Gartner在去年8月的一份研究報(bào)告中認(rèn)為，如今的入侵檢測(cè)系統(tǒng)(IDS)已經(jīng)難以適應(yīng)客戶(hù)的需要。IDS不能提供附加層面的安全，相反增加了企業(yè)安全操作的復(fù)雜性。入侵檢測(cè)系統(tǒng)朝入侵預(yù)防系統(tǒng)(IPS)方向發(fā)展已成必然。實(shí)際上，可將IDS與IPS視為兩類(lèi)功能互斥的分離技術(shù)：IPS注重接入控制，而IDS則進(jìn)行網(wǎng)絡(luò)監(jiān)控;IPS基于策略實(shí)現(xiàn)，IDS則只能進(jìn)行審核跟蹤;IDS的職責(zé)不是保證網(wǎng)絡(luò)安全，而是告知網(wǎng)絡(luò)安全程度幾何。

IPS不僅僅是IDS的演化，它具備一定程度的智能處理功能，能實(shí)時(shí)阻截攻擊。傳統(tǒng)的IDS只能被動(dòng)監(jiān)視通信，這是通過(guò)跟蹤交換機(jī)端口的信息包來(lái)實(shí)現(xiàn)的;而IPS則能實(shí)現(xiàn)在線監(jiān)控，主動(dòng)阻截和轉(zhuǎn)發(fā)信息包。通過(guò)在線配置，IPS能基于策略設(shè)置舍棄信息包或中止連接;傳統(tǒng)的IDS響應(yīng)機(jī)制有限，如重設(shè)TCP連接或請(qǐng)求變更防火墻規(guī)則都存在諸多不足。

IPS工作原理

真正的入侵預(yù)防與傳統(tǒng)的入侵檢測(cè)有兩點(diǎn)關(guān)鍵區(qū)別：自動(dòng)阻截和在線運(yùn)行，兩者缺一不可。預(yù)防工具(軟/硬件方案)必須設(shè)置相關(guān)策略，以對(duì)攻擊自動(dòng)作出響應(yīng)，而不僅僅是在惡意通信進(jìn)入時(shí)向網(wǎng)絡(luò)主管發(fā)出告警。要實(shí)現(xiàn)自動(dòng)響應(yīng)，系統(tǒng)就必須在線運(yùn)行。

當(dāng)黑客試圖與目標(biāo)服務(wù)器建立會(huì)話(huà)時(shí)，所有數(shù)據(jù)都會(huì)經(jīng)過(guò)IPS傳感器，傳感器位于活動(dòng)數(shù)據(jù)路徑中。傳感器檢測(cè)數(shù)據(jù)流中的惡意代碼，核對(duì)策略，在未轉(zhuǎn)發(fā)到服務(wù)器之前將信息包或數(shù)據(jù)流阻截。由于是在線操作，因而能保證處理方法適當(dāng)而且可預(yù)知。

與此類(lèi)比，通常的IDS響應(yīng)機(jī)制(如TCP重置)則大不相同。傳統(tǒng)的IDS能檢測(cè)到信息流中的惡意代碼，但由于是被動(dòng)處理通信，本身不能對(duì)數(shù)據(jù)流作任何處理。必須在數(shù)據(jù)流中嵌入TCP包，以重置目標(biāo)服務(wù)器中的會(huì)話(huà)。然而，整個(gè)攻擊信息包有可能先于TCP重置信息包到達(dá)服務(wù)器，這時(shí)系統(tǒng)才做出響應(yīng)已經(jīng)來(lái)不及了。重置防火墻規(guī)則也存在相同問(wèn)題，處于被動(dòng)工作狀態(tài)的IDS能檢測(cè)到惡意代碼，并向防火墻發(fā)出請(qǐng)求阻截會(huì)話(huà)，但請(qǐng)求有可能到達(dá)太遲而無(wú)法防止攻擊發(fā)生。

IPS檢測(cè)機(jī)制

事實(shí)上，IDS和IPS中真正有價(jià)值的部分是檢測(cè)引擎。IPS存在的最大隱患是有可能引發(fā)誤操作，這種“主動(dòng)性”誤操作會(huì)阻塞合法的網(wǎng)絡(luò)事件，造成數(shù)據(jù)丟失，最終影響到商務(wù)操作和客戶(hù)信任度。

IDS和IPS對(duì)攻擊的響應(yīng)過(guò)程

為避免發(fā)生這種情況，一些IDS和IPS開(kāi)發(fā)商在產(chǎn)品中采用了多檢測(cè)方法，最大限度地正確判斷已知和未知攻擊。例如，Symantec的ManHunt IDS最初僅依賴(lài)于異常協(xié)議分析，后來(lái)升級(jí)版本可讓網(wǎng)管寫(xiě)入Snort代碼(Sourcefire公司開(kāi)發(fā)的一種基于規(guī)則的開(kāi)放源碼語(yǔ)言環(huán)境，用于書(shū)寫(xiě)檢測(cè)信號(hào))增強(qiáng)異常檢測(cè)功能。Cisco最近也對(duì)其IDS軟件進(jìn)行了升級(jí)，在信號(hào)檢測(cè)系統(tǒng)中增加了協(xié)議和通信異常分析功能。NetScreen的硬件工具則包含了8類(lèi)檢測(cè)手段，包括狀態(tài)信號(hào)、協(xié)議和通信異常狀況以及后門(mén)檢測(cè)。

值得一提的是，Snort系統(tǒng)采用的是基于規(guī)則的開(kāi)放源代碼方案，因而能方便識(shí)別惡意攻擊信號(hào)。Snort信號(hào)系統(tǒng)為IDS運(yùn)行環(huán)境提供了很大的靈活性，用戶(hù)可依據(jù)自身網(wǎng)絡(luò)運(yùn)行情況書(shū)寫(xiě)IDS規(guī)則集，而不是采用通用檢測(cè)方法。一些商業(yè)IDS信號(hào)系統(tǒng)還具備二進(jìn)制代碼檢測(cè)功能。

減少主動(dòng)性誤操作

集成多類(lèi)檢測(cè)方法能增加IDS和IPS檢測(cè)攻擊的種類(lèi)和數(shù)量，但仍無(wú)法避免誤操作。主動(dòng)性誤操作是IPS應(yīng)解決的首要問(wèn)題，因?yàn)閷?duì)合法通信的阻截會(huì)造成很多負(fù)面影響。

解決主動(dòng)性誤操作的有效方法是進(jìn)行通信關(guān)聯(lián)分析，也就是讓IPS全方位識(shí)別網(wǎng)絡(luò)環(huán)境，減少錯(cuò)誤告警。這里的關(guān)鍵在于要將瑣碎的防火墻日志記錄、IDS數(shù)據(jù)、應(yīng)用日志記錄以及系統(tǒng)弱點(diǎn)評(píng)估狀況收集到一起，合理推斷出將發(fā)生哪些情況，并做出合適響應(yīng)。

對(duì)網(wǎng)絡(luò)運(yùn)行環(huán)境的綜合細(xì)致評(píng)估對(duì)發(fā)現(xiàn)致命攻擊和查找潛在漏洞具有實(shí)質(zhì)意義。目前，已有IDS開(kāi)發(fā)商采用該項(xiàng)技術(shù)，它能幫助網(wǎng)絡(luò)主管收集通信關(guān)聯(lián)信息，從而提高IDS效率。Cisco聲稱(chēng)其開(kāi)發(fā)的Cisco威脅響應(yīng)(CTR)技術(shù)能消除高達(dá)95%的錯(cuò)誤告警。

CTR由Cisco旗下的Psionic軟件公司開(kāi)發(fā)。CTR安裝于專(zhuān)用服務(wù)器中，該服務(wù)器位于IDS傳感器與IDS管理控制平臺(tái)之間，當(dāng)傳感器發(fā)出告警時(shí)，CTR便掃描目標(biāo)主機(jī)，以確定觸發(fā)告警的攻擊是否會(huì)給系統(tǒng)帶來(lái)不利影響。CTR能進(jìn)行快速簡(jiǎn)單分析，如搜索開(kāi)放端口、精確識(shí)別操作系統(tǒng)，或查找活動(dòng)通信。更進(jìn)一步的是，它還能掃描注冊(cè)設(shè)置、事件日志記錄和系統(tǒng)補(bǔ)丁工作狀況，以確定目標(biāo)主機(jī)是否易受攻擊。如果CTR檢測(cè)到主機(jī)易受攻擊或攻擊發(fā)生，便提升事件告警級(jí)別，向控制臺(tái)發(fā)出最高優(yōu)先級(jí)處理請(qǐng)求。

系統(tǒng)保護(hù)更受關(guān)注

如今很多IDS開(kāi)發(fā)商更多地關(guān)注的是系統(tǒng)保護(hù)而不僅僅是檢測(cè)功能。ISS認(rèn)為，系統(tǒng)保護(hù)應(yīng)同時(shí)包含預(yù)防和檢測(cè)技術(shù)。ISS的RealSecure IDS基于網(wǎng)絡(luò)和主機(jī)實(shí)現(xiàn)，能在線阻截各類(lèi)攻擊。ISS的RealSecure Guard是一類(lèi)軟件IPS。RealSecure Guard通過(guò)異常協(xié)議分析檢測(cè)攻擊，并能在攻擊到達(dá)目標(biāo)主機(jī)前實(shí)時(shí)將其阻截。

側(cè)重于防火墻開(kāi)發(fā)的NetScreen也在朝這一領(lǐng)域發(fā)展。NetScreen旗下OneSecure公司開(kāi)發(fā)的IPS基于專(zhuān)用ASIC實(shí)現(xiàn)。NetScreen-IPD 100具備快速以太接口，最高吞吐率為200Mbps;NetScreen-IPD 500則具備千兆接口，峰值吞吐率達(dá)500Mbps。

IDS/IPS選擇應(yīng)用

是采用IDS還是IPS，需要實(shí)地考慮應(yīng)用環(huán)境。IPS比較適合于阻止大范圍的、針對(duì)性不是很強(qiáng)的攻擊，但對(duì)單獨(dú)目標(biāo)的攻擊阻截有可能失效，自動(dòng)預(yù)防系統(tǒng)也無(wú)法阻止專(zhuān)門(mén)的惡意攻擊者的操作。在金融應(yīng)用系統(tǒng)中，用戶(hù)除關(guān)心遭惡意入侵外，更擔(dān)心誤操作引發(fā)災(zāi)難性后果。例如，用戶(hù)擔(dān)心數(shù)據(jù)庫(kù)中的信用卡賬號(hào)丟失，最好的辦法是加密存儲(chǔ)。可見(jiàn)這類(lèi)網(wǎng)絡(luò)系統(tǒng)運(yùn)用IDS比較適合。

潛在客戶(hù)需要對(duì)配置IPS存在的風(fēng)險(xiǎn)和優(yōu)勢(shì)進(jìn)行評(píng)估，也就是說(shuō)是重在阻止攻擊還是防范失誤操作。目前來(lái)說(shuō)，IPS還不具備足夠智能識(shí)別所有對(duì)數(shù)據(jù)庫(kù)應(yīng)用的攻擊，一般能做的也就是檢測(cè)緩沖區(qū)溢出。另外，IPS與防火墻配置息息相關(guān)。如果沒(méi)有安裝防火墻，則沒(méi)有必要配置這類(lèi)在線工具;如果熟知網(wǎng)段中的協(xié)議運(yùn)用并易于統(tǒng)計(jì)分析，則可采用這類(lèi)技術(shù)。

一些機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全級(jí)別要求很高，如信用機(jī)構(gòu)，這就需要混合的IDS/IPS解決方案，如IntruVert公司開(kāi)發(fā)的IntruShield就兼具IDS/IPS功能，能自動(dòng)監(jiān)控通信并在線阻截攻擊。

發(fā)展前景

IDS市場(chǎng)將不斷發(fā)展，產(chǎn)品功能將不僅限于檢測(cè)，IDS朝具備防護(hù)功能方向發(fā)展已是大勢(shì)所趨。一項(xiàng)客戶(hù)調(diào)查表明，IDS具備阻截攻擊功能排在其功能需求的首位。Infonetics預(yù)計(jì)，IDS市場(chǎng)在未來(lái)幾年中將呈爆炸性增長(zhǎng)，到2006年創(chuàng)造的收益將達(dá)16億美元。

IPS產(chǎn)品已經(jīng)涌現(xiàn)，其發(fā)展前景取決于攻擊阻截功能的完善。由于有著廣泛的應(yīng)用根基，傳統(tǒng)的IDS并不會(huì)就此消失。一種情況是，客戶(hù)不需要通信阻截功能，而只監(jiān)視通信狀況;有些需要為預(yù)防系統(tǒng)增加智能處理功能，而有的客戶(hù)則習(xí)慣于人工處理。

Gartner將IPS視為下一代IDS，而且認(rèn)為很有可能成為下一代防火墻。

【編輯推薦】

1. 專(zhuān)門(mén)攻擊路由器和DSL接入設(shè)備的僵尸網(wǎng)絡(luò)出現(xiàn)
2. 該如何攻克影響IDS應(yīng)用的誤報(bào)和漏報(bào)?
3. 簡(jiǎn)介L(zhǎng)inux中的IDS入侵檢測(cè)工具