ccidnet????

出版日期:2003-12-8 总期号:1273 本年期号:92

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
中国教育信息化
华东专刊
华南专刊
西北专刊
东北专刊
西南专刊
 突破局限 全面预警
——赛门铁克NIDS ManHunt产品分析


  网络系统正成为企业关键业务中最重要的部分,保护网络安全就成为必须完成的任务。网络入侵检测系统(Network Intrusion Detection Systems,NIDS)通过检查网络流量,对通过的数据包进行分析,检测异常、识别威胁,成为企业网络安全的坚强后盾。

  网络入侵检测系统NIDS具有其他产品所没有的优点,它不需要改变服务器等主机的配置。由于它不需在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。另外,网络入侵检测系统不是系统中的关键路径,网络入侵检测系统发生故障不会影响正常业务的运行。部署一个网络入侵检测系统比主机入侵检测系统的风险与成本相对较低。


  传统NIDS存在的局限
  网络环境局限 现在较好的交换机都支持监听端口,所以很多NIDS都连接到监听端口上。为了节省交换机端口,很可能配置为将一个交换机端口监听多个其它端口,在正常的流量下,监听端口能够全部监听,但在受到攻击的时候,网络流量可能加大,从而使被监听的端口流量总和超过监听端口的上限,引起交换机丢包。一般的交换机在负载较大的时候,监听端口的速度赶不上其它端口的速度,从而导致交换机丢包。增加监听端口即意味着需要更多的交换机端口,这可能需要购买额外的交换机,甚至修改网络结构(例如原来在一台交换机上的一个VLAN现在需要分布到两台交换机上)。

  系统实现局限 由于受NIDS保护的主机及其运行的程序各种各样,甚至对同一个协议的实现也不尽相同,入侵者可能利用不同系统的不同实现差异,来进行系统信息收集(例如Nmap通过TCP/IP指纹来对操作系统的识别)或者进行选择攻击,由于NIDS不大可能通晓这些系统的不同实现,故而可能被入侵者绕过。

  特征检测的局限 检测规则的更新总是落后于攻击手段的更新,目前而言,一个新的漏洞在互联网上公布,第二天就可能在网上找到用于攻击的方法和代码,但相应的检测规则平均还需要好几天才能总结出来。存在一个发现新入侵方法到用户升级规则库/知识库的时间差,对有心的入侵者,将有充足的时间进行入侵。很多公布的攻击并没有总结出相应的检测规则或者检测规则误报率很高。并且现在越来越多的黑客倾向于不公布他们发现的漏洞,从而很难总结出这些攻击的攻击特征。


  新一代NIDS实现全局预警
  从目前市场上的权威主流产品Symantec ManHunt来看,它具备如下特征:

  基于策略的预防性反应 新一代NIDS超越了被动的事件识别和告警功能,为网络提供积极的防护。ManHunt就是通过基于策略的反应,实时地抑制和控制攻击,并启动其他措施来对事件做出相应的反应。新一代NIDS往往提供定制的策略,而定制策略能够根据事件类型、网络中的事件位置,对入侵行为或DoS攻击立即采取应对措施。Symantec ManHunt通过被称为异常协议检测的技术来分析网络流,以此来识别新型和未知攻击。异常协议检测在检测大多数类型的攻击时不要求事先特征,甚至在发布特征前也允许Symantec ManHunt检测和识别zero-day攻击。

  实时事件关联和分析 新一代NIDS可以利用一流的关联和分析引擎来过滤错误数据,只提取相关信息,能够感知威胁,而不会发生数据过载。实时事件集中、关联和分析使ManHunt能够通过跨节点的分析来收集整个网络的信息,确定威胁趋势,在威胁事件发生时快速识别它们。这样就减少了安全人员识别威胁所需的工作量,使他们能够有更多的时间来调查更为诡秘的入侵行为,对策略进行管理,而不是花费大量时间去检查不关联的时间日志。Symantec ManHunt可在一个ManHunt 节点上同时监控4个千兆以太网或12个快速以太网接口,对高达2 Gbps的高速、多个千兆网段检测、实时威胁分析。它通过分布式Sensor和实时统计事件关联和分析来收集整个企业的信息。

  全面的数据包捕获和集成数据包过滤 为了有效地分析和确定攻击特征,全面记录恶意数据包是关键。通过这种思想,ManHunt可以根据每个接口来配置,以便当检查到异常或特征事件时,捕获整个数据包。管理员可以快速决定,可疑数据包是否是一种良性事件,可以很方便地将其过滤掉,或对其进行标记以供进一步调查。流量参数,包括源端口和目的端口、IP地址、协议类型以及捕获大小和时段等,可用作过滤器,使安全专业人员能够从全部数据流到同一连接中的若干数据包中,捕获所有内容。


  安全防护需要全面措施
  NIDS自身的特点决定了与其它产品实现集成,更能体现全面保护。Symantec ManHunt提供Symantec ManHunt Smart Agent模块,能够收集整个企业的多源事件,有助于各公司扩展其安全性措施,并增强对他们现有安全性资产的威胁检查价值——消除了与部署传统IDS产品相关的扩展性和成本问题。将第三方安全性事件集中到一个位置可以充分利用ManHunt分析框架的功能。当然,网络环境的多变性决定了技术只能解决部分问题,因而,一个强有力的研究及响应机构来提供支持就成为产品的强大后盾。这大概也是Symantec ManHunt在市场上具有领导地位的原因吧。