快捷搜索:

从检测到预防 IDS的演化与革命

Gartner在去年8月的一份钻研申报中觉得,如今的入侵检测系统(IDS)已经难以适应客户的必要。IDS不能供给附加层面的安然,相反增添了企业安然操作的繁杂性。入侵检测系统朝入侵预防系统(IPS)偏向成长已成一定。实际上,可将IDS与IPS视为两类功能互斥的分离技巧:IPS重视接入节制,而IDS则进行收集监控;IPS基于策略实现,IDS则只能进行审核跟踪;IDS的职责不是包管收集安然,而是见告收集安然程度几何。

IPS不仅仅是IDS的演化,它具备必然程度的智能处置惩罚功能,能实时阻截进击。传统的IDS只能被动监视通信,这是经由过程跟踪互换机端口的信息包来实现的;而IPS则能实现在线监控,主动阻截和转发信息包。经由过程在线设置设置设备摆设摆设,IPS能基于策略设置舍弃信息包或中止连接;传统的IDS相应机制有限,如重设TCP连接或哀求变化防火墙规则都存在诸多不够。

IPS事情道理

真正的入侵预防与传统的入侵检测有两点关键差别:自动阻截和在线运行,两者缺一弗成。预防对象(软/硬件规划)必须设置相关策略,以对进击自动作出相应,而不仅仅是在恶意通信进入时向收集主管发出告警。要实现自动相应,系统就必须在线运行。

当黑客试图与目标办事器建立会话时,所稀有据都邑颠末IPS传感器,传感器位于活动数据路径中。传感器检测数据流中的恶意代码,核对策略,在未转发到办事器之前将信息包或数据流阻截。因为是在线操作,因而能包管处置惩罚措施适当而且可预知。

与此类比,平日的IDS相应机制(如TCP重置)则大年夜不相同。传统的IDS能检测到信息流中的恶意代码,但因为是被动处置惩罚通信,本身不能对数据流作任何处置惩罚。必须在数据流中嵌入TCP包,以重置目标办事器中的会话。然而,全部进击信息包有可能先于TCP重置信息包到达办事器,这时系统才做出相应已经来不及了。重置防火墙规则也存在相同问题,处于被动事情状态的IDS能检测到恶意代码,并向防火墙发出哀求阻截会话,但哀求有可能到达太迟而无法防止进击发生。

IPS检测机制

事实上,IDS和IPS中真正有代价的部分是检测引擎。IPS存在的最大年夜隐患是有可能激发误操作,这种“主动性”误操作会壅闭合法的收集事故,造成数据损掉,终极影响到商务操作和客户相信度。

500)this.width=500" border=0 twffan="done">

IDS和IPS对进击的相应历程

为避免发生这种环境,一些IDS和IPS开拓商在产品中采纳了多检测措施,最大年夜限度地精确判断已知和未知进击。例如,Symantec的ManHunt IDS最初仅依附于非常协议阐发,后来进级版本可让网管写入Snort代码(Sourcefire公司开拓的一种基于规则的开放源码说话情况,用于书写检测旌旗灯号)增强非常检测功能。Cisco近来也对其IDS软件进行了进级,在旌旗灯号检测系统中增添了协讲和通信非常阐发功能。NetScreen的硬件对象则包孕了8类检测手段,包括状态旌旗灯号、协讲和通信非常状况以及后门检测。

值得一提的是,Snort系统采纳的是基于规则的开放源代码规划,因而能方便识别恶意进击旌旗灯号。Snort旌旗灯号系统为IDS运行情况供给了很大年夜的机动性,用户可依据自身收集运行环境书写IDS规则集,而不是采纳通用检测措施。一些商业IDS旌旗灯号系统还具备二进制代码检测功能。

削减主动性误操作

集成多类检测措施能增添IDS和IPS检测进击的种类和数量,但仍无法避免误操作。主动性误操作是IPS应办理的重要问题,由于对合法通信的阻截会造成很多负面影响。

办理主动性误操作的有效措施是进行通信关联阐发,也便是让IPS全方位识别收集情况,削减差错告警。这里的关键在于要将啰唆的防火墙日志记录、IDS数据、利用日志记录以及系统弱点评估状况网络到一路,合理揣摸出将发生哪些环境,并做出相宜相应。

对收集运行情况的综合细致评估对发明致命进击和查找潜在破绽具有实质意义。今朝,已有IDS开拓商采纳该项技巧,它能赞助收集主管网络通信关联信息,从而前进IDS效率。Cisco声称其开拓的Cisco要挟相应(CTR)技巧能打消高达95%的差错告警。

CTR由Cisco旗下的Psionic软件公司开拓。CTR安装于专用办事器中,该办事器位于IDS传感器与IDS治理节制平台之间,当传感器发出告警时,CTR便扫描目标主机,以确定触发告警的进击是否会给系统带来晦气影响。CTR能进行快速简单阐发,如搜索开放端口、正确识别操作系统,或查找活动通信。更进一步的是,它还能扫描注册设置、事故日志记录和系统补丁事情状况,以确定目标主机是否易受进击。假如CTR检测到主机易受进击或进击发生,便提升事故告警级别,向节制台发出最高优先级处置惩罚哀求。

系统保护更受关注

如今很多IDS开拓商更多地关注的是系统保护而不仅仅是检测功能。ISS觉得,系统保护应同时包孕预防和检测技巧。ISS的RealSecure IDS基于收集和主机实现,能在线阻截种种进击。ISS的RealSecure Guard是一类软件IPS。RealSecure Guard经由过程非常协议阐发检测进击,并能在进击到达目标主机前实时将其阻截。

偏重于防火墙开拓的NetScreen也在朝这一领域成长。NetScreen旗下OneSecure公司开拓的IPS基于专用ASIC实现。NetScreen-IPD 100具备快速以太接口,最高吞吐率为200Mbps;NetScreen-IPD 500则具备千兆接口,峰值吞吐率达500Mbps。

IDS/IPS选择利用

是采纳IDS照样IPS,必要实地斟酌利用情况。IPS对照得当于阻拦大年夜范围的、针对性不是很强的进击,但对零丁目标的进击阻截有可能掉效,自动预防系统也无法阻拦专门的恶意进击者的操作。在金融利用系统中,用户除关心遭恶意入侵外,更担心误操作激发劫难性后果。例如,用户担心数据库中的信用卡账号损掉,最好的法子是加密存储。可见这类收集系统运用IDS对照得当。

潜在客户必要对设置设置设备摆设摆设IPS存在的风险和上风进行评估,也便是说是重在阻拦进击照样警备掉误操作。今朝来说,IPS还不具备足够智能识别所有对数据库利用的进击,一样平常能做的也便是检测缓冲区溢出。别的,IPS与防火墙设置设置设备摆设摆设相互关注。假如没有安装防火墙,则没有需要设置设置设备摆设摆设这类在线对象;假如熟知网段中的协议运用并易于统计阐发,则可采纳这类技巧。

一些机构对收集安然级别要求很高,如信用机构,这就必要混杂的IDS/IPS办理规划,如IntruVert公司开拓的IntruShield就兼具IDS/IPS功能,能自动监控通信并在线阻截进击。

成长前景

IDS市场将赓续成长,产品功能将不仅限于检测,IDS朝具备防护功能偏向成长已是大年夜势所趋。一项客户查询造访注解,IDS具备阻截进击功能排在其功能需求的首位。Infonetics估计,IDS市场在未来几年中将呈爆炸性增长,到2006年创造的收益将达16亿美元。

IPS产品已经涌现,其成长前景取决于进击阻截功能的完善。因为有着广泛的利用基本,传统的IDS并不会就此消掉。一种环境是,客户不必要通信阻截功能,而只监视通信状况;有些必要为预防系统增添智能处置惩罚功能,而有的客户则习气于人工处置惩罚。

Gartner将IPS视为下一代IDS,而且觉得很有可能成为下一代防火墙。

您可能还会对下面的文章感兴趣: