浅析IDS与IPS:检测与防护的共生与发展

10/11/2007来源:安全在线人气:5117

  入侵检测系统(IDS)是一种动态安全技术,但它不会主动在攻击发生前阻断它们。而入侵防护系统(ipS)则倾向于提供主动性的防护。在一段时间内,IDS和IPS将共同存在。

  存在的发展观

  IDS与IPS的发展其实非常有意思,因为他们的出现与发展的时间间隔并不长,而且到目前为止,各自都有坚定的用户与支持者,当然,各自的缺点也非常明显。在此,虽然有不少人认为IPS终将取代IDS而成为主流(有些人甚至认为UTM也是IPS的终结者),但记者并不敢全部认同。

  在IT产业中,这么多年了,从来没有过技术主导一切的定论,国内也是一样。君不见微软战胜苹果,TCP/IP搞掉OSI,道理很简单:适合的就是最好的。虽然技术很重要,但是也要考虑到用户的接受程度、应用水平与经济能力,尤其是在国内。

  记者一直认为,IDS在国内发展的一个重要领域是教育,虽然很多IPS厂商也认为教育是其主要市场,但作为先来者,IDS和很多全网安全方案的结合,帮助了其进一步存活的可能性,当然荷包不足的用户也是其发展的另一个条件。

  当然,记者的意思并非IDS将会一路高歌,恰恰相反,很多用户对于发现问题后及时采取行动的呼声与愿望越发高涨,眼下所担忧的仅仅是这种行动不要由于误打误撞而导致灾难。不管怎么说,这种愿望还是造成了眼前IDS与IPS的边界越来越模糊(甚至是和少数初级的UTM)----发现问题,采取一点点用户心理上能够承受的行动。

  从防火墙到IDS

  其实回忆早前防火墙在国内的应用可以发现,用户对于安全设备的理解与掌握,往往花费的时间都比较长。

  现在国内用户对防火墙已经有了很高的认知和应用水平(至少对ACL的配置选择已经不在陌生),并认可了其网络大门的地位。但不可否认,防火墙采用规则匹配的原理,对于内容的控制并不严密。虽然少数高端产品可以对应用协议进行动态分析----边界模糊的另一种证明----,但这样仍不能对进出网络的数据进行分析,特别是对网络内部发生的事件完全无能为力。

  Juniper公司的工程师向记者表示,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。因此如果把放火防火墙比作大门警卫的话,IDS就是网络中不间断的摄像机。IDS通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说IDS是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案

  在《网络世界》报社出版的《2005网络产品购买指南》中就曾指出,当前市场上存在的IDS可以分为以下两种:主机型IDS(HIDS)和网络型IDS(NIDS)。HIDS的分析对象为主机审计日志,所以需 要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。而NIDS的分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。

  从技术上说,无论采用HIDS还是NIDS,都能发现对方无法检测到的一些入侵行为,可互为补充,完美的IDS产品应该将两者结合起来。一些高端的IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。

  对一个成功的IDS系统来讲,它不但可使企业用户的网络管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的是,IDS大多管理、配置简单,从而使企业人员可以非常容易地获得网络安全。另外,好的IDS产品可以根据网络威胁、系统构造和安全需求的改变而改变。

  IDS系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。业界总结的通用IDS系统的主要功能包括:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动等。

  另外,一些业内的主流厂商,如Cisco、Checkpoint、ISS以及华为3Com等,他们一般采用基于模式匹配、异常情况或者完整性分析的判断方法。

  对于基于模式匹配的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现,此方法非常类似杀毒软件;而基于异常情况的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验等,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况;而完整性分析则关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。

  从IDS到IPS

  前面说过了,即便本着用户的呼声,IDS已经流露出了少许“该出手时就出手”的势头,但这毕竟是后话。为了解决IDS旁路侦听模式的弊端,IPS的概念被提了出来----一种采用在线模式的,可以对所有攻击采取适时行动的入侵防御系统。

  在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下,IPS的出现恰恰带有时势造英雄的味道。

  无疑,IPS倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS?是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。

  当然,这样做也是有条件的,IPS必须能够支持众多的攻击方式与协议,因为只有这样才能从网络中进行准确地判断。记者曾在去年汇总过国内外主流IPS厂商的性能分析报告,基本上符合国内企业用户需求的IPS产品都要支持如:HTTP、DNS、FTP、DOS、ICMP、RPC、SSH、Mail、Telnet、Backdoors、Finger、False negatives、Database、Reconnaissance等攻击方式以及企业四大协议(HTTP、FTP、SMTP、POP3)以外的新应用,如MSN、Skype等。

  另外,国内的企业用户在选购IPS的时候,还必须了解一点:由于IPS采用了在线模式,因此其本身对于网络的性能影响要比IDS大很多。因此用户必须考虑打开IPS后对于自身和网络的影响。比如IPS的性能不能是在“裸奔”或仅打开少量过滤器的前提下取得的,也不能是单纯的测试流量,如单纯的UDP流量或单一的包长度。国内用户应当结合自身情况判断,例如企业部署了VoIP的应用,那就必须去评价它的时延抖动问题,而且要在语音数据流中混杂一般数据模拟实际情况,否则又会是一场灾难。

  在记者的采访中,一些厂商也建议国内用户也可以分析IPS在负载情况下的各种效能参数(包括文章后面附表中的参数指标),像对随机端口发送的UDP流量、不考虑处理延时情况下的HTTP最大压力流量、考虑处理延时情况下的HTTP最大压力流量等。

  对于国内用户担心的另一个问题----由于IPS会对攻击采取行动,因此误报带来的灾难显然要比IDS产品大。记者在采访中得知,随着技术的进一步发展,这两年来主流IPS厂家的产品在精度控制上有了长足的进步。目前避免误报漏报主要参考两方面技术:一种是并行处理检测;另一种是协议重组。

  前者是指所有流经IPS的数据包,都要被送入FPGA单元中进行过滤器(逻辑门)匹配。由于常用的过滤器超过2000个,为了提高效率,FPGA采用并行处理的方式,实现在一个时钟周期内,完成对数据包实现所有过滤器遍历。无疑,这样可以极大地提升IPS的处理速度,但必须实现FPGA的并行化。

  而后者则将所有流经IPS的数据包,首先经过硬件级别的预处理,这个预处理过程主要完成对数据包的重组,以便IPS能够看清楚具体的应用协议。在此基础上,IPS根据不同应用协议的特征与攻击方式,将重组后的包进行筛选,将一些可疑数据包送入专门的特征库进行比对。由于经过了筛选,可疑数据量大大减少,因此可以大幅度减少IPS处理的工作量,同时降低误报率,当然这个预处理的过程将会是重中之重。

  但无论采用哪种技术,目的都是为了确保提升准确性,最大程度的保护用户的网络系统。而总结对于IPS与IDS的今后发展,套用时下流行的一句话:最大程度的保持现状,将来不排除统一的可能性。