| 出版日期:2003-09-15 总期号:1250 本年期号:69 |
|
 |
IDS不会消亡
IPS、IAS焕发IDS新活力 李恩宝、刘宝旭 由于入侵检测系统(Intrusion Detection System,IDS)产品和工具一直没能很好解决“误报率高”的问题,普通用户看到大量的警报信息难辨真伪,也不敢轻易选择自动响应方法,并最终引发了对IDS有用性的怀疑。2003年2月,Gartner的一份报告称,IDS已经到了生命的尽头。这在业内引起了广泛的关注。IDS是否真的已无路可走?IDS究竟路在何方? 大量事实证明,IDS正以新的方式焕发活力。包括思科、CA、NAI在内的许多全球著名厂商,正在加速入侵防御(IPS)系统的研究步伐。2002年7月,赛门铁克收购Recourse Technologies和Riptech,进军网络入侵检测系统(NIDS)和主机入侵防御系统(HIPS)领域;2003年1月,思科宣布收购Okena公司,后者的主要产品是HIPS;2003年4月,NAI公司收购Entercept公司(HIPS供应商)和IntruVert Networks公司(NIPS供应商)。 IDS的先天不足 目前,IDS的不足之处主要集中在两个方面,即检测的准确性和有效性的缺乏。对IDS抱怨最集中的是误报率高。实际上,很少有人知道网络的真正状况,以至于对安装IDS后出现的大量警报觉得难以置信。由于攻击检测是以在网络数据中发现已知攻击特征为依据,故误报的产生大致有三种情况:第一,由于特征提取或者协议分析不全面,导致特征查找具有盲目性,过于轻率地作出判断。第二,规则设置过于宽泛,可疑网络行为或攻击尝试导致大量警报产生。第三,应用环境不匹配。除去第一种情况属于检测技术不成熟外,其他两种情况主要是配置问题,部分警报不但不是误报,对于有经验的管理员或者分析工具来说还具有积极意义;但从普通用户的角度来看,大量可疑行为混在攻击警报中,的确使人难以分辨,甚至全盘否定IDS的作用。 IDS的另一个关键性问题就是它的漏报。除去丢包因素可导致漏报以外,很多逃避IDS的攻击方法,如编码、分片、变换路径等都可以骗过IDS的检测。还有很多目前未知特征的复杂攻击,IDS很难通过实时分析全部检测出来,造成误报率的提高。 IDS还有一个弱点就是有效性的问题。尤其是NIDS(其工作原理示意图如图1所示),当NIDS发现网络攻击后会告知管理员或执行预定义的动作,但是不管管理员动作有多快,攻击可能已经早就完成了,尤其是通过网络配置防火墙来阻断攻击,会导致延迟时间更长。同时,很多NIDS工具缺乏足够的综合分析能力,只能根据简单条件定制报表,这样的NIDS既不能在发现攻击时及时阻断攻击,也不能对入侵行为事后分析提供更多的支持,导致网络入侵检测技术不能发挥应有的作用。 
图1 NIDS工作原理示意图 利用NIDS防范攻击比较被动是由NIDS的应用方式决定的:NIDS并接到网络,对攻击行为不能施加决定性影响,但可以收集较多的安全事件供分析;如果串接到网络中,NIDS可以及时中止攻击行为,但要求检测引擎具有较高的检测准确性,误报率低。NIDS的有效性问题是前述漏报与误报矛盾冲突的直接反映。所以,误报率和漏报率同时降低具有根本冲突,在实现上只能根据不同的需求有所偏重,相应的技术要求也是不同的。 IPS、IAS成为IDS新方向 IDS可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。IDS系统作为必要附加手段,已经为大多数组织机构的安全构架所接受,其功能是显而易见的。但由于上述问题的存在,其发展方向成为大家关注的焦点。对于IDS的发展方向,笔者认为,应从其应用方式来分析,IDS将向攻击防范系统(IPS)和入侵分析系统,或者叫入侵审计系统(IAS)两个方向发展。 
图2 NIPS工作原理示意图 IPS把IDS精简化 攻击防护系统就是能准确检测并及时过滤掉网络攻击行为的软硬件系统,即IPS。一般工作在in-line模式,它串接在网络中,可以阻断部分攻击行为(NIPS的工作原理示意图如图2所示)。由于大部分攻击行为具有相对固定的特征和变形方式,提高检测的准确性、实用性和实时性是研究重点。与IDS一样,IPS也分成基于主机的IPS(HIPS)和基于网络的IPS(NIPS),前者预防黑客对关键资产,如对关键服务器、数据库的攻击,后者预防对关键网段的攻击。与IDS的基于异常行为库匹配检测方法相反的是,IPS是对基于正常行为的匹配检测,即系统设立正常行为库,符合正常行为的访问才允许进入,而不符合的则拒绝,从其原理中可看出,IPS将能防御住未知的攻击。同时,从其在网络中的部署来看,它不同于IDS的旁路连接,而是在线连接的,因此,对设备的性能要求非常高。在技术发展上,IPS将朝下列方向发展:1.精简规则并提高系统的自适应能力;2.与防火墙紧密结合;3.实时关联分析技术;4.简单易用方面的提高。 目前,市面上已有成熟IPS产品推出,如NAI公司在2003年4月份收购两家公司的基础上,于8月推出基于主机的IPS系统Entercept4.1和基于网络的IPS系统McAfee IntruShield;2002年11月,Top Layer网络公司推出网络入侵防御最新产品Attack Mitigator IPS套件;NetScreen公司推出NetScreen-IDP系列产品等。 据Gartner的调查报告显示:到2004年底,基于非信号入侵探测技术的进步,IPS将能够替代已有IDS部署中的50%,并占新部署中的75%。可见,IPS技术优势突出,市场潜力巨大,是IDS的一个主要发展方向。 IAS的重点在评估 入侵分析和审计系统,即通过逐步分析网络数据,发现异常网络行为,包括网络攻击和其他可疑网络活动,从而进行综合分析和安全事件管理的系统,主要用于分析安全状况,协助改进安全策略和防护系统。对于电信级骨干网络的管理者或者维护很多重要服务器的高级管理员来说,他们需要借助NIDS来评估网络安全状况或追踪黑客,而不是直接用于攻击防护。因此需要尽可能多的网络信息,包括可疑或异常网络行为,也包括正常但重要的网络行为,如远程登录用户运行su命令或登录失败信息。它一般工作在on-line模式,系统对信息的完整性、充分性和综合分析能力方面具有较高要求。在技术发展上,IAS主要在以下方面继续发展和完善:一、增强审计能力,保存现场数据;二、加强入侵管理和事件综合分析能力;三、警报格式标准化;四,分布式结构。目前,市面上已有成熟IAS产品推出,如中科新业公司的网络入侵分析取证系统、复旦光华的光华S_Audit入侵检测与安全审计系统、华依网络审计系统“网络证人”安全审计系统、天融信综合安全审计系统TOPSEC Auditor等入侵分析和安全审计系统。 IDS必然向多元化发展 网络入侵检测是一门综合性技术,既包括实时检测技术,也有事后分析技术。尽管使用者都希望通过部署该类工具而增强网络安全,但不同的用户需求不同,甚至差异很大,很难同时满足。由于攻击具有天然的不确定性,单一的入侵检测工具肯定无法做到面面俱到。因此,IDS的发展必然是多元化的,而且只有通过改进和完善相应的技术才能更好地协助网络安全防范。至于本文论述的两个发展方向所对应的产品IPS和IAS,哪个用处更大或选择哪个用,需要实地考虑应用环境。如IPS比较适合于阻止大范围的、针对性不是很强的攻击,但对单独目标的攻击阻截有可能失效,自动预防系统也无法阻止专门的恶意攻击者的操作。IPS与防火墙配置息息相关。如果没有安装防火墙,则没有必要配置这类在线工具;如果熟知网段中的协议运用并易于统计分析,则可采用这类技术。对于金融应用系统,用户除关心遭恶意入侵外,更担心误操作引发灾难性后果,这类网络系统运用IAS比较适合。而对一些对网络安全级别要求很高的机构,如金融信用机构,这就需要混合的IAS/IPS解决方案。 |
||||||||||||||||||||||||||||
