现在流行的IDS技术由于是专门为小于100M的共享式网络环境而设计的,因此在对抗高速网络环境中的黑客攻击时面临着若干尴尬,新一代IDS技术对于解决这种尴尬游刃有余,其中,Intruvert Network公司基于IntruShield体系架构的千兆级IDS产品尤为突出。
当代IDS面临的尴尬
现在市场上的IDS产品大多采用的是特征检测技术,这类产品是专门为小于100M的共享式网络环境设计的,现在,这种IDS产品已经不能适应交换技术和高带宽环境的发展,这主要表现在以下方面:
图一 IntruShield体系结构示意图
不完整的攻击检测技术,IDS对攻击有三种技术检测手段,分别是特征检测、异常检测和拒绝服务攻击检测。目前市场上的大部分IDS产品一般都是采用这三种检测技术之一。这些技术的缺陷是漏报、误报率高;检测出来攻击,但是不能阻止;仅适合小于100M的网络;性能不高。另外,目前市场上见到的很多IDS产品都是在Linux上开发的,大部分都是通过软件来实现的,即使有些厂商号称拥有硬件IDS产品,其实与实际上的硬件产品标准相差的还是很远,无法在高性能、高带宽的网络环境中使用。因此,为了完善安全体系,网络安全管理员不得不从几家不同的提供商购买不同的IDS系统。
针对IDS暴露出来的这些问题,目前很多公司都提出了自己的解决方案,例如ISS公司推出了千兆RealSecure,Intruvert Network推出了IntruShield,上海金诺推出了KIDS3.3,还有启明星辰推出的天阗N1000千兆IDS,这些产品各有特点,对前面提到的问题都有很不错的解决方案。下面就选取其中比较有特色的Intruvert Network公司的千兆级IDS IntruShield系统进行详细介绍。
新一代IDS Intruvert Network以体系为特色
Intruvert Network是一家致力于入侵检测技术的美国公司,虽然公司创建的时间不是很长久,产品也并不是非常有名气,但是Intruvert采用的IDS技术还是拥有一些非常独到之处。首先它推出了一种被称作IntruShield的结构,通过这种结构,它可以在千兆环境下提供实时网络入侵检测。Intruvert体系中含有三个组件:Sensor、管理平台和升级服务器。
捕获数据包技术
IntruShield体系的Sensor可以通过多种部署方式来捕获网络中的数据包,发现各式各样的网络攻击(如图二所示)。最传统的IDS部署方式是通过镜像口从HUB上的任意一个接口,或者在交换机上设置成监听模式的监听口上收集信息。IntruShield体系采用的是Tap Mode部署方式,用以双向监听全双工以太网连接中的网络通信信息,这样能捕捉到网络中的所有流量,能更好地了解网络攻击的发生源和攻击的性质,为阻止网络攻击提供丰富的信息,并能记录完整的状态信息,使得与防火墙的联动或者发送含有Reset的TCP包更加容易。Intrushield还可以直接部署在数据包经过的线路上,让数据直接经过它本身,以此通过实时丢弃恶意流量阻止网络攻击。这些阻止的动作可以由用户自己定义,这种部署模式也非常适合关键部门的应用。IntruShield体系还可以在一个IDS系统上同时对多个端口进行监听,将采集上来的数据包重组成一个单独的数据包进行状态和入侵分析。这种特性非常适合异步路由环境,因为这种环境下请求和回应可能不通过一个路由器。这样通过这种新型的IDS系统就可以维护准确的状态信息。
状态分析
IntruShield能够对捕获到的数据包进行深入的智能化分析,对网络中的流量进行状态分析(Stateful Analysis),当一个数据包经过网络的时候,IntruShield能够检查整个数据包的信息,然后将这个信息保存下来,并可以进行实时更新。记录这种状态信息使得Sensor能够获得与攻击相关联的数据包,提供更加准确的攻击检测功能。IntruShield的状态分析主要采用下面三种技术:
图二 传统IDS与新一代IDS工作模式对比
IP碎片重组和TCP数据流重组,IntruShield对捕获到的数据包进行IP碎片重组和TCP数据流重组,然后对重组后的数据包进行分析。这项技术非常重要,因为黑客有时会将恶意攻击代码分别放在多个数据包当中,借此逃避IDS的检测,然后对系统实施攻击,一旦这种数据包抵达目标主机,它们会重新恢复成恶意代码,对系统进行破坏。IntruShield能在这些数据包抵达目的地之前重新将这些数据包组合,如果发现其中存在恶意攻击代码,会及时丢弃。协议分析方面,Intruvert公司详细地分析了互联网上经常使用的一些主要协议,确保IntruShield对攻击协议的检测成功率能保持在一个非常高的水平之上,这种协议分析对检测缓存溢出攻击非常有效。通信正常化方面,在线模式下,IntruShield还提供了一种通信标准化的功能,这项功能能防止任何来历不明的通信,这意味着能被IntruShield系统接受的通信都与受保护的终端接受的通信完全一致。此外,IntruShield系统会删除任何不清楚的协议,实时清除任何有可能威胁的数据包,保护终端系统,这种通信标准的技术能有效防止任何欺骗IDS的技术,同时也能大大增强攻击检测的准确性。这种重要的特性也被称作Scrubbing,IntruShield系统利用这种技术可以将黑客的Fingerprinting主机系统杜绝。
三种入侵检测技术全包括
IntruShield同时采用了特征检测、异常检测和拒绝服务攻击检测三种入侵检测技术,它可以对已知的攻击模式进行检测,同时异常检测技术还允许网络工程师阻止类似红色代码这种没有特征的突发性攻击。
国内产品还有差距
综上所述,IntruShield技术与其他IDS技术相比,从性能指标上来说,已经远远超过了其他公司同类产品。目前市场上见到的IDS很少有能处理超过200M网络流量的,而IntruShield的IDS可以很容易地处理700M以内的网络流量。目前Intruvert推出的IntruShield 4000产品,专门应对高速网络,最高可以在2G的环境中检测出攻击。
从目前国内几家推出的千兆IDS产品来看,无论从技术本身,还是从管理界面,较最初推出的IDS产品都已经有了很大的变化,但是它们与IntruShield 相比,还是有不小的差距。不过,随着互联网在国内各大高等学府的发展和普及,越来越多的计算机爱好者都可以从互联网上寻找国外的最新技术,可以非常方便地通过电子邮件和即时通讯工具与国外的相关人员交流,甚至可以与IDS的作者直接对话,因此,虽然国外的技术起步比我们早,但是这种差距会随着时间越来越小,相信必定有一天中国的IDS技术会走在世界的前列。