大约在两年前,IPS(入侵防护)的概念被推到了台前。由于IPS增加了对入侵的主动阻断功能,一时间IPS取代IDS(入侵检测)的呼声日渐高涨,而Gartner发表的“IDS将死、IPS获胜”言论更是让这两种技术的争斗达到了白热化。如今,距离“IDS灭亡论”发表已经有一年多时间了,那么IDS和IPS的现状又是如何?
IDS功过
在国内,IDS没有受到“灭亡论”的太大影响,尤其是近年来,IDS在网络中的应用逐渐增多起来。在很多对安全等级要求很高的证券、金融以及电信的网络中,我们都能发现IDS的身影。
随着企业网络结构的不断扩大和日益复杂,由内部员工违规引起的安全问题变得突出起来,防火墙、防病毒等常规的安全手段只能对付外部入侵,而对于内部违规行为却无能为力,而IDS可以审计跟踪内部违反安全策略的行为。
联想信息安全的CTO刘科全认为,促使IDS得到广泛应用的另一个因素是,Slammer、冲击波等针对系统漏洞的攻击不断增多,新的软件漏洞不断被发现,一些分析系统缺陷、编写攻击程序或制作蠕虫病毒的简单工具也在不断发展之中,从发现缺陷到释放出蠕虫病毒的时间间隔也在进一步缩短,用户需要一种可以检测攻击的有效工具,IDS就是其中的一种。
同时,也有很多用户反映IDS带来的麻烦大于贡献。某经济研究院的信息中心刘主任说,IDS的误报率太高,只要一开机,便响个不停,在每天发出的上万条的报警信息中,真正有价值的信息却寥寥无几,而从上万条信息中挖掘出有用信息费时又费力,通常需要设立专人负责管理IDS,这在缺乏IT人才的企业中是很不现实的。这个观点很具代表性。
IDS的困惑
调查显示,误报和漏报严重、海量信息难以分析、难以与其他设备进行联动、难以部署、存在安全隐患是始终不离IDS左右的老问题。其中,前两者是用户反映最为强烈的问题,各式各样的IDS设备都存在不同程度的误报和漏报现象。即使认为IDS贡献大的用户也同样遭遇误报和漏报的困扰,只不过在权衡误报、漏报以及检测入侵方面,这些用户更看重后者。
对于误报和漏报,刘科全认为,这主要是与IDS检测机制的缺乏有关。综合运用多种检测机制,包括特征对比、协议异常分析等技术,可以显著降低IDS的误报和漏报,IDS同时需要引入数据挖掘技术、神经网络、专家分析系统等技术以提高信息分析能力。
除了上述不足之外,许多用户还对主机型IDS的安全性提出了置疑。另外多数的用户不满足于IDS的现有功能,认为IDS仍有必要进一步改进功能。用户希望IDS能够按紧急程度不同发出报警、生成详细报告、分析攻击事件、真正实现与安全设备的联动。中国科学院软件所研究员冯登国认为,未来的IDS还需要面向宽带高速实时的网络环境,引入数据挖掘、分布式部署、免疫和神经网络技术,并且适应IPv6的技术要求。
IPS主动保护脆弱系统
用户希望IDS能够增加主动阻断攻击的能力,在危害出现时能够直接将其阻断。用户的这种希望并不是空穴来风,而是与当前的安全形势息息相关。系统漏洞屡屡被攻击,主动防御和应用安全的压力从来没有如此凸显过。一方面系统的复杂性在不断提高,几乎每周都会有系统缺陷被发现;另一方面利用高危缺陷进行入侵和传播的攻击技术也在快速发展,用户需要一种能够实时阻断攻击的安全技术。
从工作原理上来看,IDS技术属于被动式的反应式技术,这种技术在安全威胁传播速度较慢时并没有显现出太大问题,随着威胁传播速度的加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应,这给IPS提供了市场机会。
从技术的同源性上来看,IPS和IDS之间有着千丝万缕的必然联系,IPS可以被视作是增加了主动阻断功能的IDS。例如McAfee的IntruShield以在线方式接入网络时就是一台IPS,而以旁路方式接入网络时就是一台IDS。但是,IPS绝不仅仅是增加了主动阻断的功能,而是在性能和数据包的分析能力方面都比IDS有了质的提升。
提升性能和检测准确率
厂商首先对于IPS的性能进行了精心打造,主要是借助ASIC芯片技术和软件加速技术来实现高性能,目前市场上IPS的性能可以达到千兆以上。
由于增加了主动阻断能力,检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。
除了检测机制外,IPS的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的,而对于另外的用户来说就是正常流量,这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段,以提高检测准确率。McAfee、Juniper、ISS同时都在IPS中提供了调优机制,使IPS通过自学习提高检测的准确性。
引入弱点保护技术
引入弱点分析技术是IPS的另一个亮点。IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征,使IPS能够主动保护脆弱系统。
由于软件漏洞是不法分子的主要攻击目标,所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。赛门铁克在IPS设备中采用了漏洞阻截技术。通过研究漏洞特征,将其加入到漏洞签名库中,IPS就可以发现符合漏洞特征的所有攻击流量。冲击波及其变种都利用了RPC(微软操作系统的一个漏洞)漏洞。赛门铁克通过研究并提取RPC漏洞的特征,组成特征签名并将其推送给IPS设备。在公布漏洞和病毒爆发的一段间隔里,用户只需将漏洞特征签名自动下载,就可以在冲击波及其变种大规模爆发时,直接将其阻断,从而赢得打补丁的关键时间。
与IDS的分类相似,IPS可以分为主机型和网络型两种。在主机型IPS与网络型IPS的选择方面, 92%的用户倾向于选择基于网络的IPS,只有8%的用户打算选择主机型的IPS。
基于主机的入侵防护是一种软件,位于一台服务器上,能够阻止网络攻击,保护操作系统和应用。这种技术可以采用基于事先确定的规则或者自学习的行为分析策略,来阻挡恶意服务器或PC行为,阻止攻击者进行缓存溢出攻击、修改注册表,改写动态链接库或者通过其他方法获得操作系统的控制权。
主机型IPS可以作为截取应用和底层操作系统之间通信的软件“过滤器”。主机型IPS的这一特点是把双刃剑,使得用户在选择这类产品时格外慎重。
作为一种主动、积极的入侵阻断系统,网络型IPS部署在网络的进出口,预先对入侵活动和攻击性流量进行拦截,避免其造成任何损失。网络型IPS是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将网络流量传送到内部系统中。这样一来,有问题的数据包以及所有来自同一数据流的后续数据包,都能够在网络型IPS设备中被清除掉。由于网络型IPS能够在线实时去除恶意流量,具有状态检测的功能,综合检测多种入侵攻击,同时不需要设立IP地址就可以透明地连接到网络上,不会对用户网络和系统造成影响,因而受到用户的青睐。
相关热词搜索: IDS IPS