從檢測到預(yù)防IDS的演化與革命

字號:

Gartner在去年8月的一份研究報(bào)告中認(rèn)為,如今的入侵檢測系統(tǒng)(IDS)已經(jīng)難以適應(yīng)客戶的需要。IDS不能提供附加層面的安全,相反增加了企業(yè)安全操作的復(fù)雜性。入侵檢測系統(tǒng)朝入侵預(yù)防系統(tǒng)(IPS)方向發(fā)展已成必然。實(shí)際上,可將IDS與IPS視為兩類功能互斥的分離技術(shù):IPS注重接入控制,而IDS則進(jìn)行網(wǎng)絡(luò)監(jiān)控;IPS基于策略實(shí)現(xiàn),IDS則只能進(jìn)行審核跟蹤;IDS的職責(zé)不是保證網(wǎng)絡(luò)安全,而是告知網(wǎng)絡(luò)安全程度幾何。
    IPS不僅僅是IDS的演化,它具備一定程度的智能處理功能,能實(shí)時(shí)阻截攻擊。傳統(tǒng)的IDS只能被動(dòng)監(jiān)視通信,這是通過跟蹤交換機(jī)端口的信息包來實(shí)現(xiàn)的;而IPS則能實(shí)現(xiàn)在線監(jiān)控,主動(dòng)阻截和轉(zhuǎn)發(fā)信息包。通過在線配置,IPS能基于策略設(shè)置舍棄信息包或中止連接;傳統(tǒng)的IDS響應(yīng)機(jī)制有限,如重設(shè)TCP連接或請求變更防火墻規(guī)則都存在諸多不足。
    IPS工作原理
    真正的入侵預(yù)防與傳統(tǒng)的入侵檢測有兩點(diǎn)關(guān)鍵區(qū)別:自動(dòng)阻截和在線運(yùn)行,兩者缺一不可。預(yù)防工具(軟/硬件方案)必須設(shè)置相關(guān)策略,以對攻擊自動(dòng)作出響應(yīng),而不僅僅是在惡意通信進(jìn)入時(shí)向網(wǎng)絡(luò)主管發(fā)出告警。要實(shí)現(xiàn)自動(dòng)響應(yīng),系統(tǒng)就必須在線運(yùn)行。
    當(dāng)黑客試圖與目標(biāo)服務(wù)器建立會(huì)話時(shí),所有數(shù)據(jù)都會(huì)經(jīng)過IPS傳感器,傳感器位于活動(dòng)數(shù)據(jù)路徑中。傳感器檢測數(shù)據(jù)流中的惡意代碼,核對策略,在未轉(zhuǎn)發(fā)到服務(wù)器之前將信息包或數(shù)據(jù)流阻截。由于是在線操作,因而能保證處理方法適當(dāng)而且可預(yù)知。
    與此類比,通常的IDS響應(yīng)機(jī)制(如TCP重置)則大不相同。傳統(tǒng)的IDS能檢測到信息流中的惡意代碼,但由于是被動(dòng)處理通信,本身不能對數(shù)據(jù)流作任何處理。必須在數(shù)據(jù)流中嵌入TCP包,以重置目標(biāo)服務(wù)器中的會(huì)話。然而,整個(gè)攻擊信息包有可能先于TCP重置信息包到達(dá)服務(wù)器,這時(shí)系統(tǒng)才做出響應(yīng)已經(jīng)來不及了。重置防火墻規(guī)則也存在相同問題,處于被動(dòng)工作狀態(tài)的IDS能檢測到惡意代碼,并向防火墻發(fā)出請求阻截會(huì)話,但請求有可能到達(dá)太遲而無法防止攻擊發(fā)生。
    IPS檢測機(jī)制
    事實(shí)上,IDS和IPS中真正有價(jià)值的部分是檢測引擎。IPS存在的隱患是有可能引發(fā)誤操作,這種“主動(dòng)性”誤操作會(huì)阻塞合法的網(wǎng)絡(luò)事件,造成數(shù)據(jù)丟失,最終影響到商務(wù)操作和客戶信任度?! ?BR>    IDS和IPS對攻擊的響應(yīng)過程
    為避免發(fā)生這種情況,一些IDS和IPS開發(fā)商在產(chǎn)品中采用了多檢測方法,限度地正確判斷已知和未知攻擊。例如,Symantec的ManHunt IDS最初僅依賴于異常協(xié)議分析,后來升級版本可讓網(wǎng)管寫入Snort代碼(Sourcefire公司開發(fā)的一種基于規(guī)則的開放源碼語言環(huán)境,用于書寫檢測信號)增強(qiáng)異常檢測功能。Cisco最近也對其IDS軟件進(jìn)行了升級,在信號檢測系統(tǒng)中增加了協(xié)議和通信異常分析功能。NetScreen的硬件工具則包含了8類檢測手段,包括狀態(tài)信號、協(xié)議和通信異常狀況以及后門檢測。
    值得一提的是,Snort系統(tǒng)采用的是基于規(guī)則的開放源代碼方案,因而能方便識別惡意攻擊信號。Snort信號系統(tǒng)為IDS運(yùn)行環(huán)境提供了很大的靈活性,用戶可依據(jù)自身網(wǎng)絡(luò)運(yùn)行情況書寫IDS規(guī)則集,而不是采用通用檢測方法。一些商業(yè)IDS信號系統(tǒng)還具備二進(jìn)制代碼檢測功能。