從檢測到預防IDS的演化與革命

Gartner在去年8月的一份研究報告中認為，如今的入侵檢測系統(tǒng)（IDS）已經(jīng)難以適應客戶的需要。IDS不能提供附加層面的安全，相反增加了企業(yè)安全操作的復雜性。入侵檢測系統(tǒng)朝入侵預防系統(tǒng)（IPS）方向發(fā)展已成必然。實際上，可將IDS與IPS視為兩類功能互斥的分離技術：IPS注重接入控制，而IDS則進行網(wǎng)絡監(jiān)控；IPS基于策略實現(xiàn)，IDS則只能進行審核跟蹤；IDS的職責不是保證網(wǎng)絡安全，而是告知網(wǎng)絡安全程度幾何。
    IPS不僅僅是IDS的演化，它具備一定程度的智能處理功能，能實時阻截攻擊。傳統(tǒng)的IDS只能被動監(jiān)視通信，這是通過跟蹤交換機端口的信息包來實現(xiàn)的；而IPS則能實現(xiàn)在線監(jiān)控，主動阻截和轉發(fā)信息包。通過在線配置，IPS能基于策略設置舍棄信息包或中止連接；傳統(tǒng)的IDS響應機制有限，如重設TCP連接或請求變更防火墻規(guī)則都存在諸多不足。
    IPS工作原理
    真正的入侵預防與傳統(tǒng)的入侵檢測有兩點關鍵區(qū)別：自動阻截和在線運行，兩者缺一不可。預防工具（軟/硬件方案）必須設置相關策略，以對攻擊自動作出響應，而不僅僅是在惡意通信進入時向網(wǎng)絡主管發(fā)出告警。要實現(xiàn)自動響應，系統(tǒng)就必須在線運行。
    當黑客試圖與目標服務器建立會話時，所有數(shù)據(jù)都會經(jīng)過IPS傳感器，傳感器位于活動數(shù)據(jù)路徑中。傳感器檢測數(shù)據(jù)流中的惡意代碼，核對策略，在未轉發(fā)到服務器之前將信息包或數(shù)據(jù)流阻截。由于是在線操作，因而能保證處理方法適當而且可預知。
    與此類比，通常的IDS響應機制（如TCP重置）則大不相同。傳統(tǒng)的IDS能檢測到信息流中的惡意代碼，但由于是被動處理通信，本身不能對數(shù)據(jù)流作任何處理。必須在數(shù)據(jù)流中嵌入TCP包，以重置目標服務器中的會話。然而，整個攻擊信息包有可能先于TCP重置信息包到達服務器，這時系統(tǒng)才做出響應已經(jīng)來不及了。重置防火墻規(guī)則也存在相同問題，處于被動工作狀態(tài)的IDS能檢測到惡意代碼，并向防火墻發(fā)出請求阻截會話，但請求有可能到達太遲而無法防止攻擊發(fā)生。
    IPS檢測機制
    事實上，IDS和IPS中真正有價值的部分是檢測引擎。IPS存在的隱患是有可能引發(fā)誤操作，這種“主動性”誤操作會阻塞合法的網(wǎng)絡事件，造成數(shù)據(jù)丟失，最終影響到商務操作和客戶信任度?！　?BR>    IDS和IPS對攻擊的響應過程
    為避免發(fā)生這種情況，一些IDS和IPS開發(fā)商在產(chǎn)品中采用了多檢測方法，限度地正確判斷已知和未知攻擊。例如，Symantec的ManHunt IDS最初僅依賴于異常協(xié)議分析，后來升級版本可讓網(wǎng)管寫入Snort代碼（Sourcefire公司開發(fā)的一種基于規(guī)則的開放源碼語言環(huán)境，用于書寫檢測信號）增強異常檢測功能。Cisco最近也對其IDS軟件進行了升級，在信號檢測系統(tǒng)中增加了協(xié)議和通信異常分析功能。NetScreen的硬件工具則包含了8類檢測手段，包括狀態(tài)信號、協(xié)議和通信異常狀況以及后門檢測。
    值得一提的是，Snort系統(tǒng)采用的是基于規(guī)則的開放源代碼方案，因而能方便識別惡意攻擊信號。Snort信號系統(tǒng)為IDS運行環(huán)境提供了很大的靈活性，用戶可依據(jù)自身網(wǎng)絡運行情況書寫IDS規(guī)則集，而不是采用通用檢測方法。一些商業(yè)IDS信號系統(tǒng)還具備二進制代碼檢測功能。