zack 2003-10-21 11:12
我拿什么来拯救你
——关于IDS的思考
IDS(入侵检测系统)一直以来是作为网络安全防范的辅助手段,它有着路由器、防火墙不可比拟的特性。堡垒型路由器和防火墙是入侵防御产品,IDS则是入侵检测产品,防火墙虽然抵御外部入侵但却无法检测“翻墙”入侵事件。IDS无论在入侵前或入侵后都具有监测、分析能力。
IDS的出现自伴随网络发展以来逐渐形成主机型、网络型、混和型三大类型。网络型可以协助检测端口扫描、Dos(Denial of Service)、漏洞攻击之类的非法活动;主机型则协助检测系统的完整性及依附在系统上应用软件是否有漏洞。通过IDS可以有效的监测到系统安全隐患及试图非法入侵事件,它为管理者提供了实时的检测、监控数据,有了这些记录管理员可以迅速排查问题或作为进一步追查的依据。混和型是将网络型和主机型两类无缝结合起来部署在网络内,构架成一套完整立体的防御体系,综合了基于网络和基于主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。根据网络安全架构次序,IDS通常放在防火墙后面。防火墙可以抵御外来的攻击、入侵却监测不了来自内部的入侵,而往往是来自内部的入侵、渗透高于外部。
通过在交换机上作端口镜像,IDS可以象闭路电视一样通过滥用监测方式,监测每一个进出的网络封包,当看到封包后就会和内部的特征资料库作对比,如果封包符合特征资料库内的记录,IDS会发出警报(alert),并记录封包经过的时间、来源IP、目的地IP、及alert级别等信息。剩下的事则由管理员去作回应或直接关闭链接,以免受到进一步地攻击或渗透。由此可见IDS不仅能够辅助防火墙给给网络安全提供保障,还可以提供详尽事件记录供管理员分析、追踪入侵者。
众所周知防病毒软件必须经常更新病毒特征库,才能正确的扫描到新的病毒。IDS也是需要定期更新特征资料库才能准确的判断、识别到新的攻击、入侵方式。但总是先有矛后有盾,往往发现新的入侵手段后才会被加入特征资料库,这种滞后现象导致采用滥用监测无法做出正确响应,甚至不会给管理员发出报警。那么异常监测呢?异常监测通过已有网络环境正常状态设计出的概率模型来设定规则来做出防范,这和防火墙策略设置很相似。但令管理员头疼的是,规则设定中的事件元素无法做出精确的描述,若描述不当IDS会造成误报。混和监测是当前流行的一种监测方式,它将系统正常状态作为依据来分析,并兼顾了异常监测。虽然这种方式可以更全面、准确但是计算量非常大,如果超过处理能力,不仅会造成漏报而且其IDS系统本身稳定性都会受到影响。更为遗憾的是目前几乎所有的监测都是基于明文,一个含有加密指令的封包就会使先前设定好的特征及分析失去作用,无法正确响应。
面对层出不穷的避规手段及经常发生的漏报、误报让管理员伤透脑筋,有人认为IDS只是一块鸡肋,没有实际作用不用也罢。该如何走下去?怎样挽救它?现在很流行的趋势是将IDS做成IPS(Intrusion Prevention System,入侵防御系统),将入侵检测和防火墙技术相结合。的确这样做有利于防范,但产品成本会增加,而且会减弱在监测分析上的比重,脱离了IDS本身应有的特性。
IDS在完整网络安全体系中是不可缺少的一环,尤其在分析防范和预警方面还是无人争峰的。入侵检测不是入侵防卫,IDS的发展应该走与其他安全产品整合之路。个人认为可以通过完善三个方面去与其他安全产品无缝整合。一是提高性能;二是统一通用;三是进驻系统内核。
提高性能:即提高分析能力及系统自身强壮。在一个完善的xIDS(各种IDS的统称)中最重要的一个组成部分是分析器,提高性能是为了拥有强大的计算处理能力,有效的避免丢包现象,减少漏报。同时完善的xIDS自身系统,能提供可靠的稳定性。
统一通用:即统一标准,包括模型、数据元素定义、算法等,让xIDS具有互操作性,减少不必要的开销。规范统一的标准可以提供通用的API,有利于和第三方安全产品整合,这有点像数据库。
进驻系统内核:入侵的直接目的是为了取得系统的控制权,通过依附系统内核可以减少通过避规手段绕过IDS发生的入侵事件,甚至可以抑止缓冲区溢出事件发生。
也许我们构造不出万无一失的网络体系,如果有一天被入侵后会对着IDS说:至少还你。这就足够了!