中国网通集团研究院 郭牧
随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
一、入侵检测系统(IDS)诠释
IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应。
在本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。入侵检测/响应流程如图1所示。
图1入侵检测/响应流程图
目前,IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
二、IDS存在的问题
1.误/漏报率高
IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。
2.没有主动防御能力
IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。
3.缺乏准确定位和处理机制
IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。
4.性能普遍不足
现在市场上的IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包,形成DoS攻击。
三、IDS技术的发展
IDS虽然存在一些缺陷,但换个角度我们看到,各种相关网络安全的黑客和病毒都是依赖网络平台进行的,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地保证安全。这样,网络设备与IDS设备联动就应运而生了。
IDS与网络交换设备联动,是指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,由此即产生了入侵防御系统(IPS)的概念。
简单地理解,可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能,力求做到一旦发现有攻击行为,立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中,其功能示意如图2所示。
图2IPS功能示意图
除了IPS,也有厂商提出了IMS(入侵管理系统)。IMS是一个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。
四、网络安全的发展方向
1.检测和访问控制技术将共存共荣
以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。
(1)防火墙是网关形式,要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通(传输)和断(阻隔)两个功能,所以其传输要求是非常高的。
(2)而IDS是一个以检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低。其对性能的追求主要在:抓包不能漏、分析不能错,而不是微秒级的快速结果。IDS由于较高的技术特征,所以其计算复杂度是非常高的。
从这个意义上来讲,检测和访问控制技术将在一个较长的时期内更加关注其自身的特点,各自提高性能和可靠性,既不会由一方取代另一方,也不会简单的形成融合技术。
2.检测和访问控制的协同是必然趋势
虽然检测技术和访问控制技术存在着一定程度的差异,但是两个技术的协同工作和在应用上的融合又是一个迫切的要求和必然趋势。
安全产品的融合、协同、集中管理是网络安全的发展方向。大型企业需要一体化的安全解决方案,需要细力度的安全控制手段。中小企业一边希望能够获得切实的安全保障,一边又不可能对信息安全有太多的投入。从早期的主动响应入侵检测系统到入侵检测系统与防火墙联动,再到IPS和IMS,形成了一个不断完善的解决安全需求的过程。
3.如何进行技术融合
“集中检测,分布控制”这个观点对于如何看待检测技术和访问控制技术的走向是非常重要的。一个准确度不能完全令人满意的IDS,经过人工的分析可以变得准确。同样,经过大规模的IDS部署后的集中分析以及和其他检测类技术关联分析,可以获得更加精确的结果。这样局部的事件检测就向全局性的事件检测方向发展。根据全局性的检测结果就可以进行全局性的响应和控制。
全局性的检测可以有效解决检测的准确率问题,但是同时带来的就是检测过程变长,局部速度不够快的问题。所以,面对一些局部事件和可以准确地判断出的问题,阻断后带来的负面效应相对较少,针对其检测可以比较快速的时候,IPS就是一个比较好的方案了。
4.人仍是网络安全管理的决定因素
不可否认的是,人的因素仍然是网络安全管理的决定因素,网络安全最薄弱的环节也并不是系统漏洞,而是人的漏洞。安全问题的核心问题就是人的问题。因为一切不安全的因素全来自人(或者说一部分人)。那么我们与信息网络安全威胁的斗争,实际上是与人(或者说一部分人)的斗争,这样性质的斗争,自不待言,注定了它的艰巨性、复杂性和持久性。
因此,单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的,提高企业的网络安全意识,加大整体防范网络入侵和攻击的能力,并在此基础上形成一支高素质的网络安全管理专业队伍,及时准确地应对各式各样的网络安全事件,才能从根本上解决我们面临的威胁和困扰。