现在,已经有越来越多的企业意识到安全性问题,并在这方面投入更多的预算。据统计,有50%的安全性预算都用于入侵检测。那么,如何在不降低网络性能的情况下为用户提供快速的SSL(加密流量)交易呢?如何对恶意入侵进行实时有效的检测与防范呢?这就涉及到了网络“入侵检测系统(IDS)”及其完善管理的问题。
“集成化”渐成新趋势
要谈“入侵检测系统(IDS)”,首先要弄清什么叫“入侵检测”。所谓“入侵检测”,就是通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,以发现网络或系统中是否有违反安全策略的行为或遭到袭击的迹象。
“入侵检测系统(IDS)”则主要是通过以下几种活动来完成的:监视、分析用户及系统活动;对系统配置和弱点进行监测;识别与已知的攻击模式匹配的活动;对异常活动模式进行统计分析;评估重要系统和数据文件的完整性;对操作系统进行跟踪管理,并识别用户违反安全策略的行为。此外,有的入侵检测系统还能够自动安装厂商提供的安全补丁软件,并自动记录有关入侵者的信息。
绝大多数传统的入侵检测系统都采取两种方式来进行入侵检测,基于网络和基于主机。不管使用哪一种方式,都需要查找“攻击签名”。所谓“攻击签名”,就是用一种特定的方式来表示已知的攻击方式。
基于网络的IDS,使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。其主要优点包括低拥有成本、攻击者转移证据更困难、实时检测和应答、能够检测未成功的攻击企图以及操作系统独立等。
基于主机的IDS,一般监视Windows NT上的系统、事件、安全日志,以及UNIX环境中的Syslog文件。其主要优点包括非常适用于加密和交换环境、实时的检测和应答、不需要额外的硬件等。
基于网络和基于主机的IDS都有各自的优势,两者相互补充,就能使两种方式都能发现对方无法检测到的一些入侵行为。如从某个重要服务器的键盘发出的攻击并不经过网络,因此就无法通过基于网络的IDS检测到,只能通过使用基于主机的IDS来检测;基于网络的IDS通过检查所有的包首标来进行检测,而基于主机的IDS并不查看包首标。因此,联合使用基于主机和基于网络这两种方式,能够达到更好的检测效果。集成化,正成为IDS的发展趋势。从技术方面讲,IDS未来发展趋势还表现为:宽带高速实时的检测技术、大规模分布的检测技术、数据挖掘技术、更先进的检测算法和入侵响应技术等。
IDS技术发展的瓶颈
IDS作为新一代动态安全防范技术,不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动,近年来得到了深入的研究和广泛的应用。但是,与防火墙技术相比,入侵检测显得还不够成熟,仍然处于发展阶段。IDS还面临着在众多技术和应用方面的挑战。首先,要提高IDS的检测速度,以适应网络通信的要求。网络安全设备的处理速度,一直是影响网络性能的一大瓶颈。IDS通常以并联方式接入网络。如果其检测速度跟不上网络数据的传输速度,那么检测系统就会漏掉其中的部分数据包,从而导致漏报而影响系统的准确性和有效性。在IDS中,截获网络的每一个数据包,并分析其中是否具有某种攻击的特征,需要花费大量的时间和系统资源。现有的多数IDS仅有几十兆的检测速度,随着百兆,甚至千兆网络的大量应用,IDS技术发展的速度已经远远落后于网络速度的发展;其次,要减少IDS的漏报和误报。基于模式匹配分析方法的IDS,主要判别搜集到的数据特征是否在入侵模式库中出现。因此,面对每天都有新的攻击方法产生和新漏洞的发布,攻击特征库不能及时更新,是造成IDS漏报的一大原因;再次,要提高IDS的互动性能。在大型网络中,网络的不同部分可能使用了多种IDS,甚至还有防火墙、漏洞扫描等其他类别的安全设备。这些IDS之间,以及IDS和其他安全组件之间,如何交换信息,共同协作来发现攻击,并阻止攻击,是关系整个系统安全性的重要因素。
IDS技术发展到现今遇到的瓶颈和尴尬还包括:IDS配置成本高。在每个网络分段为每个传感器配置一台IDS的费用大约为25000美元;操作复杂。每个网络分段配置一台IDS非常麻烦;容量有限。IDS传感器只能处理有限的吞吐量,缺乏容错能力,扩展性差;不能对SSL流量进行检测,即不能实时扫描加密的流量以防止入侵攻击;网络集线器数目的增加会对网络可用性产生影响等。
从多个角度提高IDS的技术水平和性能,已成为网络安全厂商的当务之急。
挑战“加密流量”
企业处于繁忙的网络中,每天都会产生海量的日志和告警等,其中有真实的事件,也有误报。对这些海量数据的处理,成为网络管理员们每日很难承受的痛苦。实际情况是多数花钱收集来的网络数据反而成了累赘、垃圾。看来,仅有IDS这些安全设备还是不够的,对这些设备的管理,以及对这些设备产生的数据的处理同样重要。于是,数据挖掘、神经网络、人工智能、归一化、数据分类和决策支撑系统等技术纷纷被应用到安全信息管理上来。加强IDS管理,不仅是对IDS产生的众多数据处理的需要,也是克服IDS技术本身发展瓶颈的需要。在这方面,我们提出了“智能IDS管理”理念,并推出了CertainT100等产品,在全球范围内带动了“智能IDS管理”的新潮流。
“智能IDS管理”的基本思想是为用户节约成本。其特点在于,通过集中网络分段,以减少传感器的数量;通过流量过滤,来减少传感器的数量;通过CertainT100完成对SSL流量的安全检测;所有的IDS传感器都具有容错功能;检测所有流量,包括高吞吐量网络分段的流量;通过应用程序、负载均衡和过滤来分配流量,从而优化IDS性能;通过集中配置传感器来简化IDS和网络管理。基于这种技术,我们能够在不降低网络性能的情况下,为用户提供快速的SSL交易。在动态增强网络性能的同时,能够确保高效、连续和完全地实现电子商务交易。