| 出版日期:2004-08-30 总期号:1343 本年期号:64 |
|
 |
谁给你更好的保护
——四款优秀入侵检测系统横向测试报告 赛迪评测网络安全实验室 何军 
通过推荐的厂商和产品获奖表 (排名不分前后) 
测试环境示意图 入侵检测产品作为一种高效、准确和智能化的网络攻击检测工具得到了广泛的关注和认同。它采集信息系统中的网络数据、系统日志、服务状态、资源使用状况等信息,进行综合分析和比较,判断入侵行为的发生,并采用多种不同手段记录攻击,实时告警,阻断攻击者的进攻,从而增强用户网络和信息系统的安全。 随着近年来互联网络的发展,网络的安全问题日益严重,而在现有的安全事件中,由于攻击技术的不断发展,攻击手段的不断丰富,攻击所带来的危害愈加严重,人们防范攻击的难度不断增加。入侵检测作为一种高效、准确和智能化的网络攻击检测工具,成为防火墙之后的第二道安全闸门,得到了广泛的关注和认同。 本次赛迪评测针对这种应用,并受中国计算机报的委托,对国内外入侵检测系统进行测试,通过推荐的厂商和产品见表。 管理是否方便 关于入侵检测系统的管理功能我们主要从以下几个方面来考察。 首先是管理测试。良好的管理界面能为用户带来方便。在本次测试中,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统产品都采用引擎和控制台的方式工作。 在管理方面,鹰眼HawkEye网络入侵检测系统采用HTTPS的管理方式进行,使用加密技术来确保鹰眼网络入侵检测系统在各个工作环节中所有的传输数据的安全性。中科网威、联想、冠群金辰莫邪则采用GUI控制管理方式,配置灵活,使用方便。 在抗IDS攻击的事件合并能力方面,随着IDS产品的发展,针对IDS的攻击技术也随之而生,通过模拟大量能够使IDS产生报警的攻击数据,使IDS淹没在攻击事件风暴中,甚至漏过了真正的攻击数据。因此如何应对,成了众多IDS产品面临的课题,鹰眼产品在自主设计的事件合并算法的基础上,已经具备了针对这种攻击的抵抗能力。冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统产品对于事件风暴的处理都进行了不同程度事件合并,将风暴事件集中成一到两条报警信息。这样的处理体现了入侵检测系统的抗风暴攻击的能力。对于管理员来说,其意义在于他们不至于被大量的报警信息所淹没。联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、冠群金辰莫邪除提供对规则检测的事件合并外,还可针对每秒发送的数据包的多少进行设置,然后才判断是否进行报警,表现不错。“网威”网络入侵检测系统在事件合并功能中需要对脚本程序进行修改,适用于高级用户。 入侵检测系统从工作性质上来分,只能是一种捕获、分析并进行检测包的工具,从所处的位置来看,它处于网络主干的旁路,因此,要想让入侵检测系统参与网络行为,一方面就要在检测到攻击行为时发送RESET包阻断攻击,另一方面就要直接与防火墙通信,使防火墙自动生成相应规则,实现防火墙和入侵检测系统的互动,最大限度的保证网络的安全。 在这两种行为中,直接发送RESET包进行阻断的方式在一定程度上能完全阻断入侵,起到保护内部安全的作用,但产生的负面影响有可能比较大,比如产生误报或有人使用不同地址发送攻击包等,此时就会触发入侵检测系统发送RESET包进行阻断,这样最终的结果是网络拒绝服务。当然我们并不是否认直接阻断的方式,如果用户使用恰当,还会起到很好的作用的。因此,与防火墙产品的互动体现了联合防御能力。 与防火墙互动方面,冠群金辰莫邪与Checkpoint、莫邪防火墙或支持OPSEC协议的防火墙互动;鹰眼入侵检测系统可以能够与南大苏富特、华堂,华依,天网,天融信,东方龙马和联想网御等多种防火墙进行联动。能够根据用户的配置,在探头检测到攻击信息后,与相应的防火墙之间建立安全连接,发送联动消息。用户在选购入侵检测系统时要考虑到和已有的防火墙或将要采购的防火墙是否可以实现互动匹配。 莫邪 Intrusion Detection既可以独立使用,又可以与防火墙产品配合使用,莫邪 Intrusion Detection不但支持冠群金辰的防火墙产品,也支持业界流行的其他防火墙。例如Checkpoint Firewall-1,Cisco PIX,Nokia等,还能够与Cisco路由器进行联动,同时可以提供和其他防火墙互动的接口。 中科网威在2.3版本上的联动支持与中科网威“长城”防火墙、联想网御防火墙、Checkpoint Firewall-1和天融信防火墙联动。联想IDS支持与联想、Chekpoint防火墙实现联动,并可以设置阻断时间。 在报表输出方面,良好的报表输出使检测更直观。测试中,我们主要考察了入侵检测能否根据用户习惯生成不同的报表及可供不同的用户群(包括高级网管员、普通管理员、上级领导等)分析、查看、入档、上报的能力。 在参测的入侵检测系统产品中,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统都能提供多种报表的输出和查询,在输出的格式、输出的内容以及提供报表的可读性上看,各个产品均表现不错。其中,鹰眼入侵检测系统的报表值得推荐。它在报表格式和内容上清楚、明了,更适合不同的用户群分析、查看、入档等。中科网威支持多种方式的报表,报表内容非常详细。 在用户管理方面,用户管理也是用户选购入侵检测产品时需要关注的。在本次参测的产品中,提供这种权限管理的产品有冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统。其中中科网威使用的权限分为四种,并对各种权限的用户行为进行审计,包括超级管理员、安全员、审计员和日志管理员,其管理较为方便。 检测能力是否够强 NIDS最主要的功能是检测非法入侵,即能够智能地报告入侵者的非法行为是检验入侵检测系统优劣的首要条件。我们主要从以下几个方面对参测产品的检测能力进行测试。 针对抗欺骗能力。入侵者为了逃避NIDS的检测,常见的手段是利用入侵检测系统不能正确模拟所有的TCP/IP栈的可能行为技术缺陷,在攻击时对TCP/IP数据包进行特殊的处理以避过入侵检测系统。如将TCP/IP包分成很小的碎片、打乱包的发送顺序、发送重叠的包、包含有不正确校验和、不正确序列号等,正常的TCP/IP软件可以正确重组和处理包,所以说,对于入侵检测系统,最艰巨的任务是重组通过TCP连接交换的数据。 在本次测试中,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统产品在抗欺骗技术方式等方面各有不同,但在抗欺骗功能的作用效率上,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统均表现不错。 针对变形攻击方面。变形攻击是黑客专门针对入侵检测并企图绕开检测而采取的惯用方法。入侵检测系统对于变形攻击行为的检测能力是非常重要的,对变形攻击的检测也是入侵检测系统检测能力的重要表现。在这次测试中,我们主要进行了10种典型的变形攻击测试,测试结果如下: 联想网御入侵检测系统100%地检测到10种变形,未出现误报和漏报现象。冠群金辰莫邪、鹰眼HawkEye、“网威”三款产品表现也不错。 针对内容恢复方面。内容恢复是入侵检测系统通过对网络探测器获取的原始数据进行保存,并通过协议分析来实现内容恢复的功能。这对于入侵检测系统来讲也比较重要。 在本次测试中,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统支持内容恢复功能。鹰眼HawkEye、“网威”入侵检测系统提供了对原始报文的保存功能,没有实现内容的回放功能。 但是,用户使用内容恢复这里涉及到个人隐私问题,比如正常的邮件来往就涉及到个人隐私问题,而某些用户却对此有某种需求。同时,内容恢复功能还会占用入侵检测系统大量的资源,因此,关于内容恢复功能用户可根据自己的实际需求来进行选择。 从躲避IDS检测的测试结果分析来看, 冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统检测能力较强,鹰眼HawkEye网络入侵检测系统和“网威”网络入侵检测系统表现也不错。 自身安全性是否够高 毫无疑问,入侵检测系统自身的安全性是衡量入侵检测系统好坏的另一个指标,一个脆弱的入侵检测系统对用户来讲是没有任何价值。因为NIDS的核心是一个复杂的软件系统,这意味着NIDS本身可能受到各种攻击。为了测试其自身安全性,我们进行了健壮性测试测试。 赛迪评测分别进行了超过两个小时以上的大规模模拟攻击,攻击速率为1000次/秒,由于测试发出多个有攻击特征的数据包与入侵检测系统的检测规则相匹配,因此所有的入侵检测系统都产生了大量的报警信息。测试结果表明,联想“网御”入侵检测系统、冠群金辰莫邪入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统产品通过了赛迪评测的强壮性测试。这些产品均未出现通信不通畅、实时告警停止以及失去反应甚至死机等现象。 性能检测率是否够高 入侵检测的性能反应了引擎每秒捕获数据包并进行处理的最大能力。一个性能良好的入侵检测系统能为用户分析所有数据包提供帮助。 测试时,我们建立了确认符合厂商安装要求的测试环境:在内外网环境中分别放置提供多种网络服务的服务器,包括web、ftp、mail、telnet、代理和数据应用服务,并已知该系统提供的服务及系统本身存在漏洞,保证攻击是有效的。 在测试中,使用Smartbits 6000B作为流量(包)发生器,使其产生的TCP流量作为背景流,混合20中攻击流进行测试。在测试中,我们用Smartbits 6000B产生不同流量压力的固定小包、固定大包、随机包和混合攻击数据包测试被测产品的检测率分布。 测试结果表明,四款产品在此次测试中均表现不错,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统平均检测率也都在90%以上。 随着近年来互联网络的发展,网络的安全问题日益严重,而在现有的安全事件中,由于攻击技术的不断发展,攻击手段的不断丰富,攻击所带来的危害愈加严重,人们防范攻击的难度不断增加。入侵检测作为一种高效、准确和智能化的网络攻击检测工具,成为防火墙之后的第二道安全闸门,得到了广泛的关注和认同。 本次赛迪评测针对这种应用,并受中国计算机报的委托,对国内外入侵检测系统进行测试,通过推荐的厂商和产品见表。 管理是否方便 关于入侵检测系统的管理功能我们主要从以下几个方面来考察。 首先是管理测试。良好的管理界面能为用户带来方便。在本次测试中,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统产品都采用引擎和控制台的方式工作。 在管理方面,鹰眼HawkEye网络入侵检测系统采用HTTPS的管理方式进行,使用加密技术来确保鹰眼网络入侵检测系统在各个工作环节中所有的传输数据的安全性。中科网威、联想、冠群金辰莫邪则采用GUI控制管理方式,配置灵活,使用方便。 在抗IDS攻击的事件合并能力方面,随着IDS产品的发展,针对IDS的攻击技术也随之而生,通过模拟大量能够使IDS产生报警的攻击数据,使IDS淹没在攻击事件风暴中,甚至漏过了真正的攻击数据。因此如何应对,成了众多IDS产品面临的课题,鹰眼产品在自主设计的事件合并算法的基础上,已经具备了针对这种攻击的抵抗能力。冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统产品对于事件风暴的处理都进行了不同程度事件合并,将风暴事件集中成一到两条报警信息。这样的处理体现了入侵检测系统的抗风暴攻击的能力。对于管理员来说,其意义在于他们不至于被大量的报警信息所淹没。联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、冠群金辰莫邪除提供对规则检测的事件合并外,还可针对每秒发送的数据包的多少进行设置,然后才判断是否进行报警,表现不错。“网威”网络入侵检测系统在事件合并功能中需要对脚本程序进行修改,适用于高级用户。 入侵检测系统从工作性质上来分,只能是一种捕获、分析并进行检测包的工具,从所处的位置来看,它处于网络主干的旁路,因此,要想让入侵检测系统参与网络行为,一方面就要在检测到攻击行为时发送RESET包阻断攻击,另一方面就要直接与防火墙通信,使防火墙自动生成相应规则,实现防火墙和入侵检测系统的互动,最大限度的保证网络的安全。 在这两种行为中,直接发送RESET包进行阻断的方式在一定程度上能完全阻断入侵,起到保护内部安全的作用,但产生的负面影响有可能比较大,比如产生误报或有人使用不同地址发送攻击包等,此时就会触发入侵检测系统发送RESET包进行阻断,这样最终的结果是网络拒绝服务。当然我们并不是否认直接阻断的方式,如果用户使用恰当,还会起到很好的作用的。因此,与防火墙产品的互动体现了联合防御能力。 与防火墙互动方面,冠群金辰莫邪与Checkpoint、莫邪防火墙或支持OPSEC协议的防火墙互动;鹰眼入侵检测系统可以能够与南大苏富特、华堂,华依,天网,天融信,东方龙马和联想网御等多种防火墙进行联动。能够根据用户的配置,在探头检测到攻击信息后,与相应的防火墙之间建立安全连接,发送联动消息。用户在选购入侵检测系统时要考虑到和已有的防火墙或将要采购的防火墙是否可以实现互动匹配。 莫邪 Intrusion Detection既可以独立使用,又可以与防火墙产品配合使用,莫邪 Intrusion Detection不但支持冠群金辰的防火墙产品,也支持业界流行的其他防火墙。例如Checkpoint Firewall-1,Cisco PIX,Nokia等,还能够与Cisco路由器进行联动,同时可以提供和其他防火墙互动的接口。 中科网威在2.3版本上的联动支持与中科网威“长城”防火墙、联想网御防火墙、Checkpoint Firewall-1和天融信防火墙联动。联想IDS支持与联想、Chekpoint防火墙实现联动,并可以设置阻断时间。 在报表输出方面,良好的报表输出使检测更直观。测试中,我们主要考察了入侵检测能否根据用户习惯生成不同的报表及可供不同的用户群(包括高级网管员、普通管理员、上级领导等)分析、查看、入档、上报的能力。 在参测的入侵检测系统产品中,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统都能提供多种报表的输出和查询,在输出的格式、输出的内容以及提供报表的可读性上看,各个产品均表现不错。其中,鹰眼入侵检测系统的报表值得推荐。它在报表格式和内容上清楚、明了,更适合不同的用户群分析、查看、入档等。中科网威支持多种方式的报表,报表内容非常详细。 在用户管理方面,用户管理也是用户选购入侵检测产品时需要关注的。在本次参测的产品中,提供这种权限管理的产品有冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统。其中中科网威使用的权限分为四种,并对各种权限的用户行为进行审计,包括超级管理员、安全员、审计员和日志管理员,其管理较为方便。 检测能力是否够强 NIDS最主要的功能是检测非法入侵,即能够智能地报告入侵者的非法行为是检验入侵检测系统优劣的首要条件。我们主要从以下几个方面对参测产品的检测能力进行测试。 针对抗欺骗能力。入侵者为了逃避NIDS的检测,常见的手段是利用入侵检测系统不能正确模拟所有的TCP/IP栈的可能行为技术缺陷,在攻击时对TCP/IP数据包进行特殊的处理以避过入侵检测系统。如将TCP/IP包分成很小的碎片、打乱包的发送顺序、发送重叠的包、包含有不正确校验和、不正确序列号等,正常的TCP/IP软件可以正确重组和处理包,所以说,对于入侵检测系统,最艰巨的任务是重组通过TCP连接交换的数据。 在本次测试中,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统产品在抗欺骗技术方式等方面各有不同,但在抗欺骗功能的作用效率上,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统均表现不错。 针对变形攻击方面。变形攻击是黑客专门针对入侵检测并企图绕开检测而采取的惯用方法。入侵检测系统对于变形攻击行为的检测能力是非常重要的,对变形攻击的检测也是入侵检测系统检测能力的重要表现。在这次测试中,我们主要进行了10种典型的变形攻击测试,测试结果如下: 联想网御入侵检测系统100%地检测到10种变形,未出现误报和漏报现象。冠群金辰莫邪、鹰眼HawkEye、“网威”三款产品表现也不错。 针对内容恢复方面。内容恢复是入侵检测系统通过对网络探测器获取的原始数据进行保存,并通过协议分析来实现内容恢复的功能。这对于入侵检测系统来讲也比较重要。 在本次测试中,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统支持内容恢复功能。鹰眼HawkEye、“网威”入侵检测系统提供了对原始报文的保存功能,没有实现内容的回放功能。 但是,用户使用内容恢复这里涉及到个人隐私问题,比如正常的邮件来往就涉及到个人隐私问题,而某些用户却对此有某种需求。同时,内容恢复功能还会占用入侵检测系统大量的资源,因此,关于内容恢复功能用户可根据自己的实际需求来进行选择。 从躲避IDS检测的测试结果分析来看, 冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统检测能力较强,鹰眼HawkEye网络入侵检测系统和“网威”网络入侵检测系统表现也不错。 自身安全性是否够高 毫无疑问,入侵检测系统自身的安全性是衡量入侵检测系统好坏的另一个指标,一个脆弱的入侵检测系统对用户来讲是没有任何价值。因为NIDS的核心是一个复杂的软件系统,这意味着NIDS本身可能受到各种攻击。为了测试其自身安全性,我们进行了健壮性测试测试。 赛迪评测分别进行了超过两个小时以上的大规模模拟攻击,攻击速率为1000次/秒,由于测试发出多个有攻击特征的数据包与入侵检测系统的检测规则相匹配,因此所有的入侵检测系统都产生了大量的报警信息。测试结果表明,联想“网御”入侵检测系统、冠群金辰莫邪入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统产品通过了赛迪评测的强壮性测试。这些产品均未出现通信不通畅、实时告警停止以及失去反应甚至死机等现象。 性能检测率是否够高 入侵检测的性能反应了引擎每秒捕获数据包并进行处理的最大能力。一个性能良好的入侵检测系统能为用户分析所有数据包提供帮助。 测试时,我们建立了确认符合厂商安装要求的测试环境:在内外网环境中分别放置提供多种网络服务的服务器,包括web、ftp、mail、telnet、代理和数据应用服务,并已知该系统提供的服务及系统本身存在漏洞,保证攻击是有效的。 在测试中,使用Smartbits 6000B作为流量(包)发生器,使其产生的TCP流量作为背景流,混合20中攻击流进行测试。在测试中,我们用Smartbits 6000B产生不同流量压力的固定小包、固定大包、随机包和混合攻击数据包测试被测产品的检测率分布。 测试结果表明,四款产品在此次测试中均表现不错,冠群金辰莫邪入侵检测系统、联想“网御”入侵检测系统、鹰眼HawkEye网络入侵检测系统、“网威”网络入侵检测系统平均检测率也都在90%以上。 
性能测试结果及分析 |
||||||||||||||||||||||||
