配合著第四屆中國國際計算機信息系統(tǒng)安全展落幕的腳步,《計算機世界》網(wǎng)絡與通信版精心組織的信息安全產(chǎn)品《采購指南》月進入了尾聲。本月推薦的四大安全產(chǎn)品是: 防火墻、網(wǎng)絡殺毒、VPN和IDS,我們不是從基本的概念入手,而是從目前市場和技術(shù)上存在的問題出發(fā),引導讀者鑒別新技術(shù)和新產(chǎn)品,選擇適合自己網(wǎng)絡特色的安全產(chǎn)品,受到了廣大讀者的認可。
事實上,信息安全產(chǎn)品的概念、效用、技術(shù)、未來發(fā)展等一直處于爭議之中,許多人懷疑僅憑幾項技術(shù)能否阻止各類攻擊。在入侵檢測(IDS)領域尤其如此,漏報和誤報問題長期困擾著技術(shù)專家和最終用戶。雖然問題種種,步履蹣跚,但IDS產(chǎn)業(yè)在眾多技術(shù)專家、廠商、用戶以及媒體的共同努力下仍堅定地前進著、發(fā)展著,未來充滿了希望之光。
有關(guān)IDS的爭議
雖然入侵檢測(IDS)從誕生到繁榮,經(jīng)歷的時間很短,但從來沒有一個行業(yè)像它那樣面臨著如此多的爭議。從IDS技術(shù)的發(fā)展到用戶的使用效果、投入產(chǎn)出比,甚至IDS系統(tǒng)本身存在的意義等,所有的爭議都異常激烈,直關(guān)IDS的生死!
從最原始的功能定義講,IDS是對防火墻的必要補充,可對系統(tǒng)或網(wǎng)絡資源進行實時檢測,及時發(fā)現(xiàn)入侵者,也可預防合法用戶對資源的誤操作,IDS與其他安全產(chǎn)品構(gòu)筑出了立體的防御體系。應該說,其存在非常有價值。
如果將防火墻比喻為保護數(shù)字家園的“門鎖”,那么,IDS就是逡巡在數(shù)字家園中的“紅外探頭”,它能發(fā)現(xiàn)異常進入者,并及時報警;與防火墻、VPN聯(lián)動的IDS,還能向它們發(fā)出指令,一旦有異常入侵,迅速“鎖死”大門。
IDS的應用與其他安全產(chǎn)品有著極大的不同:從部署位置來說,IDS可部署在大門(網(wǎng)關(guān))處,也可部署在不同的房間(網(wǎng)段)內(nèi),還可部署在重點保護的保險箱(關(guān)鍵業(yè)務主機)處,因此IDS派生出了基于網(wǎng)絡的IDS和基于主機的IDS;從進出公司的流量分析,派生出能夠檢測百兆、千兆網(wǎng)絡流量的IDS;從所采用的入侵檢測技術(shù)來看,IDS從基于模式匹配、異常行為檢測、協(xié)議分析發(fā)展到安全管理等。
然而現(xiàn)實的狀況卻遠非理想中的樂觀。
對IDS的投資是否值得?這一問題目前爭議最多。啟明星辰Python博士介紹,美國卡耐基·梅隆大學信息安全緊急響應中心根據(jù)調(diào)查預測,未來,用戶網(wǎng)絡隨著每年網(wǎng)上攻擊的加劇,其所遭受的財產(chǎn)損失將以幾何級數(shù)增長。結(jié)果令人沮喪,我們在IDS上投資在增多,所產(chǎn)生的邊際效應并沒有隨之增加。我們能看到前方的遠景,但卻無法穿越橫亙在中央的看不見的“玻璃墻”。究竟出了什么問題?是因為攻擊范圍的不斷擴大、攻擊手段的不斷發(fā)展?還是因為對安全發(fā)展趨勢的把握有問題?或者是因為網(wǎng)絡應用基數(shù)增大,損失自然就會增長?……
IDS產(chǎn)品昂貴的費用也令人望而卻步。與防火墻不同,IDS技術(shù)更加復雜,因此其至少幾十萬元的市場價格相對于防火墻而言幾乎是個天文數(shù)字;IDS的部署和管理更加麻煩,需要管理者具有堅實的網(wǎng)絡安全基礎知識,因此,其人員培訓費和后期運維費更是個無底洞。“如果網(wǎng)管員具備了豐富的計算機網(wǎng)絡安全知識,通過路由器、協(xié)議等低層控制,似乎更能保護網(wǎng)絡的安全,沒有必要購買昂貴的產(chǎn)品。”北京電信網(wǎng)絡局系統(tǒng)集成項目經(jīng)理鄒俊軍告訴記者。
IDS似乎走入了一個怪圈: 技術(shù)高深的用戶不需要IDS,而技術(shù)一般的用戶又無法真正使用IDS。正因為如此,雖然今年IDS市場開始熱啟動,但IDS的應用并沒有深入普及。IDC公司最近在中國300家行業(yè)用戶中調(diào)查,結(jié)果只有8%的用戶采用了IDS產(chǎn)品,同時用戶對IDS最滿意的指標是產(chǎn)品的功能,最不滿意的是產(chǎn)品的價格。
IDS技術(shù)將向何處發(fā)展?目前各類檢測技術(shù)層出不窮,但各有弊端。以目前用得最多的基于行為的檢測和基于知識的檢測為例?;谛袨榈臋z測也被稱為異常檢測,與系統(tǒng)無關(guān),通用性較強,甚至可檢測出未知攻擊,但由于不能對整個系統(tǒng)內(nèi)的所有用戶行為進行全面描述,所以誤檢率較高?;谌肭种R的檢測準確度很高,但局限性在于只能根據(jù)已知的入侵序列和系統(tǒng)缺陷檢測可疑行為,對于新的入侵及利用系統(tǒng)中的未知缺陷的越權(quán)行為無能為力。
目前,大部分現(xiàn)存的IDS都或多或少地存在以下三個問題:IDS所依賴的檢測數(shù)據(jù)在傳遞中可能被篡改,導致誤報和漏報;IDS會占用相當多的系統(tǒng)資源;入侵者可暗中篡改、中止IDS程序,令IDS可靠性下降或完全失效。
那么,采用IDS有意義嗎?另一個嚴峻的話題被日益提出。用戶也處于矛盾中,很多用戶認為,IDS很貴,從功能上講非常有用,不能不信它,但又不可全信它。沒有它不放心,有了它也不能全放心。使用得體、配置嚴密的IDS可以準確發(fā)現(xiàn)已知的攻擊,讓網(wǎng)管晚上踏實地睡覺。但是,也有不少購買了IDS的用戶將IDS閑置在機房里,因為它總是不停地告警,使用起來相當麻煩。
世界難題:誤報和漏報
所有的爭議最后都聚焦在兩個關(guān)鍵點上:IDS的誤報和漏報。誤報和漏報是反對者對IDS技術(shù)和產(chǎn)品詬病最多的地方。因為所有IDS系統(tǒng)都存在誤報和漏報,所以即使安裝了IDS,人們還是不放心。今年上半年,美國信息安全雜志(ISM)對美國大型用戶的IDS應用現(xiàn)狀進行了調(diào)查,讓用戶評價IDS,結(jié)果令人非常吃驚,用戶給IDS的打分平均只有5~7分(10分制),在及格的邊緣徘徊。
IDS的誤報和漏報,已成為世界性的難題。就IDS的發(fā)展趨勢問題,ISM雜志還采訪了業(yè)界的幾位重量級人物,其中包括ISS的傳奇人物Klaus、NFR公司的首席技術(shù)官Ranum、Cisco公司負責其IDS產(chǎn)品的Gleichauf以及廣為大家采用的開放源代碼IDS系統(tǒng)Snort的作者Roesch。這幾家公司在市場上是面對面的競爭對手,但是在對IDS的發(fā)展上面,卻顯示了少有的一致,大家都表示了對“誤報”和“漏報”問題的擔憂,同時表達了對智能化管理的希冀。
IDS由于太敏感,對某些稍微不同于正常的系統(tǒng)訪問(但實際也是正常的系統(tǒng)訪問)發(fā)出報警,“狼來了”的呼聲太頻會浪費管理人員大量的時間,同時造成人們的麻痹心理,某些黑客則利用這一心理將真實的攻擊搭載在誤報警中,或用大量的“半連接”阻塞IDS,形成新的拒絕訪問(DoS)攻擊。更為糟糕的是,某些與IDS聯(lián)動的防火墻在誤報的指引下頻繁作出響應,使系統(tǒng)關(guān)閉大量正常的應用,最終導致網(wǎng)絡效率的急劇下降,嚴重時造成系統(tǒng)的癱瘓。
但是,關(guān)于誤報的定義卻存在不少爭議。安氏中國公司的趙糧博士舉了一個簡單例子,例如Nimda病毒,如果被保護網(wǎng)絡中根本不存在Windows計算機,就不能造成感染,但這時的IDS肯定會報警,并反應在管理員的控制臺上。這種報警算不算誤報呢?它有兩方面的含義,一方面它提示管理員注意,有攻擊者對自己的網(wǎng)絡發(fā)動了攻擊;另一方面,它提示的攻擊根本不可能發(fā)生,這對IDS來說極像一次誤報。因此很多人將此類報警看成誤報,但它卻是一次正常的報警。
因此,在考察當前IDS系統(tǒng)投資效用比時,對于誤報的理解更為重要。安氏中國公司趙糧博士認為,大部分用戶不可能雇傭高水平的安全專家來專門鑒別有效報警、無效報警和純誤報。用戶購買IDS系統(tǒng)的目的是希望購買的軟件可以完成上述“高手”才能完成的工作,從而使普通的系統(tǒng)管理員就可以管理維護這些已經(jīng)非常昂貴的家伙。當前的實際狀況是,按照許多專家的估計,系統(tǒng)管理員大概需要花20%左右的時間來處理每日的誤報。因此,對管理員的培訓比產(chǎn)品本身更重要,而很多用戶忽略了這一點。
漏報是絕對不能容忍的,它決定了IDS的生死,所以目前關(guān)于IDS的性能評測基本鎖定在一定流量條件下的不丟包、不漏報上。但目前漏報現(xiàn)象卻非常嚴重,尤其在千兆網(wǎng)絡環(huán)境中。一方面,某些黑客會采用新的攻擊方式,將傳送的信息“粉碎”偽裝成正常的信息發(fā)送,致使IDS檢測不到它;另一方面,在千兆的流量下,對每一個信息包進行檢測同時保持千兆的速率,幾乎是不可能的,效率與精確度永遠是一對矛盾,這決定于用戶真正需要什么?北京電信局鄒俊軍告訴記者,目前市場上火熱的千兆IDS都是在炒作概念,將它應用在百兆環(huán)境中也許最合適,而用在千兆網(wǎng)絡中,要么將極大降低網(wǎng)絡速率,要么就會產(chǎn)生大量的漏報。
除非將誤報和漏報控制在一個極低的水平,否則產(chǎn)業(yè)難有長久發(fā)展的機會。
爭議中的希望
年輕的IDS產(chǎn)業(yè)就像一個勇敢的跋涉者,雖然爭議重重,偶爾大起大落,但在跌跌撞撞中,IDS產(chǎn)業(yè)不斷地朝著當初設定的目標邁進,并逐漸走出了低谷,往上攀升,成為目前信息安全產(chǎn)業(yè)僅次于防火墻、網(wǎng)絡殺毒的第三大領域。
IDC公司在最新的中國網(wǎng)絡安全產(chǎn)品調(diào)查報告中顯示,2001年,中國入侵檢測與漏洞評估產(chǎn)品的市場規(guī)模達到了1億5千萬人民幣,占總體信息安全市場份額的13.4%;預計今年的市場總額達將2億2千萬人民幣,其年復合增長速度為52.2%,排在第3位。
從IDS本身的功能來說,它正是用戶所需要的。既然有需求,并發(fā)現(xiàn)了癥結(jié)所在,產(chǎn)業(yè)在眾多風險資金、技術(shù)專家和用戶的共同努力下,正在尋找穿透那道無形“玻璃墻”的方法,邁向希望的彼岸。
歸根結(jié)底,技術(shù)是保障產(chǎn)業(yè)順利發(fā)展的核心。IDS技術(shù)專家已確定未來IDS的主要研究方向:解決誤報和漏報問題。那么,決定一個IDS誤報和漏報的指標是什么呢?IDS技術(shù)專家趙糧認為一個是引擎和手法;一個是管理能力。這兩方面都離不開新技術(shù)的支撐,IDS體系結(jié)構(gòu)的研究、安全通信機制研究、入侵檢測技術(shù)的研究、響應策略與恢復的研究以及協(xié)作式入侵檢測技術(shù)的研究將是未來的研究方向。各大公司也已投入巨額資金在IDS新技術(shù)和新產(chǎn)品的研發(fā)上。
產(chǎn)業(yè)內(nèi)眾多風險資金和廠商的加盟也為IDS增加了不少的人氣。目前,國內(nèi)市場上IDS廠商已經(jīng)發(fā)展到多家,除了國際著名的ISS、Cisco、Symantec在中國牢牢地扎下根基外,國內(nèi)著名的安全企業(yè)也將巨額資金投資用于IDS
