至今為止，Martin Roesch仍然是所有針對Snort（Snort是Sourcefire公司的網(wǎng)絡(luò)檢測系統(tǒng)的核心）的改進的背后的主導(dǎo)力量。雖然在商業(yè)壓力下每家公司的技術(shù)改進都有可能發(fā)生變化，但是Snort的技術(shù)改進仍由Roesch一手掌控。1998年Roesch創(chuàng)立了開源的入侵檢測系統(tǒng)Snort，2001年他開始與Sourcefire公司合作，售賣使用Snort引擎的應(yīng)用程序和軟件。在SearchSecurity.com的一次訪問中，Roesch談到，Snort的改進主要是他的主意，再綜合用戶、其他的入侵檢測和防御引擎的開發(fā)人員和開源社區(qū)的建議完善而成。Sourcefire對它的系統(tǒng)做了許多改進，比如增加了對on premise和虛擬云的支持，還有許多用于提高速度和擴展保護能力方面的技術(shù)改進。在這次訪問中，Roesch談到了Snort引擎里最重要的部分下一步的變化以及與漏洞管理服務(wù)供應(yīng)商Qualys的更進一步的合作將如何更深入地分析網(wǎng)絡(luò)檢測系統(tǒng)存在的威脅。

您覺得未來的入侵防御系統(tǒng)是怎樣的呢？我了解到Snort現(xiàn)在不只在做入侵防御，是這樣嗎？

Martin Roesch：是的。從2004年開始，Snort被用作入侵檢測系統(tǒng)/入侵防御系統(tǒng)。入侵檢測系統(tǒng)和入侵防御系統(tǒng)的區(qū)別不只是功能，更多的是配置。我們的引擎在兩種系統(tǒng)下都表現(xiàn)的很好，并且采用同樣的代碼。我們也添加了其他的功能，如用于內(nèi)容檢測的DLP技術(shù)。我們一直朝著用戶希望的方向發(fā)展。我們與開源社區(qū)合作，與我們的用戶合作，傾聽他們的需求，按照需求將系統(tǒng)完善。我們不斷地增加新的功能，我想人人都能從中受益。

在去年的一次訪問中您提到，您想在平臺的頂層搭建網(wǎng)絡(luò)安全應(yīng)用程序。您當時指的是SnortSP（Snort 安全平臺）。請問現(xiàn)在這個項目進行到什么程度了呢？

Roesch：我們正在重新編寫SnortSP的代碼。從早期的性能測試我們發(fā)現(xiàn)了一些我們不希望看到的性能，于是我們重新編寫了SnortSP的代碼，希望得到一些我們樂意見到的性能。 SnortSP這個項目就是要為網(wǎng)絡(luò)流量分析應(yīng)用程序建立一個共同的平臺，這樣它們可以在同一個平臺、同一個存儲空間合作，共享他們所探測到的和需要防御的實時環(huán)境信息。不管是增加DLP、信譽過濾和客戶端檢測這樣的功能，還是其他面向網(wǎng)絡(luò)的程序，都與深層封包檢查有關(guān)。理論上來說，這和運行一個Web防火墻程序或者一個漏洞掃瞄程序是一樣的。于是SnortSP的基本想法就是把它變?yōu)楝F(xiàn)實。

如果有一個組織想投資Sourcefire 3D和Snort，是不是意味著他們同時也需要投資另外一個人來管理它呢？

Roesch：是的。我想現(xiàn)在看來這不是什么令人驚訝的事。我們專注于網(wǎng)絡(luò)入侵檢測和防御領(lǐng)域16年。當然需要至少一個人時不時的照顧它。我們一直在努力減少與技術(shù)無關(guān)的工作量。調(diào)整問題和誤報問題的根本就是要求用戶不斷更新他們的防御系統(tǒng)，實現(xiàn)和網(wǎng)絡(luò)環(huán)境的實時同步。我們繪制了一幅綜合的網(wǎng)絡(luò)環(huán)境地圖，然后利用這個地圖我們可以調(diào)整檢測器，所以Sourcefire售賣的檢測器可以實現(xiàn)自動調(diào)節(jié)。利用它我們還可以實現(xiàn)數(shù)據(jù)自動分析功能。當我們從Snort獲知一個事件時，我們會分析數(shù)據(jù)，然后明確目標。我們會及時地對這個事件在用戶的系統(tǒng)環(huán)境的重要程度進行評級和優(yōu)先級排序，這樣就不需要人們自己進行調(diào)節(jié)。然后我們進行影響評估，將對系統(tǒng)環(huán)境重要的數(shù)據(jù)保存下來。

您談到在一個全新的Snort檢測引擎上工作。有什么不一樣的，為什么Snort需要一個新的檢測引擎？

Roesch：這個有點難懂，但Snort正在使用的檢測引擎模型是用來緩沖交換類型和配套網(wǎng)絡(luò)協(xié)議流的本地化的，并且使用我們在數(shù)據(jù)流中發(fā)現(xiàn)的錨點來試圖探測攻擊。理想的模型是一個分層協(xié)議模型，它可以減少緩沖的消耗并且基本上不涉及協(xié)議分解，同時又不再利用我們的緩沖和我們已經(jīng)使用了10年的配對系統(tǒng)。這將大大減少存取記憶體。毫無疑問，我們相信利用這個新的引擎模型，將來的檢測能夠更迅速、更深入。

Snort的改變中有多少來至于Snort社區(qū)？又有多少是出于商業(yè)驅(qū)動？

Roesch：其實都不是。這些都是為了推動新的檢測引擎設(shè)計，主要是我認為在Snort工作的10或12年里，對其發(fā)展我有點自己的想法，就是用“如果你有機會重來，你會有什么不同”這種方法來解決問題。它的設(shè)計反映出來的是我這方面的思想比任何其他方面都要成熟。社區(qū)從來沒有真正說過什么檢測模型可以使用，他們從來就沒有在結(jié)構(gòu)之類的事情發(fā)出過真正的聲音，如流水線裝配等等。這真的跟陷進了雜草中一樣，大多數(shù)人都在與數(shù)據(jù)庫對話或者在現(xiàn)有的框架工程中獲得一個檢測插件這個層次上進行操作。Snort 3概念和SnortSP真的融入了我的很多想法，以及很多我給社區(qū)中人分享的想法，包括開發(fā)入侵檢測/預(yù)防引擎行業(yè)和開源社區(qū)的其他人。

Sourcefire和QualysGuard在一年前宣布整合，今年又添加了一個連接件，使整合變得更加容易。如何提高Sourcefire的入侵檢測/預(yù)防引擎和安全漏洞數(shù)據(jù)結(jié)合在一起后的能力？

Roesch：我們的RNA技術(shù)發(fā)現(xiàn)了網(wǎng)絡(luò)并且繪制了用戶離開后的網(wǎng)絡(luò)地圖。其副產(chǎn)品之一是它建立了一個善于觀察的安全漏洞地圖。我們使用這個安全漏洞地圖自動優(yōu)化Snort引擎和影響評估，著眼于未來的實時事件流進我們的防御中心，并以此為事件提供實時的優(yōu)先次序。和QualysGuard的整合使我們能夠直接將Qualys發(fā)現(xiàn)的安全漏洞數(shù)據(jù)導(dǎo)入到地圖中，使我們對漏洞有一個正確的識別，而不僅僅是一個漏洞痕跡。這使我們能更準確的優(yōu)化檢測引擎并改善影響評估能力。  

【編輯推薦】

1. Snort入侵檢測系統(tǒng)之我見
2. snort入侵檢測安裝及操作方法