走近IDS技術(shù)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著安全技術(shù)的發(fā)展，制約入侵檢測(cè)發(fā)展的瓶頸在不斷消失，同時(shí)，隨著越來(lái)越多高性價(jià)比IDS方案的出現(xiàn)，企業(yè)對(duì)其關(guān)注度也在升溫，為此用戶有必要對(duì)IDS的技術(shù)細(xì)節(jié)作一了解。

走進(jìn)入侵檢測(cè)系統(tǒng)

目前提到的入侵檢測(cè)系統(tǒng)（IDS，Intrusion Detect System），主要分為兩種類型，一種是主機(jī)入侵檢測(cè)系統(tǒng)（HIDS），另一種是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）。顧名思義，兩種IDS的策略重點(diǎn)并不相同。

事實(shí)上，當(dāng)前企業(yè)所關(guān)注的更多集中在網(wǎng)關(guān)控制上，因此網(wǎng)絡(luò)型IDS更受青睞。不過(guò)根據(jù)NSS評(píng)測(cè)報(bào)告中所指出的，主機(jī)型IDS并非一無(wú)是處。主機(jī)入侵檢測(cè)系統(tǒng)是安裝到受保護(hù)主機(jī)上，以守護(hù)進(jìn)程方式運(yùn)行，并對(duì)系統(tǒng)的操作，網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行監(jiān)控。因此對(duì)于那些服務(wù)器數(shù)量有限，且預(yù)算比較緊張的中小企業(yè)而言，其仍舊有著潛在的市場(chǎng)份額。

另外，無(wú)論企業(yè)采用哪種IDS系統(tǒng)，其系統(tǒng)本身都是采用旁路監(jiān)聽(tīng)的方式，也就是在不干擾正常流量傳輸?shù)那闆r下，對(duì)所有過(guò)往數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng)和分析，并判斷是否有攻擊行為。

記者此前對(duì)旁路設(shè)備并不感興趣，不過(guò)通過(guò)對(duì)各家IDS廠商的采訪發(fā)現(xiàn)，旁路設(shè)備的最大好處有三點(diǎn)：第一，不會(huì)改變企業(yè)現(xiàn)有網(wǎng)絡(luò)拓?fù)?，保證了部署的簡(jiǎn)單高效；第二，旁路設(shè)備對(duì)于性能的要求并不苛刻，保證了性價(jià)比；第三，旁路設(shè)備以預(yù)警報(bào)告代替發(fā)起行動(dòng)，可以減少誤報(bào)帶來(lái)的損失，適合那些對(duì)信息系統(tǒng)實(shí)時(shí)能力要求不高的企業(yè)使用。

另外，關(guān)于防火墻與IDS的集成問(wèn)題，有必要解釋一下。目前很多安全廠商的防火墻產(chǎn)品都嵌入了入侵檢測(cè)模塊，但是對(duì)于一些高安全需求的企業(yè)，依然需要專門(mén)獨(dú)立的入侵檢測(cè)產(chǎn)品，并通過(guò)與防火墻的聯(lián)動(dòng)部署，實(shí)施對(duì)網(wǎng)絡(luò)安全的整體監(jiān)控和有效防范。

這是因?yàn)椋阑饓Φ牟渴鹗谴?lián)在受保護(hù)主機(jī)和外部網(wǎng)絡(luò)中間，這就導(dǎo)致了其對(duì)效率的要求和對(duì)數(shù)據(jù)轉(zhuǎn)發(fā)處理能力的要求都格外苛刻。在這種情況下，防火墻如果有太多資源消耗在入侵檢測(cè)的記錄和分析上，顯然對(duì)性能有較大影響。而這也是有單獨(dú)入侵檢測(cè)產(chǎn)品存在的主要原因。

關(guān)注入侵檢測(cè)技術(shù)

IDS系統(tǒng)發(fā)展至今，在主要技術(shù)上已經(jīng)趨于成熟，特別是一些國(guó)產(chǎn)安全廠商的崛起，為IDS的技術(shù)普及貢獻(xiàn)了力量。目前對(duì)IDS發(fā)展有較大影響的技術(shù)，主要有六大類。

第一，安全聯(lián)動(dòng)。

要知道IDS本身僅僅是檢測(cè)，而不是防護(hù)。但是一些優(yōu)秀的IDS可以通過(guò)安全聯(lián)動(dòng)技術(shù)，實(shí)施對(duì)攻擊包的阻斷。這里講的安全聯(lián)動(dòng)，主要是與防火墻配合，也就是當(dāng)IDS發(fā)現(xiàn)有入侵行為時(shí)，能夠自動(dòng)對(duì)防火墻發(fā)出指令，指揮防火墻實(shí)施某種防護(hù)策略，阻斷攻擊。

企業(yè)用戶需要注意的是，防火墻的防護(hù)策略通常是人工一次性定義的，由于網(wǎng)絡(luò)入侵的類型和方式更新很快，而防火墻產(chǎn)品本身卻沒(méi)有能力跟隨攻擊、防御技術(shù)更新，因此通過(guò)IDS動(dòng)態(tài)調(diào)整防護(hù)策略就是目前最有效的防護(hù)手段了。

第二，特征匹配。

目前大部分IDS對(duì)入侵行為的識(shí)別是通過(guò)比較攻擊代碼中的特征字符串完成的。特征匹配是一種比較容易實(shí)現(xiàn)的技術(shù)，不過(guò)其性能一直受到質(zhì)疑。畢竟IDS在大量追蹤網(wǎng)絡(luò)數(shù)據(jù)的時(shí)候，由于需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行特征匹配，因此性能的損失較高，而這也是目前真正千兆IDS（包括IPS）較少的原因。

另外，特征匹配對(duì)于誤報(bào)和漏報(bào)的問(wèn)題也一直存在，畢竟?fàn)顟B(tài)簽名的準(zhǔn)確度與數(shù)據(jù)包的特征都有匹配上的難度，特別是對(duì)于某些字符串誤報(bào)也較高。而利用最近愈演愈烈的碎片重組技術(shù)，很多攻擊包都可以規(guī)避特征匹配的監(jiān)測(cè)方式。不難看出，安全廠商如果希望達(dá)到較高的安全性，必須將特征匹配與其他技術(shù)（如深度包檢測(cè)等）進(jìn)行結(jié)合，并及時(shí)更新?tīng)顟B(tài)簽名庫(kù)（有時(shí)候，這會(huì)涉及到全球范圍內(nèi)的跟蹤）。

第三，深度包檢測(cè)。

深度包檢測(cè)是最近逐漸流行起來(lái)的安全技術(shù)，它將網(wǎng)絡(luò)流中的數(shù)據(jù)包解析成為應(yīng)用協(xié)議上的數(shù)據(jù)，然后再對(duì)其進(jìn)行特征匹配。這樣做的好處明顯，可以大大降低誤報(bào)、漏報(bào)率。比如對(duì)于一些發(fā)包工具的偽攻擊（IDS Flood），深度包檢測(cè)技術(shù)可以很好地規(guī)避其流量沖擊和報(bào)警沖擊。而且這種技術(shù)可以減少大量的匹配工作，因?yàn)閷?duì)于一些長(zhǎng)度很長(zhǎng)的攻擊特征，并不需要逐個(gè)匹配，而僅僅通過(guò)協(xié)議前端解碼就可以實(shí)現(xiàn)判斷。

第四，碎片重組。

近年來(lái)攻擊包通過(guò)碎片穿透技術(shù)，已經(jīng)對(duì)網(wǎng)關(guān)安全設(shè)備造成了很大影響。因?yàn)楣舭梢酝ㄟ^(guò)該技術(shù)，將正常數(shù)據(jù)包切碎成非常零散的小包，而攻擊特征可以大量散布在這些小包中，到目的地址后再進(jìn)行重組。

碎片技術(shù)本身就是為了躲避防火墻和IDS的檢查而誕生的，為此，碎片重組技術(shù)應(yīng)運(yùn)而生。碎片重組主要是在檢測(cè)端通過(guò)程序?qū)⑺槠瑪?shù)據(jù)包根據(jù)包頭的標(biāo)記進(jìn)行重組，然后再用重組后的數(shù)據(jù)包進(jìn)行特征匹配。雖然大部分IDS廠家都支持該技術(shù)，但是也要認(rèn)清，這對(duì)于IDS性能的消耗相當(dāng)巨大。通常碎片重組狀態(tài)下的數(shù)據(jù)包的分析能力僅僅是非重組狀態(tài)下的幾分之一。因此，現(xiàn)在也有利用碎片技術(shù)進(jìn)行DoS攻擊的案例。

據(jù)悉，一些高端IDS、IPS廠商對(duì)于此技術(shù)已經(jīng)開(kāi)展了研究，不過(guò)這確實(shí)也是制約防入侵設(shè)備性能提高的主要因素之一。

第五，信息挖掘。

以前困擾企業(yè)選擇IDS的主要原因，就是IDS面對(duì)威脅可能產(chǎn)生大量的報(bào)警（不管有沒(méi)有成功入侵），但是缺乏與其他相關(guān)信息的聯(lián)動(dòng)與分析，特別是缺乏總結(jié)性的報(bào)告：比如攻擊意圖、路徑、潛在影響、以及預(yù)期。其實(shí)早先就有安全廠商提出過(guò)，利用信息挖掘技術(shù)實(shí)現(xiàn)類似的功能。

但是，信息挖掘與傳統(tǒng)的數(shù)據(jù)挖掘有一定區(qū)別，它需要構(gòu)造一個(gè)優(yōu)秀的數(shù)學(xué)模型，能夠從大量的統(tǒng)計(jì)數(shù)據(jù)中進(jìn)行有效的二次歸納和整理，并能最終提交有價(jià)值的報(bào)告（比如網(wǎng)絡(luò)環(huán)境、節(jié)點(diǎn)的脆弱性與受攻擊性評(píng)估），這不僅需要安全廠商的技術(shù)積累，也需要更復(fù)雜的數(shù)據(jù)庫(kù)支持。

第六，行為分析。

行為分析是根據(jù)操作行為以及所取得的行為結(jié)果，用IDS判斷是否存在入侵。一些高端IDS產(chǎn)品已經(jīng)具備了少量的行為分析技術(shù)，但是并不能獨(dú)立地依靠該技術(shù)進(jìn)行判斷。據(jù)悉，一些高端IPS廠商已經(jīng)將行為分析列為發(fā)展技術(shù)之一。不過(guò)兩者共同的難點(diǎn)都在于，網(wǎng)關(guān)設(shè)備大部分局限于流量和數(shù)據(jù)的分析，對(duì)于服務(wù)器上的信息獲取不足，因此該技術(shù)還會(huì)有很大的發(fā)展?jié)摿Α?(cnw)