至今為止，Martin Roesch仍然是所有針對Snort（Snort是Sourcefire公司的網絡檢測系統的核心）的改進的背后的主導力量。雖然在商業壓力下每家公司的技術改進都有可能發生變化，但是Snort的技術改進仍由Roesch一手掌控。1998年Roesch創立了開源的入侵檢測系統Snort，2001年他開始與Sourcefire公司合作，售賣使用Snort引擎的應用程序和軟件。在SearchSecurity.com的一次訪問中，Roesch談到，Snort的改進主要是他的主意，再綜合用戶、其他的入侵檢測和防御引擎的開發人員和開源社區的建議完善而成。Sourcefire對它的系統做了許多改進，比如增加了對on premise和虛擬云的支持，還有許多用于提高速度和擴展保護能力方面的技術改進。在這次訪問中，Roesch談到了Snort引擎里最重要的部分下一步的變化以及與漏洞管理服務供應商Qualys的更進一步的合作將如何更深入地分析網絡檢測系統存在的威脅。

您覺得未來的入侵防御系統是怎樣的呢？我了解到Snort現在不只在做入侵防御，是這樣嗎？

Martin Roesch：是的。從2004年開始，Snort被用作入侵檢測系統/入侵防御系統。入侵檢測系統和入侵防御系統的區別不只是功能，更多的是配置。我們的引擎在兩種系統下都表現的很好，并且采用同樣的代碼。我們也添加了其他的功能，如用于內容檢測的DLP技術。我們一直朝著用戶希望的方向發展。我們與開源社區合作，與我們的用戶合作，傾聽他們的需求，按照需求將系統完善。我們不斷地增加新的功能，我想人人都能從中受益。

在去年的一次訪問中您提到，您想在平臺的頂層搭建網絡安全應用程序。您當時指的是SnortSP（Snort 安全平臺）。請問現在這個項目進行到什么程度了呢？

Roesch：我們正在重新編寫SnortSP的代碼。從早期的性能測試我們發現了一些我們不希望看到的性能，于是我們重新編寫了SnortSP的代碼，希望得到一些我們樂意見到的性能。 SnortSP這個項目就是要為網絡流量分析應用程序建立一個共同的平臺，這樣它們可以在同一個平臺、同一個存儲空間合作，共享他們所探測到的和需要防御的實時環境信息。不管是增加DLP、信譽過濾和客戶端檢測這樣的功能，還是其他面向網絡的程序，都與深層封包檢查有關。理論上來說，這和運行一個Web防火墻程序或者一個漏洞掃瞄程序是一樣的。于是SnortSP的基本想法就是把它變為現實。

如果有一個組織想投資Sourcefire 3D和Snort，是不是意味著他們同時也需要投資另外一個人來管理它呢？

Roesch：是的。我想現在看來這不是什么令人驚訝的事。我們專注于網絡入侵檢測和防御領域16年。當然需要至少一個人時不時的照顧它。我們一直在努力減少與技術無關的工作量。調整問題和誤報問題的根本就是要求用戶不斷更新他們的防御系統，實現和網絡環境的實時同步。我們繪制了一幅綜合的網絡環境地圖，然后利用這個地圖我們可以調整檢測器，所以Sourcefire售賣的檢測器可以實現自動調節。利用它我們還可以實現數據自動分析功能。當我們從Snort獲知一個事件時，我們會分析數據，然后明確目標。我們會及時地對這個事件在用戶的系統環境的重要程度進行評級和優先級排序，這樣就不需要人們自己進行調節。然后我們進行影響評估，將對系統環境重要的數據保存下來。

您談到在一個全新的Snort檢測引擎上工作。有什么不一樣的，為什么Snort需要一個新的檢測引擎？

Roesch：這個有點難懂，但Snort正在使用的檢測引擎模型是用來緩沖交換類型和配套網絡協議流的本地化的，并且使用我們在數據流中發現的錨點來試圖探測攻擊。理想的模型是一個分層協議模型，它可以減少緩沖的消耗并且基本上不涉及協議分解，同時又不再利用我們的緩沖和我們已經使用了10年的配對系統。這將大大減少存取記憶體。毫無疑問，我們相信利用這個新的引擎模型，將來的檢測能夠更迅速、更深入。

Snort的改變中有多少來至于Snort社區？又有多少是出于商業驅動？

Roesch：其實都不是。這些都是為了推動新的檢測引擎設計，主要是我認為在Snort工作的10或12年里，對其發展我有點自己的想法，就是用“如果你有機會重來，你會有什么不同”這種方法來解決問題。它的設計反映出來的是我這方面的思想比任何其他方面都要成熟。社區從來沒有真正說過什么檢測模型可以使用，他們從來就沒有在結構之類的事情發出過真正的聲音，如流水線裝配等等。這真的跟陷進了雜草中一樣，大多數人都在與數據庫對話或者在現有的框架工程中獲得一個檢測插件這個層次上進行操作。Snort 3概念和SnortSP真的融入了我的很多想法，以及很多我給社區中人分享的想法，包括開發入侵檢測/預防引擎行業和開源社區的其他人。

Sourcefire和QualysGuard在一年前宣布整合，今年又添加了一個連接件，使整合變得更加容易。如何提高Sourcefire的入侵檢測/預防引擎和安全漏洞數據結合在一起后的能力？

Roesch：我們的RNA技術發現了網絡并且繪制了用戶離開后的網絡地圖。其副產品之一是它建立了一個善于觀察的安全漏洞地圖。我們使用這個安全漏洞地圖自動優化Snort引擎和影響評估，著眼于未來的實時事件流進我們的防御中心，并以此為事件提供實時的優先次序。和QualysGuard的整合使我們能夠直接將Qualys發現的安全漏洞數據導入到地圖中，使我們對漏洞有一個正確的識別，而不僅僅是一個漏洞痕跡。這使我們能更準確的優化檢測引擎并改善影響評估能力。  

【編輯推薦】

1. Snort入侵檢測系統之我見
2. snort入侵檢測安裝及操作方法