2003年8月,Gartner公司副總裁RichardStiennon發表的一份名為《入侵檢測已壽終正寢,入侵防御將萬古長青》的報告,提出入侵檢測系統IntrusionDetectionSystem(IDS)已經難以適應客戶的需要。IDS不能提供附加層面的安全,相反增加了企業安全操作的復雜性。入侵檢測系統朝入侵防御系統IntrusionPreventionSystem(IPS)方向發展已成必然。
一石激起千層浪。剛剛從IDS脫穎而出的IPS,一時間竟然成了IDS的天敵。兩年多來,盡管事實上IDS非但沒有退出安全產品陣列,反而不斷更新、依然占領著繼防火墻之后第二大的安全產品市場份額,但是IDS行將就木的宣傳不僅引發了信息安全體系建設上的爭執與混亂,而且給客戶的信息安全產品選型造成了不應有的壓力與彷徨。
1.IDS的功能與缺陷
IDS本質上是一種監聽系統,它依照一定的安全策略,對網絡與系統的運行狀況進行監測,盡可能發現、報告、記錄各種攻擊企圖、攻擊行為或者攻擊結果,以保證信息系統的機密性、完整性和可用性。IDS可分為主機型HIDS和網絡型NIDS,目前主流IDS產品均采用兩者有機結合的混合型架構。
1.1IDS的傳統優勢
NIDS使用原始網絡信息作為數據源,利用運行在隨機模式下的網絡適配器實時監聽和分析通過網絡的所有通信,收集相關信息并記入日志;而HIDS則通常安裝在被檢測的主機之上,與該主機的網絡實時連接,負責對系統審計日志進行智能分析和判斷。若發現非法入侵或者違反統計規律的行為異常,IDS會立即發出警報,由系統管理員進行決策處理。IDS的傳統優勢在于:
整體部署,實時檢測,可根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型,對用戶當前的操作進行判斷,及時發現入侵事件;
對于入侵與異常不必做出阻斷通信的決定,能夠從容提供大量的網絡活動數據,有利于在事后入侵分析中評估系統關鍵資源和數據文件的完整性;
獨立于所檢測的網絡,黑客難于消除入侵證據,便于入侵追蹤與網絡犯罪取證;
同一網段或者一臺主機上一般只需部署一個監測點就近監測,速度快,擁有成本低。
1.2IDS的明顯缺陷
IDS最明顯的缺陷有:
被動防御的監聽方式限制阻斷。目前IDS只能靠發阻斷數據包來阻斷建立在TCP基礎上的攻擊,對于建立在UDP基礎之上的入侵則無能為力;
基于特征的入侵檢測技術落伍。由于缺少信息管理,難于抵擋Canvas和MetaSploit等欺騙工具的攻擊和滲透;
誤報與漏報率高于客戶預期。有些IDS產品每天會產生大量的異常報告,其中絕大多數屬于非攻擊行為,需要具有相當專業水準的網絡安全管理員進行甄別,有時甚至會給客戶造成難于忍受的負擔;
對于檢測主機的依賴性。由于HIDS安裝于檢測主機之上,不僅消耗檢測對象的部分資源,影響到被檢測主機的效率,而且還必須針對不同的主機及其系統環境設計和安裝各自的HIDS。
2.IPS的優勢與弱點
提到IPS,人們常常會談到一個公式:IPS=Firewall+IDS;也有文獻認為,將IDS的傳感器置于網絡通信線路之內(In-line),讓所有網絡通信量必須通過它,就得到了一臺IPS。這兩種看法均有偏頗之處,但是卻殊途同歸地道出了一個事實:IPS來自IDS。
2.1IPS的原理與分類
青出于藍而勝于藍。IPS串聯于通信線路之內,是既具有IDS的檢測功能,又能夠實時中止網絡入侵行為的新型安全技術設備。IPS由檢測和防御兩大系統組成,具備從網絡到主機的防御措施與預先設定的響應設置。圖1是北京基格網絡技術有限公司研制的基格領袖IPS原理框圖,在同類產品中頗具代表性。
圖1.入侵防御系統IPS的原理框圖
目前,從保護對象上可將IPS分為三類:
基于主機的入侵防護(HIPS),用于保護服務器和主機系統不受不法分子的攻擊和誤操作的破壞;
基于網絡的入侵防護(NIPS),通過檢測流經的網絡流量,提供對網絡體系的安全保護,一旦辨識出入侵行為,NIPS就阻斷該網絡會話;
應用入侵防護(AIP),是將基于主機的入侵防護擴展成為位于應用服務器之前的網絡信息安全設備。
2.2IPS不可低估的優勢
實時檢測與主動防御是IPS最為核心的設計理念,也是其區別于防火墻和IDS的立足之本。為實現這一理念,IPS在如下四個方面實現了技術突破,形成了不可低估的優勢:
在線安裝(In-Line)。IPS保留IDS實時檢測的技術與功能,但是卻采用了防火墻式的在線安裝,即直接嵌入到網絡流量中,通過一個網絡端口接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容后,再通過另外一個端口將它傳送到內部系統中;
實時阻斷(Real-timeInterdiction)。IPS具有強有力的實時阻斷功能,能夠預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成任何損失;
先進的檢測技術(AdvancedDetectionTechnology)。主要是并行處理檢測和協議重組分析。所謂并行處理檢測是指所有流經IPS的數據包,都采用并行處理方式進行過濾器匹配,實現在一個時鐘周期內,遍歷所有數據包過濾器;而協議重組分析是指所有流經IPS的數據包,必須首先經過硬件級預處理,完成數據包的重組,確定其具體應用協議。然后,根據不同應用協議的特征與攻擊方式,IPS對于重組后的包進行篩選,將可疑者送入專門的特征庫進行比對,從而提高檢測的質量和效率;
特殊規則植入功能(Build-inSpecialRule)。IPS允許植入特殊規則以阻止惡意代碼。IPS能夠輔助實施可接收應用策略(AUP),如禁止使用對等的文件共享應用和占有大量帶寬的免費互聯網電話服務工具等;
自學習與自適應能力(Self-study&Self-adaptationAbility)。為了應對黑客們處心積慮、花樣翻新的攻擊手段,IPS必須具有人工智能的自學習與自適應能力。能夠根據所在網絡的通信環境和被入侵狀況,分析和抽取新的攻擊特征以更新特征庫,自動總結經驗,定制新的安全防御策略。
2.3IPS不可忽視的弱點
有其利必有其弊。IPS的主動防御優勢也決定了它的下列弱點:
總體擁有成本(TOC)高。浩大的高可用性(HA)實時計算需求決定了IPS必須選用高端的專用計算設備,但是可觀的總體擁有成本卻使不少用戶望而卻步;
單點故障(Single-pointFault)。IPS的阻斷能力決定其必須采用網絡嵌入模式,而這就可能造成單點故障;
性能瓶頸(PerformanceBottle-neck)。即使IPS設備不出現故障,它仍然是一個潛在的網絡瓶頸,不僅會增加滯后時間,而且會降低網絡的效率,因此,絕大多數高端IPS產品供應商都通過使用自定義硬件(FPGA、網絡處理器或者ASIC芯片)來提高IPS的運行效率,以減少其對于業務網絡的負面影響;
誤報(Falsepositive)與漏報(Falsenegatives)后果同樣嚴重。在網絡流量幾乎成幾何級數增加的情況下,一旦生成警報,最基本的要求就是不讓“誤報”有可乘之機,導致合法流量也很有可能被意外攔截。如果觸發了誤報警報的流量恰好是來自上級、合作伙伴和客戶的重要信息,IPS不僅實施了一次性錯誤阻斷,而且會切斷與他們的信息通道,其結果不言而喻。
3.IPS目前不可能取代IDS
我們既要看到IPS蓬蓬勃勃的增長勢頭,又要承認IDS在入侵檢測領域的傳統優勢,肯定IPS目前尚不可能完全取代IDS的基本事實,在建立自己的網絡與信息安全體系的過程中,將兩者有機地結合起來。
3.1IPS增長勢頭強勁
根據IDC發布的案例,美國的一家財務公司,在全球有12個分支機構,原計劃使用多臺防火墻并搭配250個許可證的IDS。最終,該公司僅用了30個許可證的IPS產品就實現了全球網絡的入侵防御,而管理人員只需要3至4人,效率卻提高了6倍以上。
波士頓SappiFine報社信息安全總監JimCupps說,作為具有10,000桌面設備和數百臺基于微軟服務器的公司,現在開始使用Determina基于主機的IPS,稱之為內存防火墻的專用服務器,主要作為防御蠕蟲的附加件。基于行為的內存防火墻能夠監測緩沖區溢出攻擊,"它并不能替代打補丁,但是它讓我們不必立即打補丁,我們戰勝了'補丁恐慌’,如果漏洞確實存在,入侵防御系統能夠幫忙。"
圖2.IPS市場銷售統計與預測(2003-2008)
在受益于IPS的優勢和效益的同時,不少用戶對于其弱點和不足,也能給與理解與寬容。大名鼎鼎的網絡安區專家MathiasThurman在IDC的《計算機世界》上寫道,由于In-line安裝,IPS設備的故障可能根本上阻斷網絡通信。因此,我們需要選擇具有容錯能力的IPS,即故障時能讓通信暢通。我愿意承擔短時期自我開放的風險,也不愿面臨數以千計的雇員無法工作,損失收入和勞動生產率的局面。
正是由于IPS主動防御和易于管理的特性,致使其銷售也正在突飛猛進。圖2是來自于IDC的2003-2008年IPS銷售額的統計與預測。從此圖中可以看到,到2008年,IPS的銷售額可高達11.8億美元,比2005年增加將近一倍。
3.2為何IPS不會立即取代IDS?
應該指出,到目前為止IPS尚未強大到足以取代IDS的地步,或者它根本不必要全面取代IDS就能拓展自身的生存空間。這是因為:
IPS尚難應對較為復雜的攻擊。受檢測技術、傳輸技術、芯片技術等多方面的約束,當前IPS能夠解決的主要是準確的單包檢測和高速傳輸的融合問題,對于端口掃描、拒絕服務、蠕蟲等特征比較明確的攻擊可以做到高效的檢測和及時的阻斷,而對于更為復雜的攻擊就難于應對;
IPS的分析報告功能太弱。對于In-line的IPS來說,分析得越清晰準確,計算復雜度越高,傳輸延遲就會越大。美國網絡世界實驗室聯盟成員RodneyThayer認為,在報告、分析等相關技術完善得足以防止虛假報警之前,IPS不可能取代IDS設備。IPS可能將取代外圍防線的檢測系統,而網絡中的一些位置仍然需要檢測功能,以加強不能提供很多事件信息的IPS;。
IDS正在走向檢測與訪問控制相融合。一個不太準確的IDS,經過人工的分析可以變得準確;同樣,經過大規模的IDS部署后的集中分析,以及和其他檢測類技術的關聯分析,可以獲得更加精確的結果。根據全局性的檢測結果就可以進行全局性的響應和控制。從宏觀看檢測和訪問控制的融合是IDS的發展方向;
技術上的相互滲透和融合并非一定要在產品上取而代之。防火墻最主要的特征是通(傳輸)和斷(阻隔)兩個功能,并不對通信包的數據部分進行檢測;IDS是一個檢測和發現為特征的技術行為,其追求的是抓包不能漏,分析不能錯,盡量降低漏報率和誤報率。因此,防火墻、IDS和IPS一樣在網絡信息安全體系中可以各顯身手,相輔相成。
4.一個相輔相成的解決方案
美國網絡世界實驗室聯盟成員JoelSnyder認為,未來將是混合技術的天下,在網絡邊緣和核心層進行檢測,遍布在網絡上的傳感設備和矯正控制的通力協作將是安全應用的主流。
全局性的檢測可提高準確率,但是使檢測過程變長,局部反應速度過慢。因此,面對一些局部事件,可以相當準確地判斷出問題所在而阻斷風險不大時,IPS當之無愧地成為首選產品;而對于需要全面檢測和事后分析的情況,則非IDS莫屬。根據客戶需求將兩者統一部署,使其相輔相成,不失為一個優秀的解決方案,圖3給出了一個高可用性IPS、IDS與防火墻綜合入侵防御的解決方案。該方案的要點是:
網絡主干線的IPS和防火墻均采用雙機動態熱備份部署,確保任何單機故障均不會影響主干網的暢通;
將高端IPS串接于路由器與防火墻之間,利用IPS能夠快速終結DoS與DDoS、未知的蠕蟲、異常應用程序流量攻擊所造成的網絡斷線或阻塞的性能特長,實現網絡架構防護機制,保護防火墻和核心交換機等網絡設備免遭入侵和攻擊;
信息中心和業務服務器的子交換機前分別部署一臺中級IPS,可以有效地阻斷來自內部和外部對于公共訪問和關鍵業務服務器群的攻擊;
在各子網的分交換機端口部署分布式IDS的網絡引擎,對各子網的通信進行實時監聽,發現攻擊或者誤操作立即報告其中心控制臺,向系統管理員發出警報,并且做好時間記錄和報告,以便進行事件分析。
結束語:
主動防御與實時阻斷是IPS的立足之本,但是由于受到技術與成本的局限,IPS尚無法完全替代IDS全面的檢測與報告功能。IPS與IDS相比較而存在、相斗爭而發展的局面仍然會繼續下去。作為信息安全工作者或者用戶,沒有必要去爭論兩者誰會戰勝誰,而應該研究如何發揮雙方的特長,使其相輔相成,共同建立現實的信息安全體系。
京公網安備 11010502049343號