随着网络技术发展速度日趋加快，入侵手段也从原来的单一入侵演变成现在的混合型威胁，以往的防护手段已经无法满足网络安全的需要。信息安全建设不得不提出新的理念，那就是切实可行的为用户提供立体防护体系，这样的体系不仅要局部安全、全局安全、智能安全，而且还要多层次、全方位保护网络信息的安全。正是由于网络安全面临着各种各样的入侵威胁，能够实现网络的实时监控是现下我们的首要任务。

传统的安全防护有防火墙等手段，但防火墙本身容易受到攻击，且对于内部网络出现的问题经常束手无策。防火墙是一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。但是目前的网络入侵技术多是动态的，不会按照人们的预期出现在指定的位置，防火墙技术在实际应用中暴露出无法预防这些网络入侵的缺陷，它只能提供静态的网络防护。根据调查显示来自于网络内部的入侵行为在网络攻击中占有一半以上的比率，而防火墙技术只能拦截到来自于网络外部的攻击。与此同时网络的攻击还有可能来自于病毒，像蠕虫病毒等的攻击，防火墙技术明显表现的力不从心。基于网络入侵的上述特性，加之防火墙不能很好的满足现今网络安全的需求，那么就目前情况针对网络安全问题如何通过实现网络监测来达到来保护对网络环境安全就成为目前的重中之重。入侵检测系统的出现是为了弥补防火墙的不足，能够为网络安全提供实时的入侵检测，通过跟踪入侵发现攻击行为及时采取有效的防护手段，进行网络的恢复或断开连接等操作。如果说防火墙是网络环境的大门，那么入侵检测系统就是网络环境的监控。

入侵检测系统，英文Intrusion detection system的缩写，简称IDS。它是一种全方位的网络安全设备，它通过分析来自网络传输信息的若干关键点的信息能，实现对网络的实时监控，并且能从收集到的信息中即时发现并处理传输过程中的可疑信息，告知用户采取主动反应措施。网络安全可能受到的攻击包括没有访问权限的非法用户，也就是我们经常所说的黑客（hackers），还有就是来自网络内部，虽然有访问网络的许可，但是却非法使用网络的用户（insider threat），对于这些可能发生的攻击入侵检测系统都能及时有效的发现。入侵检测系统是一种积极主动的实时检测技术，它的出现改变了以往的静态防护模式，能够发现动态入侵企图，这点与其他一些网络安全设备有着相当大的差别。入侵检测的研究最早可以追溯到20世纪80年代，1980年，James P.Anderson的《计算机安全威胁监控与监视》(《Computer Security Threat Monitoring and Surveillance》)第一次详细阐述了入侵检测的概念;提出计算机系统威胁分类;提出了利用审计跟踪数据监视入侵活动的思想，他将入侵行为划分为外部闯入、内部授权用户越权使用和滥用。入侵是指任何试图破坏资源完整性、机密性、可用性的行为，还包括用户对系统资源的误用。1984年到1986年，乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型--IDES(入侵检测专家系统)。1987年DorothyE Denning提出了入侵检测的模型，首次将入侵检测作为一种计算机安全防御措施提出。1988年之后，美国开展对分布式入侵检测系统(DIDS)的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。1989年，加州大学戴维斯分校的ToddHeberlein发表论文《ANetworkSecurityMonitor》，该监控器用于捕获TCP/IP分组，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。1990年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(Network Security Monitor)，该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。随着目前攻击的多样化、复杂化，入侵检测技术也在飞速地发展，目前入侵检测技术已经成为网络安全领域内研究的热点。总体来说，入侵检测系统的发展经历了五个阶段：最早的是基于主机的入侵检测系统，如IDES；基于多主机的入侵检测系统，如NIDES；基于网络入侵检测系统，如NSM；分布式入侵检测系统，DIDS；以及面向大规模网络的入侵检测系统。

尽管入侵检测系统（IDS）发展迅速，但是还是常受到专家和用户诟病。Gartner就一直不看好入侵检测系统（IDS），在多份报告中对IDS提出非议。2003年 Gartner公司副总裁Richard Stiennon发表《入侵检测已寿终正寝，入侵防御将万古长青》。Gartner指出入侵防御要替代入侵检测报告引发的安全业界震动，而在另一份《2003年：信息安全的炒作周期》的报告中，Gartner称入侵检测系统是一次市场失败。受Gartner报告的影响，IDS倍受攻击。至今关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡，2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场，给这个讨论画上了一个句号。可以说，目前无论是从业于信息安全行业的专业人士还是普通用户，都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。

IDS技术采用了一种预设置式、特征分析式工作原理，所以检测规则的更新总是落后于攻击手段的更新。IDS缺乏准确定位和处理机制，IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。缺乏基于行为的0DAY分析能力是用户对入侵检测系统（IDS）不满意最集中的一点。笔者以为如果IDS将APT检测作为其主要功能方向将大大增强这一弱点。

APT（Advanced Persistent Threat）即高级持续性威胁是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。社交工程的恶意邮件是许多APT攻击成功的关键因素之一，随着社交工程攻击手法的日益成熟，邮件几乎真假难辨。针对被锁定对象发送几可乱真的社交工程恶意邮件，使用者只要一时不察，就可能会让自己的计算机被植入恶意程序。通过电子邮件附件进行的APT攻击，已成为单位闻之色变的主要入侵方式。从一些受到APT攻击的大型单位中可以发现，这些单位受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客针对某些特定员工发送钓鱼邮件，以此作为使用APT攻击的源头。

如今，信息化与日常生活工作结合的愈发紧密，单位业务对信息系统越来越依赖，安全的边界已经从传统的网关、桌面终端延续到任何应用及业务可能到达的每一个节点，基于漏洞的APT攻击可能就潜伏在我们身边。由于员工缺乏信息安全方面的素养，对黑客入侵方式如什么是钓鱼邮件、钓鱼连接和钓鱼电话等新入侵方式的认识。如大部分的网络钓鱼讯息，目的是希望让人进入会收集个人资料的恶意网站，由于这些电子邮件或其它形式讯息都是用HTML格式，使用者在点选链接前，只要将鼠标箭头停在这些链接上，就可以在浏览器状态列上，看到实际网址(通常在浏览器或电子邮件软件视窗的底部)，而大部分员工不认得这些网站，或它用的是像bit.ly的短网址，或链接来源都没有接触过的，大部分员工会下意识的（没有任何防范）情况下直接点击附件或链接，导致打开恶意附件文件，恶意附件文件会攻击一个目前仍不明的漏洞来植入并执行后门程序。这个后门程序可以让潜在攻击者来做远端存取，能在受感染机器做出其他恶意行为。根据我们的分析，这个后门程序也会下载并执行其他恶意文件，让受感染系统被进一步的感染和或窃取资料。

对于APT攻击的防御成为摆在全体信息安全从业者面前的重大课题，特别是针对实施APT攻击容易利用的Web应用程序漏洞、Email邮件社工和0DAY漏洞等方面的防御，增加安全指数，提高攻击难度。降低APT攻击成功率，提高预警能力。

入侵检测系统（IDS）缺乏零日漏洞预警能力，但是其已知特征检测能力还是令人满意的。不过在APT攻击的防御上，入侵检测系统（IDS）正好可以大展拳脚。潜伏性和持续性是APT攻击最大的威胁，这就决定了APT攻击难以被检测。通过对APT攻击的相关行为的分析，发现APT攻击的一些蛛丝马迹从而及时处理APT攻击，减轻威胁是可以做到的。而IDS最主要的功能就是检测已知特征入侵行为，可以用于APT攻击的关联分析上。

目前的入侵检测设备只是为已知特征威胁提供必要的预警和支持，还不到为未知威胁的有效发现，但是把APT 检测作为入侵检测的发展方向，其前瞻性一下就体现出来了。