1、1/6Tel:8610-6568 6658 Fax:8610-6568 2588 http:/天刚数码IPS(IDP)闪亮登上网安舞台在过去的两年中,入侵检测(IDS)技术一度被炒得热火朝天,而去年 6 月,Gartner的一份非常著名的报告很果断地宣告了 IDS 技术的“ 死刑“ ,它宣布入侵防御(IPS)将成为 IDS 的“ 掘墓人“ 。到底 IPS 这个新秀有何高明之处,使得它在网安舞台一登场便引得如此高的实力指数?据国外安全厂商 NetScreen 的技术专家介绍:相对于 IDS 的被动检测及误报等问题,IPS 是一种比较主动、机智的防御系统。从功能上讲,作为并联在网络上的设备,绝大多
2、数 IDS 一般需要与防火墙联动或发送 TCPreset 包来阻止攻击。而 IPS 本身就可以阻止入侵的流量。业界人士从技术上阐述,IDS 系统在识别“ 大规模的组合式、分布式的入侵攻击“方面,还没有较好的方法和成熟的解决方案,误报与漏报现象严重,用户往往淹没在海量的报警信息中,而漏掉真正的报警;由于标准不统一,入侵检测系统与防火墙之间不易联动;此外,IDS 只能报警而不能有效采取阻断措施的设计理念,也不能满足用户对网络安全日益增长的需求。相反,IPS 系统则没有这种问题,它通过多重检测机制,粒度更细的规则设定,能够更敏锐地捕捉入侵的流量,并能将危害切断在发生之前。业界人士认为 IDS 的发展
3、走向有两个明显的趋势,一是走向事件的关联和挖掘,实现全网安全事件的集中管理;一是从 IDS 到 IPS,这是市场需求和黑客技术发展的必然趋势。但 IPS 能否真正取代 IDS,来自总参的一位技术专家认为,“IDS 防火墙“的联动防护机制跟 IPS 会在今后相当长的时间内并存,IPS 的发展势头会更好一些。但 IPS并不是防火墙的替代者,至少在当前,IPS 与防火墙的互补作用还十分明显,防火墙负责提供 3-4 层的基本安全环境和高速转发能力,而 IPS 负责 4-7 层流量的小粒度控制。事实上,在电信级流量背景下,首先通过高性能的防火墙过滤掉非法的流量, 进入 IDP 系统的流量大为减少,这使进
4、行 4-7 层的深层检测负荷大为减少。同时,面对 CodeRed、 MyDoom 等各种第七层攻击,多数防火墙都无法有效防御,而 IDP 这种产品却可以很好地应对类似的攻击。因此,IPS 作为大型网络中的第二层防护,用以保护关键的业务和应用是必要的。安全的重点在于机制、在于管理,也就是安全策略,技术只是一种手段、工具。我们在寻求产品的时候,应该寻求技术与管理 融合的方式。帮助用户做好实施工作是他们在产品推广中的重点,为此成立了 Netscreen IDPer 俱乐部, 推广主动防御的网络安全理念,介绍网络安全的最新技术和推动技术与管理的融合。随着时间的推移,我们相信 IPS(IDP)会象防火墙
5、一样成为 4-7 层的深层检测防火墙,作为网络入口的第二道阀门,是用户不可或缺的网络安全产品。2/6Tel:8610-6568 6658 Fax:8610-6568 2588 http:/天刚数码入侵检测防护 最新产品NetScreen-IDP产品特点 NetScreen 的最新产品 NetScreen-IDP 采用的是崭新的 IDP(入侵检测和防护)技术,它可以打破 NIDS(网络入侵检测系统)的以上瓶颈。NetScreen-IDP 采取了一系列的革新技术。第一个革新是采用多重方法检测技术(Multi-Method Detection,MMD),NetScreen 采用了 8 种不同的检测方
6、法以强化检测力,同时减少错误报警。这些检测方法包括协议异常检测、流量异常检测以及一些专利技术,如:状态签名(Stateful Signature)、后门检测(Backdoor Detection)等。第二个革新是NetScreen-IDP 采用了一个带内(in-Line)解决方案,这是惟一能对付潜逃的技术,提供真正入侵防护的方法。第三个革新是基于规则的中央式管理的构架。集中管理使管理员能精确控制 NetScreen-IDP 的水平,同时简化安全策略和签名更新的作业。NetScreen-IDP100 产品示意图多重方法检测(MMD)提高精确度NetScreen-IDP 系统通过应用协议异常、状态
7、签名、流量异常、后门、同步攻击(Syn-flood)、IP 欺骗(IP spoof)、第二层检测以及网络陷阱(network honeypot)等 8 种不同的检测方法,能准确地识别入侵。不像其他厂商那样应用一个单一入侵检测机制去驱动整个产品架构,NetScreen-IDP 的架构设计能支持上述所有检测方法。这些方法共享信息,并且用更有效的方式一起去识别网络和应用层中的所有形式的攻击。同时,这些检测方法都是针对以高数据速率进行分析而被优化的,从而确保性能未能受到影响。由于 NetScreen-IDP 能提供一个全面的覆盖,用户不需要费神决定,到底是买一个基于协议异常的系统还是基于签名的系统,或
8、者需要两台或3/6Tel:8610-6568 6658 Fax:8610-6568 2588 http:/天刚数码更多的产品。另外,多方法检测使管理员能够信任报警,而不用再担心会浪费时间去调查错误报警。带内操作模式提供真正保护NetScreen-IDP 被设计为带内模式操作。在这种配置里,NetScreen-IDP 一般被放置在防火墙之后,检查每个进出的数据包。当 NetScreen-IDP 检测出恶意流量时,它能丢弃连接,使之不能进入网络。当然,你能准确地控制哪种形式的流量是需要丢弃连接的。相反,通常被动式的 NIDS 检测出恶意流量时,它只能发送一个 TCP 重设命令,试图阻止攻击。但是,
9、由于 TCP重置的特性,你无法确信攻击能及时被制止,这意味着需要花费时间去调查攻击是否已到达它的受害者。然后你不得不去了解攻击是怎么产生的,并且试图去调整 NIDS,以防范未来类似的事情。最后,假如攻击成功了,你还需要评估造成的损失,当中又产生更多的投资和人力成本。采用 NetScreen-IDP ,你可以丢弃有关恶意流量,并且确保这个流量不能到达目的地。中央式、基于规则的管理提供更高可控性NetScreen-IDP 系统利用中央式、基于规则的管理方式,可以提供真正的三层管理架构。它包括一个检测与执行层(传感器)、一个管理层(服务器)和一个应用层(用户界面)。多用户界面可以连接到一个单一的管理
10、服务器上,完成所有的管理操作。基于规则的管理容许NetScreen-IDP 的行为提供精确的控制。根据需要被寻找和匹配的来源、目标地、业务和攻击进行分类,你可以设置相应规则,以便去应用。然后,当攻击被检测到时,规则指定下一步操作,如丢弃或允许连接,以及记录攻击。中央式安全策略允许相同的安全策略应用到多个执行点上。尽管一个设备与其他不一样,你无需建立新的安全策略,只需列明那条在安全策略里的个别规则是对应哪台设备即可。闭环调查(Closed Loop Investigation)使你在综合报告、个别记录、相关记录的规则、记录的数据包之间自由地浏览查找。数据点相互关联以及在各信息层间轻松浏览查找的能
11、力,让你更容易理解网络状况,并且能对防护新威胁的工作作出即时的响应。防火墙在控制什么流量被允许进出网络方面做得很好。但不可避免的是,一些被允许进入的流量在本质上是恶意的。你需要第二层防护去协助防火墙,同时检测和防止各种形式的攻击。到现在为止,被动式的网络入侵检测系统(NIDS)一直被用于检测网络攻击。遗憾的是,目前的入侵检测解决方案通常只执行一个单一的入侵检测机制,因而造成很多错误报警,漏过不少攻击。另外,被动式方式不能阻止攻击,并且在管理上亦非常困难。NetScreen 开发的入侵检测和防护系统(NetScreen-IDP ) 可以克服这些不足,助你保护公司的资产。点评:应用性能放在第一位所
12、有与互联网连接的企业通常要做的第一件事就是安装防火墙,通过提供接入控制,防火墙提供了出色的第一层防护。第二层防护就是设置 IDS。一般企业普遍认为,被动式的、网络入侵检测系统(NIDS)能够保护机构免受攻击。遗憾的是,这种防护方式有许多问题。首先,大量的错误报警常常使系统管理员感到困惑,需要大量的人工过滤来鉴别混杂在错误报警中的真正的攻击,造成许多公司都变成对这些警报数据置之不理,系4/6Tel:8610-6568 6658 Fax:8610-6568 2588 http:/天刚数码统无法发挥其作用;其次,一般的 NIDS 解决方案很难管理和维护,它需要大量的时间和精力以保持传感器的更新和安全
13、策略的有效;再者,很多公司误以为,如果将 NIDS加入其系统,就需要将 NIDS 的维护工作外包给专业的安全服务提供商;同时,现有的NIDS 解决方案不能防止攻击,尽管声称具有防护能力,其实这些产品只是检测工具而已,防护能力是空洞的许诺。近两年,入侵检测系统(IDS)产品和技术得到了快速发展,从目前产品采用的检测技术来看主要有两种:一种是异常发现技术,也称为协议分析技术;另一种是模式匹配检测技术。从主流的入侵检测产品来看,通常是采用两种模式的结合。NetScreen-IDP 采用了 IDS 协议分析的检测机制,检测功能包括了重要的 IP 碎片整理能力、TCP 重组在去除复制和重叠数据的时候,用
14、正确的次序适当地重组 TCP 片段的能力,流量跟踪功能可以跟踪流量(客户端到服务器的流量以及服务器到客户端的流量),并且把它们与一个单一的通信会话联系起来,保证了检测机制的先进性和检测结果的正确。总体来说,NetScreen-IDP 在智能管理和检测能力上具有一定的先进性,代表了目前较为前沿的 IDS 检测技术,能够减少错误报警或没有意义的报警,为用户减少了许多无谓的工作量。5/6Tel:8610-6568 6658 Fax:8610-6568 2588 http:/天刚数码赛迪报道 http:/ http:/ IPS(IDP) http:/ http:/ IDP, 用于防火墙后的应用层防御,
15、保护关键服务器免受 CodeRed、MyDoom 等各种第七层攻击更多的案例在 IDPer 俱乐部中下载 ISS 安全产品被 Witty Worm 病毒攻击, 但 ISS 拒绝给未买服务的客户提供补丁程序http:/ 公司 3 月 15 日为其入侵检测和保护硬件发布了一个软件升级版,增加了分析网络通信量和阻止蠕虫攻击的新功能。 http:/ IDP 获 NSS Approvedhttp:/ 20 多位关注入侵防御技术的用户、专家、渠道、厂商云集计算机世界报社http:/ Netscreen IDP ,报告公布称主动的 4 到 7 层防御http:/ News 5-Apr-04天刚数码 IDPer 俱乐部6/6Tel:8610-6568 6658 Fax:8610-6568 2588 http:/天刚数码IPS: IDS 的掘墓人http:/ IDP 中 国区总代理北京天刚数码科技有限公司Beijing CGS Digtal Technology CO.,LTD.=: 北京市朝阳区建华南路 17 号柏联大厦 408 室 100022: 010 8169 6100 /65686658:
