关于分布式IDS

分布式IDS主要是指多种IDS的协同工作. 在一个网络拓扑之中,HostBase和networkBased IDS由于位置的不同, 是无法互相代替的,由于攻击都是阶段性的,各个阶段的行为之间都是有联系的. 所以可以基于这种异构IDS之间的协同达到检测攻击的作用. 你可以想像IDS被细化和分割,形成很多小的数据源,每一个都有独立的思考能力, 并且每一个都可以指挥其他的IDS,影响他们的行为. 简单的实现,就是IDSsensor之间不进行交互,而是有一个中央集中控制系统, 所有的correlation都在中央,中央可以改变各个sensor的behaviour.

在97年的EMERALD论文中,他只是一个作correlation的中央分析器,等于是把规则和profile从IDS sensor挪到了中央来. 你可以去看看sri.com,那里是EMERALD的老家.有他们写的23个论文. 29x海岸线网络安全资讯站
关于Correlation,IBM 的TEC里面有一个correlator,支持异构IDS.29x海岸线网络安全资讯站
可惜这里不可以贴图,否则给你一个界面看看. 29x海岸线网络安全资讯站
最近IBM放出来个correlation算法(IBM就是猛,安全算法都很棒,patternmatch 的TERESIAS算法也是非常优秀的),你可以去看: 29x海岸线网络安全资讯站
Aggregation and Correlation of Intrusion-Detection Alerts By Herv ′e Debar 1 , and Andreas espi 2 ,

至于Agent,center之间交互的标准,有FIPA,KAoS,KQML,CIDF. 29x海岸线网络安全资讯站
学术上当然喜欢作automation的IDS agent,但是现在工业界都是搞集中的correlation,correlation的必要性你可以看看boeing公司的huang的文章, 他在97年就鼓吹attack strategy detection.他的weighted strategy tree 29x海岸线网络安全资讯站
还是很直观的.

协同检测的例子有很多,说一个huang讲了4年的经典例子: 对spoof的检测. 29x海岸线网络安全资讯站
ExternalHostA先将InternalA拒绝服务,然后伪装成InternalA向信任InternalA 的服务器InternalB发起连接.这个时候普通的rlogin就变成了攻击.单一的网络IDS 是无法检测的.

其根本思路就是:当某种情况出现之后,原本正常的网络行为就变成了攻击. 这就需要correlation. 29x海岸线网络安全资讯站
又比如DDOS源地址的检测,单一的网络/主机IDS都是无能为力的.比如HostA受到DDOS,他的Anomally Detection功能可以检查出本机受到了DOS攻击. 然后,网络IDS发现 了一个来自1.1.1.1的ICMP echorequest报文,这个报文在平时是很正常的,但是这个时候发过来,就很可能是攻击者在检查被攻击主机是否存活.通过correlation, 就可以发现DDOS的真正的源地址1.1.1.1了.

29x海岸线网络安全资讯站
还有对stealthscan的检测,如果有人对你几个子网缓慢的作1433口的扫描,网络IDS 一定无法报警,主机IDS的log里面可能会记载一些连接,但是如果有集中的correlation, 就可以检测出来,在event stream里面这些都可以用规则来检查,不用担心效率. 29x海岸线网络安全资讯站
这只是很简单的例子,而且都有不用correlation的替代方案,但是效率和准确性就差一些了. 29x海岸线网络安全资讯站
另外一个优势,就是,事实上,主机IDS通常都是anomaly detection的,这就大大的妳补了 基于pattern的网络IDS的不足.两者配合的检测,就是可信度很高的. 29x海岸线网络安全资讯站
现在的correlation都是基于规则的,如果你了解了攻击的基本步骤和扩散的手法, 你也可以写出你的elation来. 29x海岸线网络安全资讯站
协同检测还有更加智能的模块就是将response加入进来,包括probing的response. 29x海岸线网络安全资讯站
注意协同检测不是说一定要主机IDS和网络IDS都有,也可能多,比如有webserver日志提取, 和防火墙的日志,也可能少,只有网络IDS也是一样的,重要的是最后的correlation技术. 29x海岸线网络安全资讯站
另外说一句题外话,correlation包括很多个层次的,multisensor的correlation只不过是期中的一个.