從檢測(cè)到預(yù)防IDS的演化與革命

字號(hào):

Gartner在去年8月的一份研究報(bào)告中認(rèn)為,如今的入侵檢測(cè)系統(tǒng)(IDS)已經(jīng)難以適應(yīng)客戶(hù)的需要。IDS不能提供附加層面的安全,相反增加了企業(yè)安全操作的復(fù)雜性。入侵檢測(cè)系統(tǒng)朝入侵預(yù)防系統(tǒng)(IPS)方向發(fā)展已成必然。實(shí)際上,可將IDS與IPS視為兩類(lèi)功能互斥的分離技術(shù):IPS注重接入控制,而IDS則進(jìn)行網(wǎng)絡(luò)監(jiān)控;IPS基于策略實(shí)現(xiàn),IDS則只能進(jìn)行審核跟蹤;IDS的職責(zé)不是保證網(wǎng)絡(luò)安全,而是告知網(wǎng)絡(luò)安全程度幾何。
    IPS不僅僅是IDS的演化,它具備一定程度的智能處理功能,能實(shí)時(shí)阻截攻擊。傳統(tǒng)的IDS只能被動(dòng)監(jiān)視通信,這是通過(guò)跟蹤交換機(jī)端口的信息包來(lái)實(shí)現(xiàn)的;而IPS則能實(shí)現(xiàn)在線監(jiān)控,主動(dòng)阻截和轉(zhuǎn)發(fā)信息包。通過(guò)在線配置,IPS能基于策略設(shè)置舍棄信息包或中止連接;傳統(tǒng)的IDS響應(yīng)機(jī)制有限,如重設(shè)TCP連接或請(qǐng)求變更防火墻規(guī)則都存在諸多不足。
    IPS工作原理
    真正的入侵預(yù)防與傳統(tǒng)的入侵檢測(cè)有兩點(diǎn)關(guān)鍵區(qū)別:自動(dòng)阻截和在線運(yùn)行,兩者缺一不可。預(yù)防工具(軟/硬件方案)必須設(shè)置相關(guān)策略,以對(duì)攻擊自動(dòng)作出響應(yīng),而不僅僅是在惡意通信進(jìn)入時(shí)向網(wǎng)絡(luò)主管發(fā)出告警。要實(shí)現(xiàn)自動(dòng)響應(yīng),系統(tǒng)就必須在線運(yùn)行。
    當(dāng)黑客試圖與目標(biāo)服務(wù)器建立會(huì)話時(shí),所有數(shù)據(jù)都會(huì)經(jīng)過(guò)IPS傳感器,傳感器位于活動(dòng)數(shù)據(jù)路徑中。傳感器檢測(cè)數(shù)據(jù)流中的惡意代碼,核對(duì)策略,在未轉(zhuǎn)發(fā)到服務(wù)器之前將信息包或數(shù)據(jù)流阻截。由于是在線操作,因而能保證處理方法適當(dāng)而且可預(yù)知。
    與此類(lèi)比,通常的IDS響應(yīng)機(jī)制(如TCP重置)則大不相同。傳統(tǒng)的IDS能檢測(cè)到信息流中的惡意代碼,但由于是被動(dòng)處理通信,本身不能對(duì)數(shù)據(jù)流作任何處理。必須在數(shù)據(jù)流中嵌入TCP包,以重置目標(biāo)服務(wù)器中的會(huì)話。然而,整個(gè)攻擊信息包有可能先于TCP重置信息包到達(dá)服務(wù)器,這時(shí)系統(tǒng)才做出響應(yīng)已經(jīng)來(lái)不及了。重置防火墻規(guī)則也存在相同問(wèn)題,處于被動(dòng)工作狀態(tài)的IDS能檢測(cè)到惡意代碼,并向防火墻發(fā)出請(qǐng)求阻截會(huì)話,但請(qǐng)求有可能到達(dá)太遲而無(wú)法防止攻擊發(fā)生。
    IPS檢測(cè)機(jī)制
    事實(shí)上,IDS和IPS中真正有價(jià)值的部分是檢測(cè)引擎。IPS存在的隱患是有可能引發(fā)誤操作,這種“主動(dòng)性”誤操作會(huì)阻塞合法的網(wǎng)絡(luò)事件,造成數(shù)據(jù)丟失,最終影響到商務(wù)操作和客戶(hù)信任度?! ?BR>    IDS和IPS對(duì)攻擊的響應(yīng)過(guò)程
    為避免發(fā)生這種情況,一些IDS和IPS開(kāi)發(fā)商在產(chǎn)品中采用了多檢測(cè)方法,限度地正確判斷已知和未知攻擊。例如,Symantec的ManHunt IDS最初僅依賴(lài)于異常協(xié)議分析,后來(lái)升級(jí)版本可讓網(wǎng)管寫(xiě)入Snort代碼(Sourcefire公司開(kāi)發(fā)的一種基于規(guī)則的開(kāi)放源碼語(yǔ)言環(huán)境,用于書(shū)寫(xiě)檢測(cè)信號(hào))增強(qiáng)異常檢測(cè)功能。Cisco最近也對(duì)其IDS軟件進(jìn)行了升級(jí),在信號(hào)檢測(cè)系統(tǒng)中增加了協(xié)議和通信異常分析功能。NetScreen的硬件工具則包含了8類(lèi)檢測(cè)手段,包括狀態(tài)信號(hào)、協(xié)議和通信異常狀況以及后門(mén)檢測(cè)。
    值得一提的是,Snort系統(tǒng)采用的是基于規(guī)則的開(kāi)放源代碼方案,因而能方便識(shí)別惡意攻擊信號(hào)。Snort信號(hào)系統(tǒng)為IDS運(yùn)行環(huán)境提供了很大的靈活性,用戶(hù)可依據(jù)自身網(wǎng)絡(luò)運(yùn)行情況書(shū)寫(xiě)IDS規(guī)則集,而不是采用通用檢測(cè)方法。一些商業(yè)IDS信號(hào)系統(tǒng)還具備二進(jìn)制代碼檢測(cè)功能。