Internet的飛速發展,為信息的傳播和利用帶來了極大的方便,同時也使人類社會面臨著信息安全的巨大挑戰。為了應對日益嚴重的信息安全問題,防火墻、入侵檢測、安全審計、流量監控等安全產品逐步得到推廣和應用。這些安全產品從一定程度上緩解了日益緊迫的安全問題,但如何集成各個產品的優點,更好地發揮安全產品的作用,是網絡管理人員面臨的新問題。
概括起來,在目前的網絡安全管理中存在以下問題:
1.各安全設備往往是孤立運行的,其報警信息之間難以關聯,使得管理員缺乏對網絡整體安全狀況的認識。
2.安全事件發生后,無法快速確定安全事件的根源,網絡業務恢復時間長。
3.對某些特定安全事件缺乏準確有效的檢測方法,如DDoS攻擊,蠕蟲病毒等。
4.多種網絡設備之間的串接,或者在交換機上進行多重鏡像實現包捕獲,會造成網絡運行性能下降。
將入侵檢測、安全審計、異常流量三大功能進行集成,采用一體化安全檢測(Unified Detection System ,簡稱UDS)技術,能夠有效地解決上述問題,與分別采用各類技術相比,具有七大方面的優勢。
提高管理員安全決策的準確性
多種檢測手段的集成,可以使用戶從不同方面更加全面地了解網絡安全狀況。不同的旁路檢測產品審查的重點不相同,當發生安全違規事件時,通過三種工具之間的相互印證和關聯分析,可以提高管理員決策的準確性。例如:流量顯示網絡中突然產生很高的TCP流量,通過IDS報警可以看出,是P2P軟件下載造成的,通過審計系統則可以看到更詳細的信息,比如下載的文件名,文件類型,大小等等。有利于管理員監控網絡資源是否被合法使用。
實現攻擊源和攻擊目標的快速定位
以Internet蠕蟲傳播為例,被蠕蟲感染的主機的網絡行為會不同于正常主機,這時利用審計功能可以快速發現異常主機,結合IDS的攻擊報警即可確定感染源。例如:對于超長數據的緩沖區溢出,IDS可以進行預警,管理員再通過審計模塊察看具體的超長數據內容,可以準確判斷一次報警是否為攻擊,更可以為追蹤入侵者提供有力證據。
實現對特定安全事件的全面檢測
對DDoS攻擊和未知蠕蟲,IDS往往難以實現有效檢測,但二者均會引起網絡流量的顯著異常。UDS由于在IDS的基礎上集成了流量檢測功能,彌補了IDS的先天不足,帶來了更全面的檢測能力。例如:一次DDoS或蠕蟲攻擊,會讓流量檢測模塊顯示某一協議以及某一應用產生大量的流量,而結合IDS模塊則可以看到流量類型等更具體的攻擊信息。流量模塊提供了攻擊所產生的網絡流量,管理員依此來評估具體損失,IDS模塊可以確定具體的攻擊類型,并且進行IP定位,用來查找網絡安全隱患。
提高用戶的投資性價比
在一次包捕獲的基礎上完成多重分析,與同時采用多臺設備相比,提高了處理的效率,減少了設備串連時發生故障的可能,也降低了多重鏡像對網絡性能的影響。此外,當用一種綜合產品取代多種分離產品,在滿足功能和性能要求的同時,其價格優勢是非常明顯的,可有效的提高用戶的投資性價比。
方便部署
將旁路檢測功能統一到一個設備上來實現,有利于產品的安裝實施和部署。旁路產品通常的接入方式是通過交換機配置鏡像或利用串接TAP接入,需要在交換機上設置多個鏡像端口或者串接多個TAP。不但會有多重鏡像造成交換機性能下降的情況出現,而且還會面臨部分交換機不支持多重鏡像的尷尬,并且串接多個TAP,也容易造成單點故障。
集中管理,綜合分析
旁路檢測的典型流程是將網絡上的數據報文進行全面捕獲,在保證不丟包的狀態下對數據報文進行分析,根據不同的預定義規則形成安全事件、告警或統計數據。因此在保持底層技術上統一、上層實現多樣化的UDS檢測系統則有效的擴展了檢測范圍,可以實現多樣化的綜合檢測需求。同時,在未來的產品架構上也具有很好的擴展性。例如:系統對多種檢測的結果進行交叉關聯,集中檢測可以安全事件為單位進行報警,從而為管理員提供一個清晰的層次。一次DDoS攻擊事件中,異常流量模塊將劃分出時間范圍,IDS模塊提供詳細的攻擊類型信息,流量模塊統計所產生的網絡流量,不但可以計算此次安全事件的攻擊強度,還可以為日后計算損失提供依據,而審計模塊可以記錄該攻擊行為所影響的具體的應用服務,可以為日后追蹤攻擊源頭提供證據。
對安全事件深入分析、取證記錄,可追蹤溯源
異常流量會話錄播。通過異常流量的檢測結果分析,當發現某種協議類型的流量異常時,啟動UDS的會話錄播功能,可方便安全管理人員對異常流量的審計。例如:對于未知蠕蟲攻擊,異常流量系統可以預警,但是因為此蠕蟲為突發,異常流量系統就在第一時間內預警,所以還尚無機構為此命名,UDS系統也無法報警出具體的蠕蟲名字,這樣管理員可以通過系統自動記錄下會話數據流,日后再確認具體蠕蟲名稱。
IDS日志與安全審計日志、異常流量報警日志的交叉報表功能。被蠕蟲感染或遠程控制的主機,其流量分布、行為表現會不同于正常主機。通過審計或異常流量的日志發現異常主機,可以使管理員在處理IDS模塊的報警時更加關注那些異常主機,提高分析的準確性。例如:對于一次安全事件,如蠕蟲攻擊,交叉報表可以給管理員提供一個很清晰的層次,可以通過異常流量模塊來確認一次安全事件,IDS模塊則提供了安全事件的具體攻擊類型、蠕蟲名稱,流量模塊可以提供安全事件產生的數據量,審計模塊為確認并追蹤攻擊源以及受害系統提供了依據。
IDS與主機資源信息的關聯。在各種安全設備上報的攻擊事件中,并非每次攻擊都會對目標網絡的安全構成威脅。以一次典型的針對IIS的緩沖區溢出攻擊為例,如果目標主機不可達,或者其操作系統不是Windows系統、沒有運行IIS服務、不存在相關的漏洞,都會導致攻擊不成功。為此可以將IDS的報警與主機資源信息進行關聯,判斷該報警的真實性,降低IDS的誤報率。UDS的精確報警功能從一定程度上解決了該類問題,如果能進一步關聯漏洞掃描的結果,將會進一步增強報警的準確性。例如:入侵者對一臺Linux系統發動一次unicode攻擊,其實這個攻擊是針對于Windows平臺的,這次攻擊并不能成功,如果運行環境中數據流量較大,報警較多,管理員則可以通過降低策略中的報警強度,過濾掉這些入侵企圖,而記錄真正有效的、有威脅的攻擊。
基于以上七大優勢可以預計,一體化安全檢測技術和產品將得到越來越多的關注和應用。
