一、入侵檢測系統(tǒng)(IDS)詮釋
IDS是一種網(wǎng)絡(luò)安全系統(tǒng),當有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡(luò)甚至計算機系統(tǒng)時,IDS能夠檢測出來,并進行報警,通知網(wǎng)絡(luò)該采取措施進行響應(yīng)。
在本質(zhì)上,入侵檢測系統(tǒng)是一種典型的“窺探設(shè)備”。它不跨接多個物理網(wǎng)段(通常只有一個監(jiān)聽端口),無須轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上被動地、無聲息地收集它所關(guān)心的報文即可。入侵檢測/響應(yīng)流程如圖1所示。
![]("http://bbs.51cto.com/attachments/month_0604/2005.9.13.10.19.8.1.1_XYPSYoWh2TfO.gif")
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='點擊在新窗口查看全圖
CTRL+鼠標滾輪放大或縮小';}" border=0>
圖1:入侵檢測/響應(yīng)流程圖
目前,IDS分析及檢測入侵階段一般通過以下幾種技術(shù)手段進行分析:特征庫匹配、基于統(tǒng)計的分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
二、IDS存在的問題
1.誤/漏報率高
IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統(tǒng)計方法來進行檢測,而統(tǒng)計方法中的閾值難以有效確定,太小的值會產(chǎn)生大量的誤報,太大的值又會產(chǎn)生大量的漏報。而在協(xié)議分析的檢測方式中,一般的IDS只簡單地處理了常用的如HTTP、FTP、SMTP等,其余大量的協(xié)議報文完全可能造成IDS漏報,如果考慮支持盡量多的協(xié)議類型分析,網(wǎng)絡(luò)的成本將無法承受。
2.沒有主動防御能力
IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理,所以檢測規(guī)則的更新總是落后于攻擊手段的更新。
3.缺乏準確定位和處理機制
IDS僅能識別IP地址,無法定位IP地址,不能識別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候,只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口,但這樣關(guān)閉同時會影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機制。
4.性能普遍不足
現(xiàn)在市場上的IDS產(chǎn)品大多采用的是特征檢測技術(shù),這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展,在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包,形成DoS攻擊。
三、IDS技術(shù)的發(fā)展
IDS雖然存在一些缺陷,但換個角度我們看到,各種相關(guān)網(wǎng)絡(luò)安全的黑客和病毒都是依賴網(wǎng)絡(luò)平臺進行的,而如果在網(wǎng)絡(luò)平臺上就能切斷黑客和病毒的傳播途徑,那么就能更好地保證安全。這樣,網(wǎng)絡(luò)設(shè)備與IDS設(shè)備聯(lián)動就應(yīng)運而生了。
IDS與網(wǎng)絡(luò)交換設(shè)備聯(lián)動,是指交換機或防火墻在運行的過程中,將各種數(shù)據(jù)流的信息上報給安全設(shè)備,IDS系統(tǒng)可根據(jù)上報信息和數(shù)據(jù)流內(nèi)容進行檢測,在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時候,進行有針對性的動作,并將這些對安全事件反應(yīng)的動作發(fā)送到交換機或防火墻上,由交換機或防火墻來實現(xiàn)精確端口的關(guān)閉和斷開,由此即產(chǎn)生了入侵防御系統(tǒng)(IPS)的概念。
簡單地理解,可認為IPS就是防火墻加上入侵檢測系統(tǒng)。IPS技術(shù)在IDS監(jiān)測的功能上又增加了主動響應(yīng)的功能,力求做到一旦發(fā)現(xiàn)有攻擊行為,立即響應(yīng),主動切斷連接。它的部署方式不像IDS并聯(lián)在網(wǎng)絡(luò)中,而是以串聯(lián)的方式接入網(wǎng)絡(luò)中,其功能示意如圖2所示。
![]("http://bbs.51cto.com/attachments/month_0604/2005.9.13.10.19.23.1.2_e2NuLVlEfqIy.gif")
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='點擊在新窗口查看全圖
CTRL+鼠標滾輪放大或縮小';}" border=0>
圖2:IPS功能示意圖
除了IPS,也有廠商提出了IMS(入侵管理系統(tǒng))。IMS是一個過程,在行為未發(fā)生前要考慮網(wǎng)絡(luò)中有什么漏洞,判斷有可能會形成什么攻擊行為和面臨的入侵危險;在行為發(fā)生時或即將發(fā)生時,不僅要檢測出入侵行為,還要主動阻斷,終止入侵行為;在入侵行為發(fā)生后,還要深層次分析入侵行為,通過關(guān)聯(lián)分析,來判斷是否還會出現(xiàn)下一個攻擊行為。
四、網(wǎng)絡(luò)安全的發(fā)展方向
1.檢測和訪問控制技術(shù)將共存共榮
以IDS為代表的檢測技術(shù)和以防火墻為代表的訪問控制技術(shù)從根本上來說是兩種截然不同的技術(shù)行為。
(1)防火墻是網(wǎng)關(guān)形式,要求高性能和高可靠性。因此防火墻注重吞吐率、延時、HA等方面的要求。防火墻最主要的特征應(yīng)當是通(傳輸)和斷(阻隔)兩個功能,所以其傳輸要求是非常高的。
(2)而IDS是一個以檢測和發(fā)現(xiàn)為特征的技術(shù)行為,其追求的是漏報率和誤報率的降低。其對性能的追求主要在:抓包不能漏、分析不能錯,而不是微秒級的快速結(jié)果。IDS由于較高的技術(shù)特征,所以其計算復(fù)雜度是非常高的。
從這個意義上來講,檢測和訪問控制技術(shù)將在一個較長的時期內(nèi)更加關(guān)注其自身的特點,各自提高性能和可靠性,既不會由一方取代另一方,也不會簡單的形成融合技術(shù)。
2.檢測和訪問控制的協(xié)同是必然趨勢
雖然檢測技術(shù)和訪問控制技術(shù)存在著一定程度的差異,但是兩個技術(shù)的協(xié)同工作和在應(yīng)用上的融合又是一個迫切的要求和必然趨勢。
安全產(chǎn)品的融合、協(xié)同、集中管理是網(wǎng)絡(luò)安全的發(fā)展方向。大型企業(yè)需要一體化的安全解決方案,需要細力度的安全控制手段。中小企業(yè)一邊希望能夠獲得切實的安全保障,一邊又不可能對信息安全有太多的投入。從早期的主動響應(yīng)入侵檢測系統(tǒng)到入侵檢測系統(tǒng)與防火墻聯(lián)動,再到IPS和IMS,形成了一個不斷完善的解決安全需求的過程。
3.如何進行技術(shù)融合
“集中檢測,分布控制”這個觀點對于如何看待檢測技術(shù)和訪問控制技術(shù)的走向是非常重要的。一個準確度不能完全令人滿意的IDS,經(jīng)過人工的分析可以變得準確。同樣,經(jīng)過大規(guī)模的IDS部署后的集中分析以及和其他檢測類技術(shù)關(guān)聯(lián)分析,可以獲得更加精確的結(jié)果。這樣局部的事件檢測就向全局性的事件檢測方向發(fā)展。根據(jù)全局性的檢測結(jié)果就可以進行全局性的響應(yīng)和控制。
全局性的檢測可以有效解決檢測的準確率問題,但是同時帶來的就是檢測過程變長,局部速度不夠快的問題。所以,面對一些局部事件和可以準確地判斷出的問題,阻斷后帶來的負面效應(yīng)相對較少,針對其檢測可以比較快速的時候,IPS就是一個比較好的方案了。
4.人仍是網(wǎng)絡(luò)安全管理的決定因素
不可否認的是,人的因素仍然是網(wǎng)絡(luò)安全管理的決定因素,網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié)也并不是系統(tǒng)漏洞,而是人的漏洞。安全問題的核心問題就是人的問題。因為一切不安全的因素全來自人(或者說一部分人)。那么我們與信息網(wǎng)絡(luò)安全威脅的斗爭,實際上是與人(或者說一部分人)的斗爭,這樣性質(zhì)的斗爭,自不待言,注定了它的艱巨性、復(fù)雜性和持久性。
因此,單純依靠安全技術(shù)和軟、硬件產(chǎn)品解決網(wǎng)絡(luò)安全問題的想法是不現(xiàn)實也是不明智的,提高企業(yè)的網(wǎng)絡(luò)安全意識,加大整體防范網(wǎng)絡(luò)入侵和攻擊的能力,并在此基礎(chǔ)上形成一支高素質(zhì)的網(wǎng)絡(luò)安全管理專業(yè)隊伍,及時準確地應(yīng)對各式各樣的網(wǎng)絡(luò)安全事件,才能從根本上解決我們面臨的威脅和困擾。
