1、IDS/IPS 设备购买指南本文关键词:IDS IPS 攻击防范 IDS 技术 根据采集数据源的不同,IDS 可分为主机型 IDS(Host-based IDS,HIDS)和网络型IDS(Network-based IDS,NIDS)。 HIDS 和 NIDS 都能发现对方无法检测到的一些入侵行为,可互为补充。完美的 IDS产品应该将两者结合起来。目前主流 IDS 产品都采用 HIDS 和 NIDS 有机结合的混合型IDS 架构。 传统的入侵检测技术有: 1、模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。一种进攻模式可以利用一个
2、过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。 2、异常检测 异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS 就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。 3、完整性分析完整性分析关注文件或对象是否被篡改,主要根据文件
3、和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制,能够识别微小变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要攻击导致文件或对象发生了改变,完整性分析都能够发现。完整性分析一般是以批处理方式实现,不用于实时响应。入侵检测面临的问题1、误报和漏报 IDS 系统经常发出许多假警报。误警和漏警产生的原因主要有以下几点: 当前 IDS 使用的主要检测技术仍然是模式匹配,模式库的组织简单、不及时、不完整,而且缺乏对未知攻击的检测能力; 随着网络规模的扩大以及异构平台和不同技术的采用,尤其是网络带宽的迅速增长,
4、IDS 的分析处理速度越来越难跟上网络流量,从而造成数据包丢失; 网络攻击方法越来越多,攻击技术及其技巧性日趋复杂,也加重了 IDS 的误报、漏报现象。 2、拒绝服务攻击 IDS 是失效开放(Fail Open)的机制,当 IDS 遭受拒绝服务攻击时,这种失效开放的特性使得黑客可以实施攻击而不被发现。 3、插入和规避插入攻击和规避攻击是两种逃避 IDS 检测的攻击形式。其中插入攻击可通过定制一些错误的数据包到数据流中,使 IDS 误以为是攻击。规避攻击则相反,可使攻击躲过 IDS 的检测到达目的主机。插入攻击的意图是使 IDS 频繁告警(误警),但实际上并没有攻击,起到迷惑管理员的作用。规避攻
5、击的意图则是真正要逃脱 IDS 的检测,对目标主机发起攻击。黑客经常改变攻击特征来欺骗基于模式匹配的 IDS。 IDS 发展趋势在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下,基于特征检测匹配技术的 IDS 已经力不从心。IDS 出现了销售停滞,但 IDS 不会立刻消失,而是将 IDS 将成为安全信息管理(SIM)框架的组成部分。在 SIM 框架中,IDS 的作用可以通过检测和报告技术得到加强。分析人士指出,IDS 的作用正转变为调查取证和安全分析。大约 5 年后,一致性安全管理以及内核级的安全技术将共同结束基于特征检测的 IDS 技术的使命。 美国网络世界实验室联盟成员 Joel Sn
6、yder 认为,未来将是混合技术的天下,在网络边缘和核心层进行检测,遍布在网络上的传感设备和纠正控制台通力协作将是安全应用的主流。 一些厂商通过将 IDS 报警与安全漏洞信息进行关联分析,着手解决 IDS 的缺陷。SIM厂商在实现安全信息分析的方式上开始采取更加模块化的方法,将安全漏洞管理、异常检测、网络评估、蜜罐模块与 IDS 模块搭配在一起,以更好地确定和响应安全事件。 IPS 主动防护尽管 IDS 是一种受到企业欢迎的解决方案,它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是它不会主动在攻击发生前阻断它们。同时,许多入侵检测系统基于签名,所以它们不能检测到新的攻击
7、或老式攻击的变形,它们也不能对加密流量中的攻击进行检测。 而入侵防护系统(Intrution Protection System,IPS)则倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在 IPS 设备中被清除掉。 简单地理解,IPS 等于防火墙加上入侵检测
8、系统,但并不是说 IPS 可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于 TCP/IP 协议的过滤方面表现出色,而且在大多数情况下,可以提供网络地址转换、服务代理、流量统计等功能。 和防火墙比较起来,IPS 的功能比较单一,它只能串联在网络上,对防火墙所不能过滤的攻击进行过滤。一般来说,企业用户关注的是自己的网络能否避免被攻击,对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处,在一些专业的机构,或对网络安全要求比较高的地方,入侵检测系统和其他审计跟踪产品结合,可以提供针对企业信息资源的全面审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络
9、故障排除等等都有很重要的作用。 IPS 目前主要包含以下几种类型:1 、基于主机的入侵防护(HIPS),它能够保护服务器的安全弱点不被不法分子所利用;2、基于网络的入侵防护(NIPS),它可通过检测流经的网络流量,提供对网络系统的安全保护,一旦辨识出入侵行为,NIPS 就可以去除整个网络会话,而不仅仅是复位会话;3、应用入侵防护,它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。 IPS 面临的挑战 IPS 技术需要面对很多挑战,其中主要有三点。 1、单点故障。设计要求 IPS 必须以嵌入模式工作在网络中,而这就可能造成瓶颈问题或单点故障。如果 IDS 出现故障,最坏的情况也就是造成
10、某些攻击无法被检测到,而嵌入式的 IPS 设备出现问题,就会严重影响网络的正常运转。如果 IPS 出现故障而关闭,用户就会面对一个由 IPS 造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。2、性能瓶颈。即使 IPS 设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,IPS 必须与数千兆或者更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的 IPS 嵌入设备无法支持这种响应速度。绝大多数高端 IPS 产品供应商都通过使用自定义硬件(FPGA 、网络处理器和 ASIC 芯片)来提高 IPS 的运行效率。 3、误报和漏报
11、。误报率和漏报率也需要 IPS 认真面对。在繁忙的网络当中,如果以每秒需要处理十条警报信息来计算,IPS 每小时至少需要处理 36000 条警报,一天就是864000 条。一旦生成了警报,最基本的要求就是 IPS 能够对警报进行有效处理。如果入侵特征编写得不是十分完善,那么“误报” 就有了可乘之机,导致合法流量也有可能被意外拦截。对于实时在线的 IPS 来说,一旦拦截了 “攻击性”数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知,这个客户整个会话就会被关闭,而且此后该客户所有重新连接到企业网络的合法访问都会被“尽职尽责”的 IPS 拦截。 IDS 和 IPS 将共存虽然 IPS 具有很大的优势,然而美国网络世界实验室联盟成员 Rodney Thayer 认为,在报告、分析等相关技术完善得足以防止虚假报警之前,IPS 不可能取代 IDS 设备。IPS可能将取代外围防线的检测系统,而网络中的一些位置仍然需要检测功能,以加强不能提供很多事件信息的 IPS。
