【51CTO.com 綜合消息】入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）作為最常見的網(wǎng)絡(luò)安全產(chǎn)品之一，已經(jīng)得到了非常廣泛的應(yīng)用。但近年來(lái)隨著入侵防御系統(tǒng)（Intrusion Prevention System，IPS）的異軍突起，不斷有人認(rèn)為IPS是IDS的升級(jí)版本，甚至還有認(rèn)為IDS沒有用的言論出現(xiàn)。本文試從入侵檢測(cè)系統(tǒng)的起源、成長(zhǎng)和未來(lái)發(fā)展的幾個(gè)角度出發(fā)進(jìn)行分析，來(lái)看看到底入侵檢測(cè)系統(tǒng)是“已死”還是“有發(fā)展”。

◆入侵檢測(cè)系統(tǒng)的起源

一般意義上，業(yè)界將James P. Anderson在1980年發(fā)布的那篇《Computer Security Threat Monitoring and Surveillance》作為入侵檢測(cè)概念的最早起源，在這篇文章里，不僅將威脅分為了外部滲透、內(nèi)部滲透和不法行為三種，還創(chuàng)造性的提出了將審計(jì)技術(shù)應(yīng)用到對(duì)威脅的檢測(cè)上來(lái)。沒錯(cuò)，雖然不論廠商還是用戶，都是先開發(fā)/擁有入侵檢測(cè)產(chǎn)品，而后再考慮審計(jì)產(chǎn)品，但從單純的技術(shù)上來(lái)說(shuō)，入侵檢測(cè)技術(shù)的確是起源于審計(jì)技術(shù)，所不同的是，入侵檢測(cè)更關(guān)注“壞”的事件，而審計(jì)產(chǎn)品則更多關(guān)注“好”事件。

但這只是一個(gè)概念的起步，一直到1986年Dorothy Denning等人才在其論文An Intrusion Detection Model中給出了一個(gè)入侵檢測(cè)的抽象模型IDES（入侵檢測(cè)專家系統(tǒng)），并在1988年開發(fā)出一個(gè)IDES系統(tǒng)：

圖1

在這個(gè)模型中，可以很清楚的看出Denning的二維檢測(cè)思想：基于專家系統(tǒng)的特征檢測(cè)以及基于統(tǒng)計(jì)異常模型的異常檢測(cè)。這一點(diǎn)也奠定了入侵檢測(cè)技術(shù)領(lǐng)域的兩大方向：濫用檢測(cè)（Misuse Detection）和異常檢測(cè)（Anomaly Detection）

在這個(gè)模型的基礎(chǔ)上，1990年Herberlein等人開發(fā)出了第一個(gè)真正意義上的入侵檢測(cè)系統(tǒng)NSM（Network Security Monitor），在這個(gè)實(shí)物模型中，第一次采用了網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)流而非歷史存檔信息作為檢測(cè)數(shù)據(jù)的來(lái)源，這為入侵檢測(cè)系統(tǒng)的產(chǎn)品化做出了巨大的貢獻(xiàn)：再也不需要將各式各樣的審計(jì)信息轉(zhuǎn)化為統(tǒng)一格式后才能分析了，入侵檢測(cè)開始逐步脫離“審計(jì)”的影子。誰(shuí)也沒有想到，過(guò)了不到10年的時(shí)間，審計(jì)產(chǎn)品反過(guò)來(lái)開始學(xué)習(xí)入侵檢測(cè)產(chǎn)品的這種分析實(shí)時(shí)數(shù)據(jù)流的模式，這是另外一個(gè)話題，且按下不表。#p#

◆入侵檢測(cè)系統(tǒng)的成長(zhǎng)

上世紀(jì)90年代中期，商業(yè)入侵檢測(cè)產(chǎn)品初現(xiàn)端倪，1994年出現(xiàn)了第一臺(tái)入侵檢測(cè)產(chǎn)品：ASIM。而到了1997年，Cisco將網(wǎng)絡(luò)入侵檢測(cè)集成到其路由器設(shè)備中，同年，ISS推出Realsecure，入侵檢測(cè)系統(tǒng)正式進(jìn)入主流網(wǎng)絡(luò)安全產(chǎn)品階段。

在這個(gè)時(shí)期，入侵檢測(cè)通常被視作防火墻的有益補(bǔ)充，這個(gè)階段用戶已經(jīng)能夠逐漸認(rèn)識(shí)到防火墻僅能對(duì)4層以下的攻擊進(jìn)行防御，而對(duì)那些基于數(shù)據(jù)驅(qū)動(dòng)攻擊或者被稱為深層攻擊的威脅行為無(wú)能為力。廠商們用得比較多的例子就是大廈保安與閉路監(jiān)控系統(tǒng)的例子，防火墻相當(dāng)于保安，入侵檢測(cè)相當(dāng)于閉路監(jiān)控設(shè)備，那些繞過(guò)防火墻的攻擊行為將在“企圖作惡”時(shí)，被入侵檢測(cè)系統(tǒng)逮個(gè)正著。

而后，在20001～2003年之間，蠕蟲病毒大肆泛濫，紅色代碼、尼姆達(dá)、震蕩波、沖擊波此起彼伏。由于這些蠕蟲多是使用正常端口，除非明確不需要使用此端口的服務(wù)，防火墻是無(wú)法控制和發(fā)現(xiàn)蠕蟲傳播的，反倒是入侵檢測(cè)產(chǎn)品可以對(duì)這些蠕蟲病毒所利用的攻擊代碼進(jìn)行檢測(cè)（就是前面提到的濫用檢測(cè)，將針對(duì)漏洞的攻擊代碼結(jié)合病毒特征做成事件特征，當(dāng)發(fā)現(xiàn)有該類事件發(fā)生，就可判斷出現(xiàn)蠕蟲。），一時(shí)間入侵檢測(cè)名聲大振，和防火墻、防病毒一起并稱為“網(wǎng)絡(luò)安全三大件”。

正當(dāng)入侵檢測(cè)概念如日中天之際，2003年GARTNER的一篇《入侵檢測(cè)已死》的文章，帶來(lái)了一個(gè)新的概念：入侵防御。在此之前，防火墻產(chǎn)品之所以不能做4層以上的分析，有一個(gè)原因就是分析性能跟不上，入侵檢測(cè)產(chǎn)品由于采用旁路部署方式，對(duì)數(shù)據(jù)實(shí)時(shí)性的要求不是很高。當(dāng)硬件發(fā)展和軟件算法都足以支撐串行設(shè)備進(jìn)行深層分析的時(shí)候，串接在網(wǎng)絡(luò)中，對(duì)應(yīng)用層的威脅行為也能發(fā)現(xiàn)并防御的產(chǎn)品需求就呼之欲出了。一時(shí)間，入侵防御產(chǎn)品是入侵檢測(cè)產(chǎn)品的升級(jí)版本，入侵檢測(cè)產(chǎn)品沒有用的言論甚囂塵上。入侵檢測(cè)產(chǎn)品是不是已經(jīng)走到了產(chǎn)品生命周期的盡頭，是不是已經(jīng)沒有人需要用入侵檢測(cè)產(chǎn)品了呢？#p#

◆入侵檢測(cè)系統(tǒng)的發(fā)展

入侵檢測(cè)產(chǎn)品真的只是防火墻的補(bǔ)充么？如果是這樣的話，那么當(dāng)網(wǎng)關(guān)類產(chǎn)品實(shí)現(xiàn)了對(duì)深層威脅行為的防御之后，入侵檢測(cè)產(chǎn)品真的就壽終正寢了，這也是GARTNER認(rèn)為入侵檢測(cè)已死的最重要的原因：已經(jīng)有了對(duì)應(yīng)用層攻擊進(jìn)行防護(hù)的產(chǎn)品了，這種只能檢測(cè)的產(chǎn)品——入侵檢測(cè)，已經(jīng)走了盡頭。

其實(shí)不然，在入侵檢測(cè)產(chǎn)品被廣泛應(yīng)用的過(guò)程中，“發(fā)現(xiàn)應(yīng)用層攻擊行為”已經(jīng)不是入侵檢測(cè)產(chǎn)品功能的全部了。旁路部署的入侵檢測(cè)有一個(gè)最大的天然優(yōu)勢(shì)就是可以從全局的角度查看網(wǎng)絡(luò)數(shù)據(jù)：不論是進(jìn)出網(wǎng)絡(luò)的，還是網(wǎng)絡(luò)內(nèi)部的。這使得入侵檢測(cè)擁有了成為管理手段，而非使用工具的機(jī)會(huì)。

和入侵防御產(chǎn)品不同，入侵檢測(cè)產(chǎn)品關(guān)注網(wǎng)絡(luò)中的所有事件，而不僅僅是值得阻斷的威脅事件。因?yàn)橥ㄟ^(guò)對(duì)歷史數(shù)據(jù)的分析和對(duì)比，入侵檢測(cè)可以實(shí)現(xiàn)其更高的管理價(jià)值：提供安全建設(shè)建議和評(píng)估網(wǎng)絡(luò)安全建設(shè)效果。

提供安全建設(shè)建議

很少有安全產(chǎn)品像入侵檢測(cè)產(chǎn)品那樣需要加入大量的人工分析，這往往是那些“IDS無(wú)用論”擁躉們的武器：入侵檢測(cè)不能“即插即用”，還需要加入分析，很不好。但這恰恰是入侵檢測(cè)產(chǎn)品最有價(jià)值的地方：它能告訴用戶，什么地方存在什么樣的威脅，需要如何處理。比如說(shuō)熊貓燒香病毒，可以利用網(wǎng)絡(luò)共享、U盤等方式進(jìn)行傳播，網(wǎng)關(guān)級(jí)的安全設(shè)備對(duì)這種“自內(nèi)而外”的傳播方式無(wú)能為力，防病毒軟件則因?yàn)樵摬《局杏凶詣?dòng)停止防病毒軟件進(jìn)程，修改防病毒軟件注冊(cè)表鍵值等手段而束手無(wú)策，只有入侵檢測(cè)產(chǎn)品這種旁路監(jiān)聽的產(chǎn)品，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常，明確找出病毒根源并提出解決對(duì)策：隔離受感染主機(jī)、在防火墻等安全設(shè)備上增加安全策略、為服務(wù)器等重要資產(chǎn)劃分獨(dú)立區(qū)域、增加適當(dāng)網(wǎng)絡(luò)安全設(shè)備（如防病毒、防火墻）、完善計(jì)算機(jī)安全管理制度（不允許使用未經(jīng)檢驗(yàn)的移動(dòng)存儲(chǔ)設(shè)備等）。

評(píng)估網(wǎng)絡(luò)安全建設(shè)效果

正是由于入侵檢測(cè)產(chǎn)品需要人工分析，所以報(bào)表、日志數(shù)據(jù)庫(kù)就一直作為入侵檢測(cè)產(chǎn)品的重要組成部分，而正是有了這些歷史數(shù)據(jù)的積累，才有了入侵檢測(cè)的另外一個(gè)管理作用：評(píng)估安全建設(shè)效果。

我們來(lái)設(shè)想一個(gè)場(chǎng)景，怎樣才能評(píng)估網(wǎng)絡(luò)安全建設(shè)的效果呢？新購(gòu)置的防火墻產(chǎn)品是否有用？放置的位置是不是最佳的選擇？

沒錯(cuò)，需要評(píng)估某事、某物的效果，不外乎調(diào)查和對(duì)比，收集此前、此后的相關(guān)數(shù)據(jù)并進(jìn)行對(duì)照，有無(wú)效果一目了然。入侵檢測(cè)產(chǎn)品就是這樣一個(gè)可以協(xié)助效果評(píng)估的管理工具：它擁有最完善的網(wǎng)絡(luò)歷史和實(shí)時(shí)數(shù)據(jù)，網(wǎng)絡(luò)過(guò)去的狀況和現(xiàn)在的狀況應(yīng)有盡有。某用戶初次部署入侵檢測(cè)產(chǎn)品，發(fā)現(xiàn)一天中服務(wù)器遭受內(nèi)外部威脅次數(shù)是100次，而整個(gè)網(wǎng)絡(luò)事件次數(shù)為1000次，在經(jīng)過(guò)增加其他安全產(chǎn)品，調(diào)整網(wǎng)絡(luò)布局配置后，發(fā)現(xiàn)一天中服務(wù)器遭受威脅次數(shù)降低到了8次，整個(gè)網(wǎng)絡(luò)事件次數(shù)為32次，這就說(shuō)明安全建設(shè)（增加產(chǎn)品、調(diào)整配置等）是有效果的。

最后，我們用一個(gè)實(shí)際案例來(lái)說(shuō)明入侵檢測(cè)產(chǎn)品的效果。

圖2

圖3