走近IDS技術(shù)

申請免費試用、咨詢電話：400-8352-114

隨著安全技術(shù)的發(fā)展，制約入侵檢測發(fā)展的瓶頸在不斷消失，同時，隨著越來越多高性價比IDS方案的出現(xiàn)，企業(yè)對其關(guān)注度也在升溫，為此用戶有必要對IDS的技術(shù)細節(jié)作一了解。

走進入侵檢測系統(tǒng)

目前提到的入侵檢測系統(tǒng)（IDS，Intrusion Detect System），主要分為兩種類型，一種是主機入侵檢測系統(tǒng)（HIDS），另一種是網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）。顧名思義，兩種IDS的策略重點并不相同。

事實上，當前企業(yè)所關(guān)注的更多集中在網(wǎng)關(guān)控制上，因此網(wǎng)絡(luò)型IDS更受青睞。不過根據(jù)NSS評測報告中所指出的，主機型IDS并非一無是處。主機入侵檢測系統(tǒng)是安裝到受保護主機上，以守護進程方式運行，并對系統(tǒng)的操作，網(wǎng)絡(luò)數(shù)據(jù)傳輸進行監(jiān)控。因此對于那些服務(wù)器數(shù)量有限，且預(yù)算比較緊張的中小企業(yè)而言，其仍舊有著潛在的市場份額。

另外，無論企業(yè)采用哪種IDS系統(tǒng)，其系統(tǒng)本身都是采用旁路監(jiān)聽的方式，也就是在不干擾正常流量傳輸?shù)那闆r下，對所有過往數(shù)據(jù)包進行監(jiān)聽和分析，并判斷是否有攻擊行為。

記者此前對旁路設(shè)備并不感興趣，不過通過對各家IDS廠商的采訪發(fā)現(xiàn)，旁路設(shè)備的最大好處有三點：第一，不會改變企業(yè)現(xiàn)有網(wǎng)絡(luò)拓撲，保證了部署的簡單高效；第二，旁路設(shè)備對于性能的要求并不苛刻，保證了性價比；第三，旁路設(shè)備以預(yù)警報告代替發(fā)起行動，可以減少誤報帶來的損失，適合那些對信息系統(tǒng)實時能力要求不高的企業(yè)使用。

另外，關(guān)于防火墻與IDS的集成問題，有必要解釋一下。目前很多安全廠商的防火墻產(chǎn)品都嵌入了入侵檢測模塊，但是對于一些高安全需求的企業(yè)，依然需要專門獨立的入侵檢測產(chǎn)品，并通過與防火墻的聯(lián)動部署，實施對網(wǎng)絡(luò)安全的整體監(jiān)控和有效防范。

這是因為，防火墻的部署是串聯(lián)在受保護主機和外部網(wǎng)絡(luò)中間，這就導(dǎo)致了其對效率的要求和對數(shù)據(jù)轉(zhuǎn)發(fā)處理能力的要求都格外苛刻。在這種情況下，防火墻如果有太多資源消耗在入侵檢測的記錄和分析上，顯然對性能有較大影響。而這也是有單獨入侵檢測產(chǎn)品存在的主要原因。

關(guān)注入侵檢測技術(shù)

IDS系統(tǒng)發(fā)展至今，在主要技術(shù)上已經(jīng)趨于成熟，特別是一些國產(chǎn)安全廠商的崛起，為IDS的技術(shù)普及貢獻了力量。目前對IDS發(fā)展有較大影響的技術(shù)，主要有六大類。

第一，安全聯(lián)動。

要知道IDS本身僅僅是檢測，而不是防護。但是一些優(yōu)秀的IDS可以通過安全聯(lián)動技術(shù)，實施對攻擊包的阻斷。這里講的安全聯(lián)動，主要是與防火墻配合，也就是當IDS發(fā)現(xiàn)有入侵行為時，能夠自動對防火墻發(fā)出指令，指揮防火墻實施某種防護策略，阻斷攻擊。

企業(yè)用戶需要注意的是，防火墻的防護策略通常是人工一次性定義的，由于網(wǎng)絡(luò)入侵的類型和方式更新很快，而防火墻產(chǎn)品本身卻沒有能力跟隨攻擊、防御技術(shù)更新，因此通過IDS動態(tài)調(diào)整防護策略就是目前最有效的防護手段了。

第二，特征匹配。

目前大部分IDS對入侵行為的識別是通過比較攻擊代碼中的特征字符串完成的。特征匹配是一種比較容易實現(xiàn)的技術(shù)，不過其性能一直受到質(zhì)疑。畢竟IDS在大量追蹤網(wǎng)絡(luò)數(shù)據(jù)的時候，由于需要對每個數(shù)據(jù)包進行特征匹配，因此性能的損失較高，而這也是目前真正千兆IDS（包括IPS）較少的原因。

另外，特征匹配對于誤報和漏報的問題也一直存在，畢竟狀態(tài)簽名的準確度與數(shù)據(jù)包的特征都有匹配上的難度，特別是對于某些字符串誤報也較高。而利用最近愈演愈烈的碎片重組技術(shù)，很多攻擊包都可以規(guī)避特征匹配的監(jiān)測方式。不難看出，安全廠商如果希望達到較高的安全性，必須將特征匹配與其他技術(shù)（如深度包檢測等）進行結(jié)合，并及時更新狀態(tài)簽名庫（有時候，這會涉及到全球范圍內(nèi)的跟蹤）。

第三，深度包檢測。

深度包檢測是最近逐漸流行起來的安全技術(shù)，它將網(wǎng)絡(luò)流中的數(shù)據(jù)包解析成為應(yīng)用協(xié)議上的數(shù)據(jù)，然后再對其進行特征匹配。這樣做的好處明顯，可以大大降低誤報、漏報率。比如對于一些發(fā)包工具的偽攻擊（IDS Flood），深度包檢測技術(shù)可以很好地規(guī)避其流量沖擊和報警沖擊。而且這種技術(shù)可以減少大量的匹配工作，因為對于一些長度很長的攻擊特征，并不需要逐個匹配，而僅僅通過協(xié)議前端解碼就可以實現(xiàn)判斷。

第四，碎片重組。

近年來攻擊包通過碎片穿透技術(shù)，已經(jīng)對網(wǎng)關(guān)安全設(shè)備造成了很大影響。因為攻擊包可以通過該技術(shù)，將正常數(shù)據(jù)包切碎成非常零散的小包，而攻擊特征可以大量散布在這些小包中，到目的地址后再進行重組。

碎片技術(shù)本身就是為了躲避防火墻和IDS的檢查而誕生的，為此，碎片重組技術(shù)應(yīng)運而生。碎片重組主要是在檢測端通過程序?qū)⑺槠瑪?shù)據(jù)包根據(jù)包頭的標記進行重組，然后再用重組后的數(shù)據(jù)包進行特征匹配。雖然大部分IDS廠家都支持該技術(shù)，但是也要認清，這對于IDS性能的消耗相當巨大。通常碎片重組狀態(tài)下的數(shù)據(jù)包的分析能力僅僅是非重組狀態(tài)下的幾分之一。因此，現(xiàn)在也有利用碎片技術(shù)進行DoS攻擊的案例。

據(jù)悉，一些高端IDS、IPS廠商對于此技術(shù)已經(jīng)開展了研究，不過這確實也是制約防入侵設(shè)備性能提高的主要因素之一。

第五，信息挖掘。

以前困擾企業(yè)選擇IDS的主要原因，就是IDS面對威脅可能產(chǎn)生大量的報警（不管有沒有成功入侵），但是缺乏與其他相關(guān)信息的聯(lián)動與分析，特別是缺乏總結(jié)性的報告：比如攻擊意圖、路徑、潛在影響、以及預(yù)期。其實早先就有安全廠商提出過，利用信息挖掘技術(shù)實現(xiàn)類似的功能。

但是，信息挖掘與傳統(tǒng)的數(shù)據(jù)挖掘有一定區(qū)別，它需要構(gòu)造一個優(yōu)秀的數(shù)學(xué)模型，能夠從大量的統(tǒng)計數(shù)據(jù)中進行有效的二次歸納和整理，并能最終提交有價值的報告（比如網(wǎng)絡(luò)環(huán)境、節(jié)點的脆弱性與受攻擊性評估），這不僅需要安全廠商的技術(shù)積累，也需要更復(fù)雜的數(shù)據(jù)庫支持。

第六，行為分析。

行為分析是根據(jù)操作行為以及所取得的行為結(jié)果，用IDS判斷是否存在入侵。一些高端IDS產(chǎn)品已經(jīng)具備了少量的行為分析技術(shù)，但是并不能獨立地依靠該技術(shù)進行判斷。據(jù)悉，一些高端IPS廠商已經(jīng)將行為分析列為發(fā)展技術(shù)之一。不過兩者共同的難點都在于，網(wǎng)關(guān)設(shè)備大部分局限于流量和數(shù)據(jù)的分析，對于服務(wù)器上的信息獲取不足，因此該技術(shù)還會有很大的發(fā)展?jié)摿Α?(cnw)