入侵檢測(IDS)產品從里到外發生改變
面對日益嚴重的攻擊,入侵檢測系統(IDS)作為防火墻的有力補充,實時監視著網絡中的不法行為;
阻止入侵或試圖控制系統及網絡資源的惡意攻擊,
正在成為安全部署中不可或缺的工具之一,
其產品與技術正在不斷地更新和發展,新亮點不斷涌現。
提到網絡安全,很多人首先想到的是防火墻。配置適當的防火墻雖然可以將非預期的訪問請求屏蔽在外,但不能檢查出經過它的合法流量中是否包含著惡意的入侵代碼。在這種需求背景下,入侵檢測系統(IDS)應運而生。隨著網絡的發展,IDS技術也在不斷更新和變化。
變被動為主動
目前IDS產品常用的檢測技術主要有以下幾種:專家系統、基于模型的入侵檢測方法、簡單模式匹配。但以上的集中檢測技術都存在著一些缺陷,導致目前的入侵檢測系統不夠完善,存在大量誤報和漏報現象。這種現狀也促使廠商進行技術革新。很多廠商,特別是防火墻廠商提出了IPS(IDP)的概念,如NAI推出的IPS產品、Netscreen推出的IDP產品等都融入了這個概念。這種IPS技術將防火墻的訪問控制、應用代理、路由轉發等功能統統去掉,以網橋形態接入網絡中,利用防火墻上日益成熟的防范攻擊的功能,為用戶提供主動而有效的入侵防護系統。IPS產品的出現就是重點突出和強化了IDS中的阻斷功能,并為此將傳統IDS的旁路監聽模式改為干路轉發模式。
目前,從各廠商推出的IPS產品來看,其技術所倡導的核心是主動防御和在線安裝的理念,除了采用IDS的集中檢測方法外,還增加了事件關聯等技術,并可以有選擇地阻斷惡意攻擊,而且,在不斷檢測過程中,還具有積累以往的經驗而自動學習的功能,不斷更新策略,使防御更加主動、更加智能化。當然,有些所謂的IPS產品還是沿用了傳統IDS對事件的匹配方法對攻擊行為進行鑒別,但不同于傳統IDS發送Reset包的方式,IPS可以直接將流經本身的數據阻斷。
結構越來越復雜
目前的IDS產品從結構上說,是向著復雜化方向發展,分布式產品越來越多地被各個廠商所推薦。實際上,這和IDS本身所存在的一個技術障礙有關:誤報率和漏報率高。這主要由于三個原因:一是入侵檢測系統知識庫中,事件特征描述對攻擊行為認識的不確定性;二是入侵檢測引擎中,檢測分析證據來源獲取的不確定性; 三是由于攻擊行為來自于復雜的網絡環境,信息來源具有復雜的時空結構,相應的分析體系中,攻擊知識獲取轉換具有不確定性。針對這些因素,降低誤警技術途徑主要在三個方向展開。
降低誤警漏警的第一個技術途徑是事件庫的完備表達。與各種攻擊有關的定性知識與定量知識的表達與推理是入侵檢測問題的核心。通過漏洞機理特征分析,對事件庫進行精確定義;基于高層協議解析和狀態簽名技術,對漏洞事件進行精確匹配處理;對高層協議解析處理可直接準確地產生應用連接和應用登錄事件。通過增加會話流匹配技術,對利用成組報文特征、返回報文特征進行事件精確定義。通過對事件庫進行多維信息源關聯數據維護,以備后續處理引擎分層、分布匹配過濾預警信息。 通過提高事件庫對標準漏洞的覆蓋率、應用協議覆蓋率、攻擊工具覆蓋率,可以大大降低系統漏警率,同時提高系統對報文變形、碎片的處理能力,也是對付IDS反躲避的關鍵技術。
降低誤警漏警的第二個技術途徑是,檢測分析證據來源信息的全面獲取。網絡入侵檢測的信息獲取的完整與全面,是降低檢測誤警的基礎。為使在復雜環境中的信息獲取更全面,獲取過程應該具有階段性,獲取信息應該具有層次性、分布性。信息采集包括系統內核信息、系統日志信息、事件信息、應用日志信息等層次,獲取對象包括網絡和進程、主機和域、用戶、組和所有者、服務等。
降低誤警漏警的第三個技術途徑是,設計具有多數據源采集、事件綜合集成功能的入侵管理分析系統。入侵管理分析系統的設計是減少誤警的基礎。由于攻擊行為來自于復雜的網絡環境,信息來源具有復雜的時空結構,相應的分析體系也應該體現分級、分層和分階段的處理特點。因此,為處理復雜的網絡攻擊行為的檢測識別問題,網絡入侵檢測的分析體系應該設計成為具有自適應與自管理分析功能的多級數據融合體系。
向易用性轉變
從實際使用情況來看,目前購買IDS的主要用戶群一般集中在那些擁有比較專業的網管人員、對網絡安全需求比較高的單位,特別是銀行等金融行業。這也從側面說明了,由于目前的IDS還處于一個工具的狀態,沒有能夠成為一個真正適用于廣大用戶的產品,只用擁有專業網絡知識的操作者才能對IDS系統進行有效的策略配置和規則優化,并能從大量的報警信息中找到那些真正的入侵行為。銀行和電信行業出于自身的行業特點,對網絡安全的需求非常高,通常都建設了自身的網絡管理隊伍和網絡安全體系。大多數的企業和事業單位對網絡安全的認識都停留在防病毒和防火墻的層次上,很少對網絡整體安全有深刻的認識和建設規劃;網絡管理人員一般也是兼職人員或力量薄弱,很少有時間和精力專門處理非常復雜的IDS報警信息。
為了使IDS真正成為一個適用于大多數用戶的產品,大多數IDS廠商都在盡力提高IDS產品的易用性。上面提到的新的分布式結構IDS產品的最終目的也是要解決易用性問題。只有減少了誤報率和漏報率,用戶看到的報警都是比較準確和完整的攻擊信息,才能比較放心地進行阻斷和處理,而不必像以前那樣,利用經驗和專業知識去分析和猜測大量報警信息中的真正有用的部分。
