GB T 28454-2012 信息技术.安全技术.入侵检测系统的选择、部署和操作.pdf

1、ICS 35.040 L 80 GB 中华人民=H二./、不H国国家标准GB/T 28454-2012 信息技术安全技术入侵检测系统的选择、部署和操作Information technology-Security techniques-一Selection, deployment and operations of intrusion detection systems (ISO/IEC 18043: 2006 , MOD) 2012-06-29发布2012-10-01实施，aQI2，时;1$.t.d串电lt;:，lJ叩3坤最. :iI 、t:r嗣防伪中华人民共和国国家质量监督检验检亵总局中国

2、国家标准化管理委员会发布GB/T 28454-2012 目次前言. . . . . . . . . . . . . . III 引言.N 1 范围2 规范性引用文件-3 术语和定义4 缩略语.4 5 背景6 概述-7 选择7.1 信息安全风险评估.7.2 主机或网络IDS. 7.3 考虑事项7.4 补充IDS的工具7.5 可伸缩性M7.6 技术支持147.7 培切8 部署8. 1 分阶段部署9 操作.189. 1 IDS调试189.2 IDS脆弱性189.3 处理由S报警9.4 响应选项.20 9.5 法律方面的考虑事项.21 附录A(资料性附录)入侵检测系统:框架和需考虑的问题.I GB/T

3、 28454-2012 目lJ1=1 本标准按照GB/T1. 1一2009给出的规则起草。本标准修改采用ISO/IEC18043: 2006(信息安全安全技术入侵检测系统的选择、部署和操作)，除编辑性修改外主要变化如下:a) 修改附录A.6、A.7和A.8中不符合常用规范的标准章条编号;b)术语部分:当ISO/IEC18043中的术语与定义与GB/T25069-2010(信息安全技术术语表达含义相同，但描述略有不同时，采纳GB/T25069-2010(信息安全技术术语中的定义，包括:攻击、拒绝服务攻击、非军事区、入侵、路由器、交换机、特洛伊木马等;c) 标准结构:较原标准文本相比，增加了第2章

4、规范性引用文件和第4章缩略语。d) 标准7.2中增加了当组织对IDS产品有安全等级方面的要求时，见GB/T20275。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会CSAC/TC260)提出并归口。本标准起草单位:山东省标准化研究院、山东省计算中心、中国电子技术标准化研究所、济宁市质量技术监督信息所。本标准主要起草人:王曙光、董火民、曲发)11、朱瑞虹、周鸣乐、李刚、王运福、许玉娜、罗翔、周洋、胡鑫磊、孙大勇、郑伟、林华、戴雯。皿G/T 28454-2012 引有部署入侵检测系统需求的组织在选择和部署入侵检测系统之前，不仅宜知

5、道其网络、系统或者应用的入侵什么时间发生、是否会发生以及如何发生，也宜知道入侵利用了什么样的脆弱性，以及为了预防类似的入侵，未来宜实施什么防护措施和适当的风险处理手段(即风险转移、风险接受、风险规避)。组织也宜识别并避免基于计算机的入侵。在20世纪中期，组织开始使用入侵检测系统来满足这些需求。随着一系列IDS产品的出现，IDS的应用不断扩大，以满足组织对先进入侵检测能力的需求级别。为了从IDS得到最大的效益，宜由经过培训、经验丰富的人员谨慎策划和实施选择、部署和操作IDS的过程。当过程实现时.IDS产品能帮助组织获得入侵信息，并能在整个信息和通信技术基础设施中担当重要安全设施的角色。本标准提供

6、了有效选择、部署和操作IDS的指南，以及IDS的基础知识。同时适用于考虑外包其入侵检测能力的组织。外包服务级别协议的信息可在基于GB/T24405的IT服务管理过程中找到。N GB/T 28454-2012 信息技术安全技术入侵检测系统的选择、部署和操作1 范围本标准给出了帮助组织准备部署IDS的指南。特别是，详细说明了IDS的选择、部署和操作。同时给出了这些指导方针来源的背景信息。注:IDS的部署直定位在网络节点和边界，最多到系统边界，不宜深入到信息系统内部或监控系统内资源。本标准的目的是帮助组织:a) 满足GB/T22080一2008的下列要求: 组织应实施能提升检测和响应安全事件能力的程

7、序和其他控制措施; 组织应执行监视和评审程序和其他控制措施，以识别潜在的或已经存在的安全漏洞和事件。b) 在实施控制措施方面，满足GB/T22081-2008的下列安全目标: 检测未授权的信息处理活动; 宜监视系统并记录信息安全事件;操作日志和故障日志宜用来确保识别信息系统问题; 组织宜遵守所有用于监视和记录日志活动的相关法律要求; 监视系统宜用于检查所采取控制措施的有效性，并验证访问控制方针模型的符合性。组织宜认识到对满足上述要求来说，IDS部署不是唯一的或完善的解决方案。此外，本标准期望作为合格评定的准则，例如信息安全管理体系(lSMS)认证、IDS服务或产品认证。2 规范性引用文件下列文

8、件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T 18336(所有部分)信息技术安全技术信息技术安全性评估准则ISO/IEC15408(所有部分)JGB/T 20275 信息安全技术入侵检测系统技术要求和测试评价方法GB/Z 20985-2007信息技术安全技术信息安全事件管理指南(ISO/IECTR 18044: 2004 , MOD) GB/T 22080-2008信息技术安全技术信息安全管理体系要求(1S0/IEC27001: 2005 , IDT) GB/T 22081一一20

9、08信息技术安全技术信息安全管理实用规则(lSO/IEC27002: 2005 , IDT) GB/T 25068. 1一2012信息技术安全技术IT网络安全第1部分:网络安全管理(1S0/IEC 18028-1 :2006 ,IDT ) GB/T 25068. 2一2012信息技术安全技术IT网络安全第2部分:网络安全体系结构(lSO/IEC 18028-2:2005 ,IDT) 3 术语和定义下列术语和定义适用于本文件。1 G/T 28454-2012 3. 1 攻击aUack 在信息系统中，对系统或信息进行破坏、泄露、更改或使其丧失功能的尝试(包括窃取数据)。3.2 攻击特征attack

10、 signature 执行某种攻击的计算机活动序列或其变体，通常通过检查网络流量或主机日志加以确定，入侵检测系统也依其来发现已经发生的攻击。3.3 证明attestation 公钥加密而产生的变量，可使IDS软件程序和设备鉴别其远程方的身份。注2见3.21远程证明。3.4 网桥bridge 将位于OSI2层的局域网连接到采用相同协议的另一局域网的网络设备。3.5 密码散列值cryptographic hash value 分配给一个文件并在后期用来测试这个文件的数学值，以验证包含在文件中的数据没有被恶意更改。3.6 3. 7 3.8 3.9 拒绝服务攻击DoSCDenial-of-Servic

11、e) attack 一种使系统失去可用性的攻击。非军事区demilitarized zone; DMZ 介于网络之间作为中立区的安全主机或小型网络(又称掩蔽子网勺，形成的一个安全缓冲区。(漏洞)利用exploit 已明确定义的利用脆弱性破坏信息系统安全的一种方式。防火墙firewall 设置在网络环境之间的一类安全网关或者屏障。防火墙可以是一台专用设备，也可以是若干部件和技术的组合。防火墙具有如下特性:网络环境间所有通信流量都要流经防火墙，且仅允许授权的流量通过。GB/T 25068. 1-2012J 3. 10 误报false positive 没有攻击时入侵检测系统有报曹的情况。3. 11

12、 漏报false negative 攻击发生时入侵检测系统没有报警的情况。3.12 主机host 基于TCP/IP协议网络，可设定地址的系统或计算机。2 GB/T 28454-2012 3. 13 入侵者intruder 针对主机、站点、网络等，正在或已经进行入侵或攻击的人。3. 14 入侵intrusion 对某一网络或联网系统的未经授权的访问，即对某一信息系统的有意元意的未经授权的访问(包括针对信息的恶意活动)。3.15 入侵检测intrusion detection 检测入侵的正式过程。该过程一般特征为采集如下知识z反常的使用模式，被利用的脆弱性及其类型、利用的方式，以及何时发生和如何发

13、生。3.16 入侵检测系统intrusion detection system; IDS 在信息系统和网络中，一种用于辨识某些已经尝试、正在发生或已经发生的入侵行为，并可对其做出响应的技术系统。3.17 3. 18 入侵防御系统intrusion prevention system; IPS 一种提供主动响应能力的人侵检测系统。蜜罐honey pot 用来欺骗、扰乱和引开攻击者的诱饵系统，促使攻击者把时间花在某些信息上，这些信息看起来有价值，实际上是虚假的，对合法用户没有任何价值。3. 19 浩透penetration 绕过系统安全机制的、未经授权的行为。3.20 在线升级provisioni

14、ng 从厂商网站远程搜索新的软件更新井下载经鉴定的更新的过程。3.21 远程证明remote attestation 使用数字证书来确保IDS的身份及其软件和硬件配置，并安全的将信息传输到可信操作中心的过程。3.22 晌应(事件晌应或入侵晌应)responseCincident response or intrusion response) 当攻击或入侵发生时，为了保护和恢复信息系统正常运行以及存储在其中的信息而采取的行动。3.23 路由器router 路由器是用来建立和控制两个不同网络间数据流的网络设备，它是通过基于路由协议机制和算法来选择路线或路由来实现建立和控制的，它们自身可以基于不同的

15、网络协议。路由信息被存储在路由表内。3.24 服务器server 为其他计算机提供服务的计算机系统或程序。3 GB/T 28454-2012 3.25 服务级别协议service level agreement 规定技术支持或业务性能目标的合同，包括服务提供方提供给其客户的性能和对失败结果的测量。3.26 探测器sensor 从被观察的信息系统中，通过感知、监测等收集事态数据的一种部件或代理。3.27 子网subnet 在某一网络中，共享某一公共地址成分的部分。3.28 交换机switch 在联网的设备之间，一种借助内部交换机制来提供连通性的设备。交换机不同于其他局域网互联设备(例如集线器)，

16、原因是交换机中使用的技术是以点对点为基础建立连接。这确保了网络通信量只对有地址的网络设备可见，并使几个连接能够并存。交换技术可在开放系统互连(OS1)参考模型的第二层或第三层实现。3.29 测试接入点test access points; T AP 典型的被动设备，不会在数据包中加装任何负载;当它们使数据收集接口在网络中不可见时，它们也能提高安全级别，在这里交换机仍然可保持端口的2层信息。TAP也给出了多端口的功能，这样在不丧失IDS能力的情况下，可以调试网络问题。3.30 特洛伊木马Trojan horse 一种表面无害的程序，它包含恶性逻辑程序，可导致未授权地收集、伪造或破坏数据。4 缩略

17、语下列缩略语适用于本文件。API 应用程序编程接口ARP 地址解析协议CGI 通用网关接口CPU 中央处理器DNS 域名系统ICMP 网际控制报文协议IDS 入侵检测系统IP 网际协议IPS 入侵防御系统ISIRT 信息安全事件响应团队HIDS 基于主机的入侵检测系统HIPS 基于主机的入侵防御系统HTTP 超文本传送协议MAC 媒体访问控制NIDS 基于网络的入侵检测系统4 Application Programming Interface Address Resolution Protocol Common Gateway Interface Central Processing Unit

18、 Domain Name System Internet Control Message Protocol Intrusion Detection System Internet Protocal Intrusion Prevention System Information Security Incident Response Team Host Based IDS Host Based IPS Hypertext Transfer Protocal Media Access Control Network Based IDS N1PS NOC OS1 ROI S1M SMS SLA S此1

19、TPSNMP SPAN TAP TCP UDP 5 背景基于网络的入侵防御系统网络操作中心开放系统互连投资回报率安全信息管理短消息系统服务级别协议简单邮件传送协议简单网络管理协议交换机端口分析器测试接入点传输控制协议用户数据报协议N etwork Based 1PS Network Operations Center Open System 1nterconnection Return On 1nvestment GB/T 28454-2012 Security 1nformation Management Short Message System Service Level Agreemen

20、t SimpleMail Transfer Protocol Simple Network Management Protocol Switch Port Analyzer Test Access Points Transport Control Protocal User Datagram Protocal IDS的目的是被动监视、检测和记录不适当的、不正确的、可疑的或者反常的活动，这些活动可能代表入侵，当检测到这些活动时，IDS会发出报警。专职1T安全人员的职责是主动评审IDS日志并根据不适当的访问意图做出后续活动的决策。当组织需要迅速检测针对组织信息系统的入侵并进行适当的响应时，宜考虑部

21、署IDS。组织可通过获取IDS软件和(或)硬件产品，或向IDS服务提供商外包IDS能力的方式部署IDSo有许多商业的或者开源的IDS产品和服务，他们基于不同的技术和方法。另外，IDS不是即插即用技术，因此当组织准备部署IDS时，宜至少熟知本标准提供的指南和信息。IDS的基础知识主要在附录A中。该附录解释了两种基本类型的IDS的不同特征:HIDS和NIDS，以及检测分析入侵的两种基本方法，也就是基于误用的方法和基于异常的方法。HIDS的检测信息来自于单个主机，而NIDS的信息来自于网络段的流量。基于误用的方法把对信息系统的攻击建模为特定的攻击特征，然后对系统进行整体扫描，统计攻击特征次数。本过程

22、需要对前期认为带有入侵或恶意性的行为和活动进行特定编码。基于异常的方法则试图通过记录严重反常行为来检测入侵。该方法的原理基于这样一个假设:这些攻击行为不同于正常或者合法的行为，因此系统能够识别这些差异并检测出来。组织宜认识到不同的信息来源和分析方法的优势和不足(或限制)，它们可影响检测特定攻击的能力，并能影响安装、维护IDS的困难程度。6 概述IDS的功能和局限性(见附录A)表明，组织宜把基于主机(包括应用监视)和基于网络的方法结合起来，以达到完全涵盖潜在入侵的效果。每类IDS都有其特长和局限性，结合在一起，他们能够提供更好的覆盖安全事态和报警分析的能力。不同IDS技术的组合依赖于报誓管理系统

23、中关联引擎的可用性。人工关联HIDS和NIDS报警信息可能导致操作人员超负荷工作，没有任何优点。其结果比从单一的IDS中选取最合适的输出方式更糟。在组织内选择、部署和操作IDS的过程如图1所示，后续章条将详细描述本过程中的关键步骤。GB/T 28454-2012 选择第7章部署第8章操作第9章厂一一-一十一寸hnl-i-l民= L二一二JL确定I叫丁持续的风险评估一寸L一一一一一一一一-一_j注:虚线框中的内容超出了本标准的范围。图1IDS的选择、部署和操作7 选择有许多可用的IDS产品和产品系列。产品涵盖了能够在低成本主机上部署的免费产品，和需要最新硬件支撑的非常昂贵的商用系统。因为有多种不

24、同的IDS产品可供选择，因此选择最符合组织需求的IDS非常困难。此外，市场上提供的各种不同IDS产品之间存在的兼容性可能是有限的。另外，因为组织的合并和潜在广泛的地理分布，组织可能被迫使用不同的IDS，不同IDS的集成可能是巨大的挑战。在一个大流量的运行网络中，厂商说明书不可能描述IDS能够如何很好的检测入侵，以及部署、操作和维护IDS是多么困难。厂商可能指出能检测到哪些攻击，但是在对组织网络流量缺乏了解的前提下，描述IDS如何有效的执行并避免误报和漏报是非常困难的。因此仅仅依赖厂商提供的关于IDS能力的信息是不够的，也不建议这么做。GB/T 18336(所有部分)可用于IDS的评价。在这种情

25、形下，相比厂商说明书，被称为安全目标的文档包含了IDS性能方面更为精确和可靠的描述。组织宜在选择过程中使用这个文档。下列章条提供了在IDS选择过程中组织使用的要素。7. 1 信息安全凤险评估在选择IDS之前，组织宜执行信息安全风险评估，目的是识别针对可能存在脆弱性的特定信息系统的攻击和入侵(威胁)，考虑如下因素，诸如系统运行的网络环境、系统运用信息的性质以及需要如何GB/T 28454-2012 保护信息、使用的通信系统类型以及其他操作和环境的因素。在组织特定信息系统安全目标的背景下，通过考虑这些潜在威胁，组织能识别可以有效减缓风险并具有成本效益的控制措施。已识别的控制措施为IDS提供的功能提

26、供需求基础。注:信息安全风险管理是GB/T19715.2的主题。一旦安装了IDS且IDS是可操作的，组织宜根据系统的操作和威胁环境的变更，持续实施风险评估过程，以便周期性评审控制措施的效力。7.2 主机或网络IDSIDS部署宜基于组织风险评估和资产保护优先级。在选择IDS时，宜研究监视事态最有效的方法。每种选择都有其优点和缺点。例如，外部防火墙能有效阻止大量需要扫描的报警事态，因此当IDS部署在外部防火墙之外时，IDS能产生大量不需要仔细分析的报警。当组织对IDS产品有安全等级方面的要求时，见GB/T20275 0 7.2.1 基于主机的IDS(HIDS)HIDS以系统日志、应用程序日志作为数

27、据源，或通过其他手段(如监督系统调用)从所在的主机收集信息进行分析，从而发现异常行为的IDS。选择HIDS需要确认目标主机。鉴于组织在每台主机上全面部署HIDS，代价非常昂贵，所以只能在关键主机上部署HIDSo因此HIDS的部署宜根据风险分析结果和成本效益的考虑区分优先级次序。当HIDS部署在所有或者相当大数量的主机上时，组织宜部署具备集中管理和报告功能的IDS。7.2.2 基于网络的IDS(NIDS)NIDS是以网络上数据包作为数据源，监昕所保护网络内的所有数据包并进行分析，从而发现异常行为的IDS。当部署NIDS时，考虑的主要因素是在什么位置放置系统探测器，可选位置包括:a) 在外部防火墙

28、之内;b) 在外部防火墙之外;c) 在主要的骨干网络上;d) 在关键子网上。7.3 考虑事项7.3.1 系统环境组织宜在安全风险评估的基础上，按照优先顺序，首先确定保护什么资产，然后定制适合环境的IDS。要实现这个目标至少需要收集下面的系统环境信息:a) 主机数量和位置、网络入口以及与外部网络的连接点的网络拓扑图的详细说明;b) 组织网络管理系统的描述;c) 每个主机的操作系统;d) 网络设备的数量和类型，如路由器、网桥和交换机;e) 服务器和拨号线路的数量和类型;f) 所有网络服务器的描述，包括类型、配置、应用软件和正在运行的版本;g) 与外部网络的连接，包括标称带宽和支持协议;h) 与引人

29、连接路径不同的文档返回路径，即不对称数据流。7 G/T 28454-2012 7.3.2 安全在记录系统环境的技术属性之后，宜识别已安装的安全保护机制。至少需要下列的信息:a) 非军事区(DMZ); b) 防火墙和过滤路由器的数量、类型和位置;c) 识别认证服务器;d) 数据和通信链路加密;e) 反恶意软件或病毒包;f) 访问控制产品;g) 专业的安全硬件，如加密硬件FU 虚拟专用网;i) 任何其他已安装的安全机制g7.3.3 IDS安全策略在识别系统和通用的安全环境之后，宜确定IDS的安全策略。策略至少需要回答以下关键问题:a) 要监视什么信息资产?b) 需要什么类型的IDS?c) IDS能

30、放置在什么位置?d) 宜检测什么类型的攻击?e) 什么类型的信息宜记入日志?f) 当检测到攻击时，能提供什么类型的响应或报曹?IDS安全策略表现了组织为IDS投资的目标。这是尝试从IDS资产获得最大收益的最初步骤。为了详细说明白S安全策略目的和目标，组织宜首先识别来自内部和外部的风险。组织宜了解，一些IDS厂商把IDS安全策略定义为IDS产生报警的规则。现有组织安全策略的评审宜提供针对IDS需求的模板，模板可根据保密性、完整性、可用性和抗抵赖性等安全目标进行明确和规定，也可根据更多的管理目标如隐私权、责任保护和易管理性等进行明确。当IDS检测到违背安全策略的事件发生时，组织宜确定IDS如何应对

31、。特别是，当组织希望主动响应某些类型的违背时，宜配置IDS来这样做，而且操作人员宜了解组织的响应策略，这样他们能够以适当的方式处理警报。例如，可要求执法机构调查以帮助安全事件的有效解决。为了达到其成为法律证据的目的，可要求相关信息移交到法律实施实体，包括IDS日志。安全事件管理相关的其他信息可在GB/Z20985. 2007中查找。7.3.4 性能在选择IDS时，性能是考虑的另外一个因素。组织至少要回答以下的问题:a) IDS需要处理多大的带宽?b) 在给定的带宽下操作时，误报可被容忍到什么程度?c) 能为高速IDS成本提供正当理由么?或者中速或低速的IDS就能够满足?d) 因为IDS性能的局

32、限睦，错过潜在入侵的后果是什么?可持续性能的定义是，在给定的带宽利用范围之内持续检测攻击的能力。在多数环境中，几乎不会容忍这样的IDS，即它会错过或者漏掉可能是攻击一部分的流量包。在某些时候，当带宽和(或)网络流量增加时，许多IDS不能有效和持续的检测入侵。负载均衡和调整的结合能提高效率和性能。例如:8 GB/T 28454-2012 a) 组织需要网络及其脆弱性的知识:每个网络都是不同的;组织宜明确什么样的网络资产需要保护，以及什么样的攻击特征的调整可能与那些资产相关。这通常通过风险评估过程来完成。b) 当IDS被配置成处理有限数量的网络流量和服务时，多数IDS的性能会更好。例如，有许多电子

33、商务业务的组织需要监视所有的HTTP流量并调整一个或多个IDS，仅仅为了查找与WEB流量相关的攻击特征。c) 适当的负载平衡配置能使基于特征的IDS运行更快更彻底，因为基于特征的IDS仅仅需要遍历优化的更小的攻击特征数据库处理，而不是遍历所有可能攻击特征的数据库。在IDS部署中，负载均衡用来分离可用带宽。然而，带宽分离可能产生问题，如z附加的成本、管理费用、流量失调、报警复制和漏报。此外，当前的IDS技术正达到G比特速度，造成的结果是与负载平衡的效益成本比可能是最小的。7.3.5 能力的确认依赖于厂商提供的有关IDS能力的信息通常是不够的。组织宜要求附加说明，或者是适用于组织环境和安全目标的特

34、定IDS适用性的示范。当目标网络成长时，多数IDS厂商有采用他们产品方面的经验，一些厂商会负责在威胁环境中支持新协议标准、平台类型和变更。组织宜要求IDS厂商至少解答如下问题:a) IDS在特定环境中的适用性该做何种假设?b) 为验证IDS能力的声明而执行的测试细节是什么?c) 对IDS操作人员做什么假设?d) 提供什么样的IDS接口?(重要的接口类型有:物理接口、通信协议以及与关联引擎接口的报告格式)e) 报警输出机制或格式是什么，以及他们是否有据可查?(例如，格式或系统日志消息或SNMP消息的管理信息库)f) 在工作时间，IDS接口能与快捷键、定制的报曹特性以及攻击特征一起配置么?g) 在

35、IDS可以在工作时间配置的情形下，能够提供该能力的特性是否都有据可查?h) 产品能适应组织系统基础设施的发展和变更吗?i) IDS产品能适应日益扩展和变化的网络吗?j) 部署IDS后对网络的传输能力有影响吗，影响多大?k) IDS提供自动防故障和故障排除能力吗，以及这些能力如何与网络链路层上的相同能力集成?1) IDS使用警报专用网络吗，还是与监视使用相同的网络进行传输?m)厂商的名誉和产品性能记录是什么?7.3.6 成本购买IDS的成本并不是购买者花费的真实成本。附加成本包括:购买运行IDS软件的系统的成本、安装和配置IDS的特别补助、人员培训和维护成本。管理系统和分析结果的人员是最大的成本

36、。测量IDS成本的有效方法是ROI或者成本与效益分析。在这种情形下，当管理人侵时，组织基于了解到的节省的成本来计算ROI。购买和操作IDS的成本要与帮助解决报警的人员成本以及由虚假报警和不适当的响应引起的费用相平衡，如，由于元力确定危及了哪些系统的安全而重新设置信息系统。操作IDS的好处包括za) 识别有缺陷的或错误配置的设备;b) 在工作时间确认配置;c) 提供早期系统用法统计表。为了作出有关IDS的财务决议，购买者宜回答IDS总成本的问题。为了做这些，宜分析在组织内GB/T 28454-2012 部署IDS的花费。IDS成本分析至少需要基于下列问题的回答上:a) 购买IDS最初的基本建设费

37、用的预算是多少?b) IDS运行周期要求是7X24h或者更少?c) 处理、分析和报告IDS输出需要的基本设备是什么，以及它的成本是多少?d) 组织有按照组织的安全策略配置IDS所需的人员和其他资源吗?有操作、维护、更新和监视IDS输出以及响应报警的人员和资源吗?如果没有，如何实现这些功能?巳)有用于IDS培训的资金吗?f) 部署的范围是什么?如果使用HIDS，将保护多少台主机?通过向远程管理的入侵检测服务提供商外包IDS监视和维护功能来分摊日常管理成本，单个组织的成本可能更少。IDS部署最昂贵的部分是响应。其重要成本宜包括确定响应的形式、建立响应队伍、开发和部署响应策略以及培训和演练。7.3.

38、7 更新多数IDS基于攻击特征，IDS的价值实际上仅在于相当于针对事态分析的攻击特征数据库。因为经常会发现新的脆弱性和攻击，所以宜经常更新IDS攻击特征数据库。因此组织至少宜考虑下列因素:a) 更新的及时性;b) 内部分发的效力;c) 实施;d) 系统影响。7.3.7.1 基于特征的IDS更新的及时性维护当前的攻击特征对检测已知攻击是必要的。为了确保攻击特征以实时方式更新，至少宜确认以下问题:a) 当发现漏洞利用或者特定的脆弱性时，IDS厂商发布攻击特征更新有多快?b) 通知程序可靠吗?c) 能够保证攻击特征更新的真实性和完整性吗?d) 如果在组织内定制攻击特征，具备足够可用的技术吗?e) 为

39、了立即响应高风险的脆弱性或持续攻击，具备写入或者接收定制的攻击特征的可能性吗?7.3.7.2 内部分发和实施的效力组织能在一定时间范围内向所有相关系统快速分发和实施具体的更新吗?在许多情形下，宜修改攻击特征的更新以包括具体IP地址、端口等。更加明确的是，至少宜回答如下问题:a) 在具备手动分发过程的情况下，管理员或者用户会在可接受的时间范围内实施攻击特征吗?b) 能测量自动分发和安装过程的效力吗?c) 具备有效跟踪攻击特征更新的机制吗?7.3.7.3 系统影响为了最小化攻击特征更新对系统性能上的影响，至少宜回答下列问题:a) 攻击特征的更新影响重要服务或应用的性能吗?b) 有可能选择性关注攻击

40、特征的更新吗?这对避免冲突或影响服务或应用的性能是必要的。10 G/T 28454-2012 7.3.8 报警策略IDS配置和操作宜基于组织的监视策略。组织至少宜确保IDS能支持用于组织现有的基础设施特定的报警方法。可支持的报替属性包括电子邮件、寻呼、SMS，SNMP事态以及攻击源的自动阻止。当IDS数据用于司法取证目的时，包括为了内部纪律而进行的举证，至少应依据法律法规要求处理、管理、应用或提交这些IDS数据。7.3.9 身份管理在元人干涉的条件下，身份管理是实行IDS远程证明和在线升级的关键基础。这些能力需要建立和使用可信第三方，该权力机构与通常假定为公钥基础设施中的一部分的权力机构极为相

41、似。这些能力对元缝、安全、可控的IDS数据和组织网络信任边界中的IDS身份交换也很重要。7.3.9. 1 远程证明IDS可包含数百万行代码。在如此庞大代码的基础上，很难发现有意插入的恶意软件，因此可能允许攻击者控制IDS输出。因此，严格鉴别IDS软件和硬件的访问控制是非常重要的，并宜部分的基于发起访问请求的实体身份。远程证明在没有人发出指令的情况下，能提供这种访问控制能力。在硬件中，远程证明通过产生加密证书或者哈希值来验证设备或者在元人设备上运行的软件的身份。最简单的形式是该身份通过加密哈希值来表示，此加密哈希值用于区分不同的软件程序或者设备和发现软件中的变更。在IDS用户请求中，证书可提供给

42、任何远程方，原则上也有校验远程方的作用，即证明IDS正在使用预想的和不可替代的软件。如果IDS上的软件被改动，生成的证书会反映出来。这时，IDS的编码基础已经变更。在使用IDS的情况下，远程证明的目的是检测IDS软件的未授权变更。例如，如果攻击者已经用一个恶意更改过的版本替换或者修改了一个IDS应用或者IDS操作系统的一部分，哈希值不会被远程服务或者其他软件认可。因此，远程方(如NOC)能检测到被病毒或木马破坏的IDS软件，它接着会对这些信息有所行动。因为证明是远程的，与IDS相联合的其他IDS也宜能知道一个特定的IDS已经损害。因此，在IDS未修复前，他们能够避免向其发送信息。基于以上的原因

43、，IDS宜远程向NOC证明或者报告其状态、配置或者其他重要的信息。证明能力或者IDS鉴别对评估IDS的健壮性和执行众多IDS配置和更新操作的能力是很关键的。更明确的是，证明是远程测试IDS完整性的能力。汇总后，这些IDS证明报告提供了网络防御状态的态势评估，而且是整个网络态势评估能力的关键部分。7.3.9.2 在线升级当远程证明检测到IDS的问题时，需要正确的行动以减轻问题。这可以通过允许NOC推送IDS已鉴别的配置、软件更新和补丁来完成。业界已经采纳这个术语在线升级，涵盖了为IT设备(也包括IDS)装载正确软件、安全策略和配置数据的过程。在线升级的目标是尽可能的远程处理。这两个方面都节约了物

44、理访问单个IDS的人力成本，并允许更多的时间缓解问题，特别是攻击特征的更新。为了行之有效，IDS在线升级能力需要从操作中心安全的推出，并由IDS安全的拉人。在后面的情形中，IDS宜具备安全的和自动的能力以从厂商网站远程搜查新的软件更新并及时下载己鉴别的更新。7.4 补充IDS的工具组织宜迅速检测到人侵并减轻由入侵引起的破坏。组织也宜理解，IDS并不是认识到的这些目标的唯一或者彻底的解决方案。一些网络设备和信息技术工具可提供如IDS提供的能力。组织宜考虑部署这些设备和工具以加强和补充IDS的能力。11 GB/T 28454-2012 这些设备和工具的例子包括:a) 文件完整性检查器;b) 防火墙

45、或安全网关;c) 蜜罐;d) 网络管理工具Ee) SIM工具;f) 病毒或内容保护工具;g) 脆弱性评估工具。7.4.1 文件完整性检查器文件完整性检查器是辅助IDS的另一类安全工具。他们利用关键文件和对象的摘要信息或者其他的加密检查码，比较他们的参考值，标记不同之处或者变更。由于攻击者经常替换系统文件，在攻击的3个阶段使用加密校验码是很重要的。首先，他们替换了作为攻击目标的系统文件(例如，放置木马)。其次，他们试图在系统中留下后门，稍后通过这种途径他们能再次进入。最后，他们试图掩饰他们自己的痕迹，这样系统负责人可能意识不到攻击。优点:a) 确定厂商提供的bug补丁或者其他想得到的变更是否已经

46、运用于系统;b) 允许对攻击痕迹的快速可靠的诊断，特别是对已经被攻击的系统进行司法检查时;c) 攻击者经常修改或者替换系统文件，并利用技术手段保留文件属性，这些文件属性会由系统管理员进行定期评审;使用加密校验码的完整d性检查工具依然能检测任何变更或者修改;d) 允许对数据文件的修改进行确认。缺点za) 在分析期间，可要求启动和关掉信息系统或者至少是被验证的系统。7.4.2 防火墙防火墙(见GB/T25068. 2二2012)的主要职责是限制网络间的访问。简单的防火墙基于组织可访问的源和目的IP地址和端口号来过滤网络流量。例如，组织可能仅要接受电子邮件服务器(端口号25)或者web服务器(端口号

47、80)的流量。然而，应用级防火墙使用应用协议信息提供更多的复杂过滤。当防火墙位于一个封闭区域内时，它可以减少NIDS需要检查的流量。当一些被阻止的信息流试图通过防火墙时，多数防火墙在监视网络信息内容和发起报警方面的能力是有限的。相比而言，NIDS是专门用来检查网络包，检测合法和非法流量的构成，并在它检测到网络包的恶意内容时，能发出报警。在很多情形下，NIDS警报可被用来改变防火墙的过滤参数。当在防火墙内侧部署NIDS时，适当配置的防火墙会大大减少由NIDS检查的包的数量。这样的NIDS配置可极大的提高NIDS的精确性，因为当控制进入NIDS的流量时，能消除由扫描活动引起的因特网背景噪音。7.4.3 蜜罐蜜罐是诱骗系统的专业术语，用来欺骗、分散、转移并引诱攻击者在看起来有价值的信息上花费时间，这些信息实际上是捏造的，对合法用户来说没有一点价值。蜜罐主要的目的是收集对组织有威胁的信息，并引诱入侵者远离关键系统。蜜罐不是一个操作系统，而是能引诱攻击者一直在线的信息系统，以使组织有足够长的时间评估攻击者的意图、技能水平和操作方法。从分析蜜罐中入侵者的活动得到的信息使组织更好的理解系统中的威胁和脆弱性，从而改进组织GB/T 28454-2012 IDS操作。通过分析蜜罐中入侵者的行动而得到的信息可为组织IDS策略、攻击特征数据库以及组织整体