2003年8月,Gartner公司副總裁RichardStiennon發(fā)表的一份名為《入侵檢測已壽終正寢,入侵防御將萬古長青》的報告,提出入侵檢測系統(tǒng)IntrusionDetectionSystem(IDS)已經(jīng)難以適應(yīng)客戶的需要。IDS不能提供附加層面的安全,相反增加了企業(yè)安全操作的復雜性。入侵檢測系統(tǒng)朝入侵防御系統(tǒng)IntrusionPreventionSystem(IPS)方向發(fā)展已成必然。
一石激起千層浪。剛剛從IDS脫穎而出的IPS,一時間竟然成了IDS的天敵。兩年多來,盡管事實上IDS非但沒有退出安全產(chǎn)品陣列,反而不斷更新、依然占領(lǐng)著繼防火墻之后第二大的安全產(chǎn)品市場份額,但是IDS行將就木的宣傳不僅引發(fā)了信息安全體系建設(shè)上的爭執(zhí)與混亂,而且給客戶的信息安全產(chǎn)品選型造成了不應(yīng)有的壓力與彷徨。
1.IDS的功能與缺陷
IDS本質(zhì)上是一種監(jiān)聽系統(tǒng),它依照一定的安全策略,對網(wǎng)絡(luò)與系統(tǒng)的運行狀況進行監(jiān)測,盡可能發(fā)現(xiàn)、報告、記錄各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證信息系統(tǒng)的機密性、完整性和可用性。IDS可分為主機型HIDS和網(wǎng)絡(luò)型NIDS,目前主流IDS產(chǎn)品均采用兩者有機結(jié)合的混合型架構(gòu)。
1.1IDS的傳統(tǒng)優(yōu)勢
NIDS使用原始網(wǎng)絡(luò)信息作為數(shù)據(jù)源,利用運行在隨機模式下的網(wǎng)絡(luò)適配器實時監(jiān)聽和分析通過網(wǎng)絡(luò)的所有通信,收集相關(guān)信息并記入日志;而HIDS則通常安裝在被檢測的主機之上,與該主機的網(wǎng)絡(luò)實時連接,負責對系統(tǒng)審計日志進行智能分析和判斷。若發(fā)現(xiàn)非法入侵或者違反統(tǒng)計規(guī)律的行為異常,IDS會立即發(fā)出警報,由系統(tǒng)管理員進行決策處理。IDS的傳統(tǒng)優(yōu)勢在于:
整體部署,實時檢測,可根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型,對用戶當前的操作進行判斷,及時發(fā)現(xiàn)入侵事件;
對于入侵與異常不必做出阻斷通信的決定,能夠從容提供大量的網(wǎng)絡(luò)活動數(shù)據(jù),有利于在事后入侵分析中評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性;
獨立于所檢測的網(wǎng)絡(luò),黑客難于消除入侵證據(jù),便于入侵追蹤與網(wǎng)絡(luò)犯罪取證;
同一網(wǎng)段或者一臺主機上一般只需部署一個監(jiān)測點就近監(jiān)測,速度快,擁有成本低。
1.2IDS的明顯缺陷
IDS最明顯的缺陷有:
被動防御的監(jiān)聽方式限制阻斷。目前IDS只能靠發(fā)阻斷數(shù)據(jù)包來阻斷建立在TCP基礎(chǔ)上的攻擊,對于建立在UDP基礎(chǔ)之上的入侵則無能為力;
基于特征的入侵檢測技術(shù)落伍。由于缺少信息管理,難于抵擋Canvas和MetaSploit等欺騙工具的攻擊和滲透;
誤報與漏報率高于客戶預期。有些IDS產(chǎn)品每天會產(chǎn)生大量的異常報告,其中絕大多數(shù)屬于非攻擊行為,需要具有相當專業(yè)水準的網(wǎng)絡(luò)安全管理員進行甄別,有時甚至會給客戶造成難于忍受的負擔;
對于檢測主機的依賴性。由于HIDS安裝于檢測主機之上,不僅消耗檢測對象的部分資源,影響到被檢測主機的效率,而且還必須針對不同的主機及其系統(tǒng)環(huán)境設(shè)計和安裝各自的HIDS。
2.IPS的優(yōu)勢與弱點
提到IPS,人們常常會談到一個公式:IPS=Firewall+IDS;也有文獻認為,將IDS的傳感器置于網(wǎng)絡(luò)通信線路之內(nèi)(In-line),讓所有網(wǎng)絡(luò)通信量必須通過它,就得到了一臺IPS。這兩種看法均有偏頗之處,但是卻殊途同歸地道出了一個事實:IPS來自IDS。
2.1IPS的原理與分類
青出于藍而勝于藍。IPS串聯(lián)于通信線路之內(nèi),是既具有IDS的檢測功能,又能夠?qū)崟r中止網(wǎng)絡(luò)入侵行為的新型安全技術(shù)設(shè)備。IPS由檢測和防御兩大系統(tǒng)組成,具備從網(wǎng)絡(luò)到主機的防御措施與預先設(shè)定的響應(yīng)設(shè)置。圖1是北京基格網(wǎng)絡(luò)技術(shù)有限公司研制的基格領(lǐng)袖IPS原理框圖,在同類產(chǎn)品中頗具代表性。
圖1.入侵防御系統(tǒng)IPS的原理框圖
目前,從保護對象上可將IPS分為三類:
基于主機的入侵防護(HIPS),用于保護服務(wù)器和主機系統(tǒng)不受不法分子的攻擊和誤操作的破壞;
基于網(wǎng)絡(luò)的入侵防護(NIPS),通過檢測流經(jīng)的網(wǎng)絡(luò)流量,提供對網(wǎng)絡(luò)體系的安全保護,一旦辨識出入侵行為,NIPS就阻斷該網(wǎng)絡(luò)會話;
應(yīng)用入侵防護(AIP),是將基于主機的入侵防護擴展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)信息安全設(shè)備。
2.2IPS不可低估的優(yōu)勢
實時檢測與主動防御是IPS最為核心的設(shè)計理念,也是其區(qū)別于防火墻和IDS的立足之本。為實現(xiàn)這一理念,IPS在如下四個方面實現(xiàn)了技術(shù)突破,形成了不可低估的優(yōu)勢:
在線安裝(In-Line)。IPS保留IDS實時檢測的技術(shù)與功能,但是卻采用了防火墻式的在線安裝,即直接嵌入到網(wǎng)絡(luò)流量中,通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認其中不包含異?;顒踊蚩梢蓛?nèi)容后,再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中;
實時阻斷(Real-timeInterdiction)。IPS具有強有力的實時阻斷功能,能夠預先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截,避免其造成任何損失;
先進的檢測技術(shù)(AdvancedDetectionTechnology)。主要是并行處理檢測和協(xié)議重組分析。所謂并行處理檢測是指所有流經(jīng)IPS的數(shù)據(jù)包,都采用并行處理方式進行過濾器匹配,實現(xiàn)在一個時鐘周期內(nèi),遍歷所有數(shù)據(jù)包過濾器;而協(xié)議重組分析是指所有流經(jīng)IPS的數(shù)據(jù)包,必須首先經(jīng)過硬件級預處理,完成數(shù)據(jù)包的重組,確定其具體應(yīng)用協(xié)議。然后,根據(jù)不同應(yīng)用協(xié)議的特征與攻擊方式,IPS對于重組后的包進行篩選,將可疑者送入專門的特征庫進行比對,從而提高檢測的質(zhì)量和效率;
特殊規(guī)則植入功能(Build-inSpecialRule)。IPS允許植入特殊規(guī)則以阻止惡意代碼。IPS能夠輔助實施可接收應(yīng)用策略(AUP),如禁止使用對等的文件共享應(yīng)用和占有大量帶寬的免費互聯(lián)網(wǎng)電話服務(wù)工具等;
自學習與自適應(yīng)能力(Self-study&Self-adaptationAbility)。為了應(yīng)對黑客們處心積慮、花樣翻新的攻擊手段,IPS必須具有人工智能的自學習與自適應(yīng)能力。能夠根據(jù)所在網(wǎng)絡(luò)的通信環(huán)境和被入侵狀況,分析和抽取新的攻擊特征以更新特征庫,自動總結(jié)經(jīng)驗,定制新的安全防御策略。
2.3IPS不可忽視的弱點
有其利必有其弊。IPS的主動防御優(yōu)勢也決定了它的下列弱點:
總體擁有成本(TOC)高。浩大的高可用性(HA)實時計算需求決定了IPS必須選用高端的專用計算設(shè)備,但是可觀的總體擁有成本卻使不少用戶望而卻步;
單點故障(Single-pointFault)。IPS的阻斷能力決定其必須采用網(wǎng)絡(luò)嵌入模式,而這就可能造成單點故障;
性能瓶頸(PerformanceBottle-neck)。即使IPS設(shè)備不出現(xiàn)故障,它仍然是一個潛在的網(wǎng)絡(luò)瓶頸,不僅會增加滯后時間,而且會降低網(wǎng)絡(luò)的效率,因此,絕大多數(shù)高端IPS產(chǎn)品供應(yīng)商都通過使用自定義硬件(FPGA、網(wǎng)絡(luò)處理器或者ASIC芯片)來提高IPS的運行效率,以減少其對于業(yè)務(wù)網(wǎng)絡(luò)的負面影響;
誤報(Falsepositive)與漏報(Falsenegatives)后果同樣嚴重。在網(wǎng)絡(luò)流量幾乎成幾何級數(shù)增加的情況下,一旦生成警報,最基本的要求就是不讓“誤報”有可乘之機,導致合法流量也很有可能被意外攔截。如果觸發(fā)了誤報警報的流量恰好是來自上級、合作伙伴和客戶的重要信息,IPS不僅實施了一次性錯誤阻斷,而且會切斷與他們的信息通道,其結(jié)果不言而喻。
3.IPS目前不可能取代IDS
我們既要看到IPS蓬蓬勃勃的增長勢頭,又要承認IDS在入侵檢測領(lǐng)域的傳統(tǒng)優(yōu)勢,肯定IPS目前尚不可能完全取代IDS的基本事實,在建立自己的網(wǎng)絡(luò)與信息安全體系的過程中,將兩者有機地結(jié)合起來。
3.1IPS增長勢頭強勁
根據(jù)IDC發(fā)布的案例,美國的一家財務(wù)公司,在全球有12個分支機構(gòu),原計劃使用多臺防火墻并搭配250個許可證的IDS。最終,該公司僅用了30個許可證的IPS產(chǎn)品就實現(xiàn)了全球網(wǎng)絡(luò)的入侵防御,而管理人員只需要3至4人,效率卻提高了6倍以上。
波士頓SappiFine報社信息安全總監(jiān)JimCupps說,作為具有10,000桌面設(shè)備和數(shù)百臺基于微軟服務(wù)器的公司,現(xiàn)在開始使用Determina基于主機的IPS,稱之為內(nèi)存防火墻的專用服務(wù)器,主要作為防御蠕蟲的附加件?;谛袨榈膬?nèi)存防火墻能夠監(jiān)測緩沖區(qū)溢出攻擊,"它并不能替代打補丁,但是它讓我們不必立即打補丁,我們戰(zhàn)勝了'補丁恐慌’,如果漏洞確實存在,入侵防御系統(tǒng)能夠幫忙。"
圖2.IPS市場銷售統(tǒng)計與預測(2003-2008)
在受益于IPS的優(yōu)勢和效益的同時,不少用戶對于其弱點和不足,也能給與理解與寬容。大名鼎鼎的網(wǎng)絡(luò)安區(qū)專家MathiasThurman在IDC的《計算機世界》上寫道,由于In-line安裝,IPS設(shè)備的故障可能根本上阻斷網(wǎng)絡(luò)通信。因此,我們需要選擇具有容錯能力的IPS,即故障時能讓通信暢通。我愿意承擔短時期自我開放的風險,也不愿面臨數(shù)以千計的雇員無法工作,損失收入和勞動生產(chǎn)率的局面。
正是由于IPS主動防御和易于管理的特性,致使其銷售也正在突飛猛進。圖2是來自于IDC的2003-2008年IPS銷售額的統(tǒng)計與預測。從此圖中可以看到,到2008年,IPS的銷售額可高達11.8億美元,比2005年增加將近一倍。
3.2為何IPS不會立即取代IDS?
應(yīng)該指出,到目前為止IPS尚未強大到足以取代IDS的地步,或者它根本不必要全面取代IDS就能拓展自身的生存空間。這是因為:
IPS尚難應(yīng)對較為復雜的攻擊。受檢測技術(shù)、傳輸技術(shù)、芯片技術(shù)等多方面的約束,當前IPS能夠解決的主要是準確的單包檢測和高速傳輸?shù)娜诤蠁栴},對于端口掃描、拒絕服務(wù)、蠕蟲等特征比較明確的攻擊可以做到高效的檢測和及時的阻斷,而對于更為復雜的攻擊就難于應(yīng)對;
IPS的分析報告功能太弱。對于In-line的IPS來說,分析得越清晰準確,計算復雜度越高,傳輸延遲就會越大。美國網(wǎng)絡(luò)世界實驗室聯(lián)盟成員RodneyThayer認為,在報告、分析等相關(guān)技術(shù)完善得足以防止虛假報警之前,IPS不可能取代IDS設(shè)備。IPS可能將取代外圍防線的檢測系統(tǒng),而網(wǎng)絡(luò)中的一些位置仍然需要檢測功能,以加強不能提供很多事件信息的IPS;。
IDS正在走向檢測與訪問控制相融合。一個不太準確的IDS,經(jīng)過人工的分析可以變得準確;同樣,經(jīng)過大規(guī)模的IDS部署后的集中分析,以及和其他檢測類技術(shù)的關(guān)聯(lián)分析,可以獲得更加精確的結(jié)果。根據(jù)全局性的檢測結(jié)果就可以進行全局性的響應(yīng)和控制。從宏觀看檢測和訪問控制的融合是IDS的發(fā)展方向;
技術(shù)上的相互滲透和融合并非一定要在產(chǎn)品上取而代之。防火墻最主要的特征是通(傳輸)和斷(阻隔)兩個功能,并不對通信包的數(shù)據(jù)部分進行檢測;IDS是一個檢測和發(fā)現(xiàn)為特征的技術(shù)行為,其追求的是抓包不能漏,分析不能錯,盡量降低漏報率和誤報率。因此,防火墻、IDS和IPS一樣在網(wǎng)絡(luò)信息安全體系中可以各顯身手,相輔相成。
4.一個相輔相成的解決方案
美國網(wǎng)絡(luò)世界實驗室聯(lián)盟成員JoelSnyder認為,未來將是混合技術(shù)的天下,在網(wǎng)絡(luò)邊緣和核心層進行檢測,遍布在網(wǎng)絡(luò)上的傳感設(shè)備和矯正控制的通力協(xié)作將是安全應(yīng)用的主流。
全局性的檢測可提高準確率,但是使檢測過程變長,局部反應(yīng)速度過慢。因此,面對一些局部事件,可以相當準確地判斷出問題所在而阻斷風險不大時,IPS當之無愧地成為首選產(chǎn)品;而對于需要全面檢測和事后分析的情況,則非IDS莫屬。根據(jù)客戶需求將兩者統(tǒng)一部署,使其相輔相成,不失為一個優(yōu)秀的解決方案,圖3給出了一個高可用性IPS、IDS與防火墻綜合入侵防御的解決方案。該方案的要點是:
網(wǎng)絡(luò)主干線的IPS和防火墻均采用雙機動態(tài)熱備份部署,確保任何單機故障均不會影響主干網(wǎng)的暢通;
將高端IPS串接于路由器與防火墻之間,利用IPS能夠快速終結(jié)DoS與DDoS、未知的蠕蟲、異常應(yīng)用程序流量攻擊所造成的網(wǎng)絡(luò)斷線或阻塞的性能特長,實現(xiàn)網(wǎng)絡(luò)架構(gòu)防護機制,保護防火墻和核心交換機等網(wǎng)絡(luò)設(shè)備免遭入侵和攻擊;
信息中心和業(yè)務(wù)服務(wù)器的子交換機前分別部署一臺中級IPS,可以有效地阻斷來自內(nèi)部和外部對于公共訪問和關(guān)鍵業(yè)務(wù)服務(wù)器群的攻擊;
在各子網(wǎng)的分交換機端口部署分布式IDS的網(wǎng)絡(luò)引擎,對各子網(wǎng)的通信進行實時監(jiān)聽,發(fā)現(xiàn)攻擊或者誤操作立即報告其中心控制臺,向系統(tǒng)管理員發(fā)出警報,并且做好時間記錄和報告,以便進行事件分析。
結(jié)束語:
主動防御與實時阻斷是IPS的立足之本,但是由于受到技術(shù)與成本的局限,IPS尚無法完全替代IDS全面的檢測與報告功能。IPS與IDS相比較而存在、相斗爭而發(fā)展的局面仍然會繼續(xù)下去。作為信息安全工作者或者用戶,沒有必要去爭論兩者誰會戰(zhàn)勝誰,而應(yīng)該研究如何發(fā)揮雙方的特長,使其相輔相成,共同建立現(xiàn)實的信息安全體系。