IPS(入侵防御系統(tǒng))提出了多年,一直有個(gè)聲音認(rèn)為IPS會(huì)取代IDS(入侵檢測(cè)系統(tǒng)),但是幾年過(guò)去了,情況并非如此,那么IPS 目前到底處于什么狀態(tài)呢?
據(jù)調(diào)查,目前59%的用戶部署了IDS,27%的用戶將IDS列入購(gòu)買(mǎi)計(jì)劃,62% 用戶在關(guān)注 IPS,并且7%的用戶有意向購(gòu)買(mǎi) IPS,這些數(shù)據(jù)表明,IDS和IPS 在國(guó)內(nèi)都呈現(xiàn)出繁榮發(fā)展的前景。
這與幾年前一些研究機(jī)構(gòu)預(yù)計(jì)的“IPS將逐步取代IDS”的看法截然不同。IPS 既沒(méi)有得到 “一覽眾山小”的市場(chǎng)局面,IDS 也沒(méi)有“節(jié)節(jié)敗退”,是什么原因使得人們的預(yù)測(cè)出現(xiàn)了如此大的偏差呢?要想找出其中的原因,不得不從研究歷史出發(fā),看看IDS 和IPS 都是如何發(fā)展的。
需求決定IDS 不會(huì)消沉
安全防護(hù)是一個(gè)多層次的保護(hù)機(jī)制,它既包括企業(yè)的安全策略,又包括防火墻、防病毒、入侵檢測(cè)等產(chǎn)品技術(shù)解決方案。而且,為了保障網(wǎng)絡(luò)安全,還必須建立一套完整的安全防護(hù)體系,進(jìn)行多層次、多手段的檢測(cè)和防護(hù)。IDS正是構(gòu)建安全防護(hù)體系不可缺少的一環(huán)。
雖然有很多用戶對(duì)IDS 是否具有存在價(jià)值表示過(guò)質(zhì)疑,但到目前為止,更多的用戶是在關(guān)注如何最大程度地發(fā)揮IDS 的作用,來(lái)保障網(wǎng)絡(luò)的安全。
據(jù)市場(chǎng)統(tǒng)計(jì)顯示,2005 年 IDS 可以占到安全市場(chǎng)全年總額的11.2%,市場(chǎng)銷售額達(dá)到5. 5億元。而2004 年國(guó)內(nèi)IDS產(chǎn)品全年銷售額是3.8億元,占中國(guó)網(wǎng)絡(luò)安全市場(chǎng)全年市場(chǎng)份額的 10.9%。2003 年IDS的市場(chǎng)銷售額是2.75億元??梢钥闯?,隨著國(guó)內(nèi)用戶的成熟,IDS在網(wǎng)絡(luò)安全市場(chǎng)中也是處在一個(gè)穩(wěn)定的發(fā)展階段。在這種情況下,誰(shuí)能說(shuō)IDS的市場(chǎng)會(huì)江山不再呢?
促使IDS 得到廣泛應(yīng)用的另一個(gè)因素是,Slammer、沖擊波等針對(duì)系統(tǒng)漏洞的攻擊不斷增多,新的軟件漏洞不斷被發(fā)現(xiàn),一些分析系統(tǒng)缺陷、編寫(xiě)攻擊程序或制作蠕蟲(chóng)病毒的簡(jiǎn)單工具也在不斷發(fā)展之中,從發(fā)現(xiàn)缺陷到釋放出蠕蟲(chóng)病毒的時(shí)間間隔也在進(jìn)一步縮短,用戶需要一種可以檢測(cè)攻擊的有效工具,IDS 就是其中的一種。
自身改進(jìn)打破IDS 滅亡論
雖然前一時(shí)間IPS取代IDS 的呼聲日漸高漲,而且Gartner 發(fā)表的“IDS將死”言論更是讓這兩種技術(shù)的爭(zhēng)斗達(dá)到了白熱化,但在國(guó)內(nèi),IDS還沒(méi)有受到 “滅亡論”的太大影響,這主要是因?yàn)镮DS不斷地進(jìn)行著改造。目前的IDS 技術(shù)是需要有比較大的改進(jìn)才能滿足客戶的需要,可能需要細(xì)分市場(chǎng)做出不同的產(chǎn)品來(lái)滿足不同的客戶。
從安全廠商來(lái)看,安氏中國(guó)、綠盟科技、McAfee、天融信、方正、冠群金辰、聯(lián)想、東軟、中科網(wǎng)威、啟明星辰等眾多廠商都有多款百兆和千兆的 IDS 產(chǎn)品。從對(duì)這些主流IDS 產(chǎn)品的評(píng)測(cè)來(lái)看,IDS 產(chǎn)品在性能方面也是不斷進(jìn)步的。比如, 2002 年——2003 年的百兆IDS 產(chǎn)品,在64 字節(jié)100%壓力下平均檢測(cè)能力僅有40.2%,而2003 年——2004年,部分百兆IDS 產(chǎn)品檢測(cè)能力已達(dá)到100%,這標(biāo)志著百兆IDS 產(chǎn)品在性能方面已經(jīng)成熟。
而千兆IDS 產(chǎn)品的性能也有了長(zhǎng)足的發(fā)展,捕獲數(shù)據(jù)包的能力每秒67 萬(wàn)——85 萬(wàn),最高可達(dá)140 多萬(wàn),對(duì)大流量網(wǎng)絡(luò)的適應(yīng)能力明顯增強(qiáng)。還有在功能方面,部分IDS 產(chǎn)品幾年前就具備了網(wǎng)絡(luò)流量分析、頁(yè)面重組、內(nèi)容恢復(fù)、事件回放等功能,如今不僅功能更為完善多樣,而且功能的模塊化也更有利于用戶根據(jù)實(shí)際需要進(jìn)行定制和應(yīng)用。
近年來(lái),IDS在網(wǎng)絡(luò)中的應(yīng)用逐漸增多起來(lái)。在很多對(duì)安全等級(jí)要求很高的證券、金融以及電信的網(wǎng)絡(luò)中,我們都能發(fā)現(xiàn)IDS的身影。某證券公司的IT主管談到:“隨著企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的不斷擴(kuò)大和日益復(fù)雜,由內(nèi)部員工違規(guī)引起的安全問(wèn)題變得突出起來(lái),防火墻、防病毒等常規(guī)的安全手段只能對(duì)付外部入侵,對(duì)于內(nèi)部違規(guī)行為卻無(wú)能為力。而IDS 可以審計(jì)跟蹤內(nèi)部違反安全策略的行為。另外,IDS 可以記錄、報(bào)警各種安全事件,有利于進(jìn)行安全審計(jì)和事后追蹤,對(duì)于追溯和阻止拒絕服務(wù)攻擊能夠提供有價(jià)值的線索。”
IDS 缺陷成就IPS
不過(guò)我們同時(shí)也看到,也有很多用戶反應(yīng)IDS 帶來(lái)的麻煩大于貢獻(xiàn)。有用戶反映,IDS 的誤報(bào)率太高,只要一開(kāi)機(jī),警報(bào)便響個(gè)不停,在每天發(fā)出的上萬(wàn)條的報(bào)警信息中,真正有價(jià)值的信息卻寥寥無(wú)幾,而從上萬(wàn)條信息中挖掘出有用信息費(fèi)時(shí)又費(fèi)力,通常需要設(shè)立專人負(fù)責(zé)管理IDS,這在缺乏IT人才的企業(yè)中是很不現(xiàn)實(shí)的。
想要解決誤報(bào)和漏報(bào)的問(wèn)題,要綜合運(yùn)用多種檢測(cè)機(jī)制,包括特征對(duì)比、協(xié)議異常分析等技術(shù),同時(shí)需要引入數(shù)據(jù)挖掘技術(shù)、神經(jīng)網(wǎng)絡(luò)、專家分析系統(tǒng)等技術(shù)以提高信息分析能力。 未來(lái)的IDS還需要面向?qū)拵Ц咚賹?shí)時(shí)的網(wǎng)絡(luò)環(huán)境,引入數(shù)據(jù)挖掘、分布式部署、免疫和神經(jīng)網(wǎng)絡(luò)技術(shù),并且適應(yīng) IPv6 的技術(shù)要求。
很多用戶希望IDS 能夠增加主動(dòng)阻斷攻擊的能力,在危害出現(xiàn)時(shí)能夠直接將其阻斷。用戶的這種希望并不是空穴來(lái)風(fēng),而是與當(dāng)前的安全形勢(shì)息息相關(guān)。
系統(tǒng)漏洞屢屢被攻擊,主動(dòng)防御和應(yīng)用安全的壓力從來(lái)沒(méi)有如此凸顯過(guò)。一方面系統(tǒng)的復(fù)雜性在不斷提高,幾乎每周都會(huì)有系統(tǒng)缺陷被發(fā)現(xiàn);另一方面利用高危缺陷進(jìn)行入侵和傳播的攻擊技術(shù)也在快速發(fā)展,用戶需要一種能夠?qū)崟r(shí)阻斷攻擊的安全技術(shù)。 從工作原理上來(lái)看, IDS技術(shù)屬于被動(dòng)式的反應(yīng)式技術(shù),這種技術(shù)在安全威脅傳播速度較慢時(shí)并沒(méi)有顯現(xiàn)出太大問(wèn)題,隨著威脅傳播速度的加快,留給人們響應(yīng)的時(shí)間越來(lái)越短,使用戶來(lái)不及對(duì)入侵做出響應(yīng),于是喊著主動(dòng)防御口號(hào)的IPS得到了一定的市場(chǎng)機(jī)會(huì)。
IPS 靠主動(dòng)防御搶占市場(chǎng)
混合威脅不斷發(fā)展,單一的防護(hù)措施已經(jīng)無(wú)能為力,企業(yè)需要對(duì)網(wǎng)絡(luò)進(jìn)行多層、深層的防護(hù)來(lái)有效保證其網(wǎng)絡(luò)安全。真正的深層防護(hù)體系不僅能夠發(fā)現(xiàn)惡意代碼,而且還能夠主動(dòng)地阻止惡意代碼的攻擊。在當(dāng)前混合威脅盛行的時(shí)代,只有深層防護(hù)才可以確保網(wǎng)絡(luò)的安全。而IPS(入侵防護(hù)系統(tǒng))則是提供深層防護(hù)體系的保障。 IPS的出現(xiàn)可謂是企業(yè)網(wǎng)絡(luò)安全的革命性創(chuàng)新。
從技術(shù)的同源性上來(lái)看, IPS 和IDS之間有著千絲萬(wàn)縷的必然聯(lián)系,IPS 可以被視作是增加了主動(dòng)阻斷功能的IDS。例如 McAfee 的IntruShield 以在線方式接入網(wǎng)絡(luò)時(shí)就是一臺(tái)IPS,而以旁路方式接入網(wǎng)絡(luò)時(shí)就是一臺(tái)IDS。但是,IPS 絕不僅僅是增加了主動(dòng)阻斷的功能,而是在性能和數(shù)據(jù)包的分析能力方面都比IDS 有了質(zhì)的提升。
由于增加了主動(dòng)阻斷能力,檢測(cè)準(zhǔn)確程度的高低對(duì)于IPS來(lái)說(shuō)十分關(guān)鍵。IPS廠商綜合使用多種檢測(cè)機(jī)制來(lái)提高IPS的檢測(cè)準(zhǔn)確性。據(jù)Juniper 的工程師介紹,Juniper 在IDP(Juniper 將自己的入侵防護(hù)產(chǎn)品命名為IDP) 中使用包括狀態(tài)簽名、協(xié)議異常、后門(mén)檢測(cè)、流量異常、網(wǎng)絡(luò)蜜罐、哄騙檢測(cè)、第二層攻擊檢測(cè)、同步泛洪檢測(cè)、混合式攻擊檢測(cè)在內(nèi)的“多重檢測(cè)技術(shù)”,以提高檢測(cè)和阻斷的準(zhǔn)確程度。Juniper還在不斷增加IDP 能夠解析的協(xié)議數(shù)量,最近將支持50 種協(xié)議增加到60多種,不斷為防止新型攻擊開(kāi)發(fā)新的檢測(cè)方法。
除了檢測(cè)機(jī)制外,IPS 的檢測(cè)準(zhǔn)確率還依賴于應(yīng)用環(huán)境。一些流量對(duì)于某些用戶來(lái)說(shuō)可能是惡意的,而對(duì)于另外的用戶來(lái)說(shuō)就是正常流量,這就需要IPS 能夠針對(duì)用戶的特定需求提供靈活而容易使用的策略調(diào)優(yōu)手段,以提高檢測(cè)準(zhǔn)確率。 McAfee、Juniper、ISS同時(shí)都在 IPS 中提供了調(diào)優(yōu)機(jī)制,使IPS 通過(guò)自學(xué)習(xí)提高檢測(cè)的準(zhǔn)確性。
引入弱點(diǎn)分析技術(shù)是IPS的另一個(gè)亮點(diǎn)。IPS廠商通過(guò)分析系統(tǒng)漏洞、收集和分析攻擊代碼或蠕蟲(chóng)代碼、描述攻擊特征或缺陷特征,使IPS 能夠主動(dòng)保護(hù)脆弱系統(tǒng)。由于軟件漏洞是不法分子的主要攻擊目標(biāo),所以幾乎所有IPS廠商都在加強(qiáng)系統(tǒng)脆弱性的研究。ISS、賽門(mén)鐵克分別設(shè)立了漏洞分析機(jī)構(gòu)。McAfee 也于日前收購(gòu)了從事漏洞研究的 Foundstone公司,致力于把漏洞分析技術(shù)與入侵防護(hù)技術(shù)結(jié)合起來(lái),使關(guān)鍵資源得到主動(dòng)防護(hù)。Juniper設(shè)有一個(gè)專門(mén)的安全小組,密切關(guān)注新的系統(tǒng)弱點(diǎn)和蠕蟲(chóng),每周都會(huì)發(fā)布攻擊簽名和基于嚴(yán)重等級(jí)的緊急簽名更新, Juniper 提供的攻擊簽名是基于弱點(diǎn)和安全漏洞,而不僅僅是黑客已經(jīng)使用并且造成破壞的安全弱點(diǎn)。
McAfee 公司北亞區(qū)技術(shù)總監(jiān)陳聯(lián)認(rèn)為,目前嚴(yán)重的安全事件大多數(shù)是由緩沖區(qū)溢出所導(dǎo)致,所以McAfee 在自己的實(shí)驗(yàn)里加強(qiáng)了對(duì)溢出型漏洞的研究和跟蹤,并且把針對(duì)溢出型攻擊的相應(yīng)防范手段推送到IPS 設(shè)備的策略庫(kù)中。這項(xiàng)緩沖區(qū)溢出分析技術(shù)使得M c A f e e 的 I P S 設(shè)備能夠檢測(cè)七層的數(shù)據(jù)包,實(shí)現(xiàn)對(duì)應(yīng)用的主動(dòng)保護(hù)。
賽門(mén)鐵克在IPS設(shè)備中采用了漏洞阻截技術(shù)。通過(guò)研究漏洞特征,將其加入到漏洞簽名庫(kù)中,IPS 就可以發(fā)現(xiàn)符合漏洞特征的所有攻擊流量。沖擊波及其變種都利用了RPC(微軟操作系統(tǒng)的一個(gè)漏洞)漏洞。賽門(mén)鐵克通過(guò)研究并提取RPC 漏洞的特征,組成特征簽名并將其推送給 IPS 設(shè)備。在公布漏洞和病毒爆發(fā)的一段間隔里,用戶只需將漏洞特征簽名自動(dòng)下載,就可以在沖擊波及其變種大規(guī)模爆發(fā)時(shí),直接將其阻斷,從而贏得打補(bǔ)丁的關(guān)鍵時(shí)間。
主動(dòng)防御是安全根本
絕大多數(shù)IDS 系統(tǒng)都是被動(dòng)的,而不是主動(dòng)性的。在攻擊實(shí)際發(fā)生之前,IDS 往往無(wú)法預(yù)先發(fā)出警報(bào)。IPS則傾向于提供主動(dòng)性的防護(hù),其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成任何損失,而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的,即通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量,經(jīng)過(guò)檢查確認(rèn)其中不包含異?;顒?dòng)或可疑內(nèi)容后,再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來(lái),有問(wèn)題的數(shù)據(jù)包,以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都能夠在IPS設(shè)備中被清除掉。
現(xiàn)在談主動(dòng)防御的很多,這也是IPS 市場(chǎng)啟動(dòng)的根源。但是有專家認(rèn)為,入侵防護(hù)應(yīng)該是由多種安全設(shè)備組成的安全體系共同來(lái)實(shí)現(xiàn),而不是由IPS這種設(shè)備單獨(dú)來(lái)完成,IPS 只是主動(dòng)防護(hù)的一部分,而不是主動(dòng)防護(hù)的全部。主動(dòng)防護(hù)系統(tǒng)還需要加入應(yīng)用級(jí)防火墻與應(yīng)用級(jí)IDS,應(yīng)用級(jí)的IDS 產(chǎn)品能夠重組信息流,跟蹤應(yīng)用會(huì)話過(guò)程,并準(zhǔn)確描述和識(shí)別攻擊,而應(yīng)用級(jí)的防火墻能夠阻斷向應(yīng)用層發(fā)起的攻擊,保護(hù)Web 應(yīng)用。
IDS、 IPS還將并駕齊驅(qū)
在主動(dòng)防御漸入人心之時(shí),擔(dān)當(dāng)網(wǎng)絡(luò)警衛(wèi)的IDS 的報(bào)警作用更加重要。盡管IDS 功過(guò)參半,但是IDS的報(bào)警功能仍是主動(dòng)防御系統(tǒng)所必需的,也許IDS 的產(chǎn)品形式會(huì)消失,但是IDS的檢測(cè)功能并不會(huì)因形式的消失而消失,只是逐漸被轉(zhuǎn)化和吸納到其他的安全設(shè)備當(dāng)中。
IDS 與IPS 技術(shù)還會(huì)并駕齊驅(qū)很長(zhǎng)一段時(shí)間。據(jù)市場(chǎng)研究公司Infonetics Research 發(fā)布的數(shù)據(jù)顯示,到2006年,全球IDS/ IPS 市場(chǎng)收入將超過(guò)13 億美元。
其實(shí)IDS 的發(fā)展道路可以借鑒防火墻的發(fā)展。防火墻早期從包過(guò)濾,應(yīng)用代理發(fā)展起來(lái),是從網(wǎng)絡(luò)層應(yīng)用及應(yīng)用層解釋開(kāi)始,一步步關(guān)心起具體的協(xié)議;包過(guò)濾更關(guān)注分組的包頭,應(yīng)用代理關(guān)心分組的有效載荷,狀態(tài)檢測(cè)開(kāi)始關(guān)注分組之間的關(guān)系;從安全設(shè)備發(fā)展的角度,這些并未發(fā)展到頭,因?yàn)閷?duì)有效載荷的分析還比較弱。IDS從特征匹配開(kāi)始到協(xié)議分析,走得也是這條路;只是 IDS走到協(xié)議分析,也算是比較深入了,但網(wǎng)絡(luò)上的應(yīng)用太復(fù)雜了,技術(shù)挑戰(zhàn)性太大。依照當(dāng)前的用法與定位,IDS長(zhǎng)期很難生存,但它對(duì)分組有效載荷的分析有自己的優(yōu)勢(shì),這種技術(shù)可以用于所有的網(wǎng)絡(luò)安全設(shè)備。而IPS 其實(shí)解決的也是邊界安全問(wèn)題,其實(shí)已開(kāi)始象是防火墻的升級(jí)版了。
國(guó)外也已經(jīng)有報(bào)道提到 IDS進(jìn)入網(wǎng)絡(luò)分析,協(xié)助網(wǎng)管軟件進(jìn)行工作,可能是一條比較好的道路(但隨著IPv6 的發(fā)展,如果網(wǎng)上全是IPSec 包,不知道監(jiān)聽(tīng)這條路怎么走下去)。
廠商們可以通過(guò)IDS 產(chǎn)品進(jìn)入用戶的網(wǎng)絡(luò),并隨著應(yīng)急服務(wù)以及安全培訓(xùn)逐步介入用戶網(wǎng)絡(luò)的運(yùn)營(yíng),從長(zhǎng)期而言(只要核心能力建設(shè)起來(lái))可以進(jìn)入安全運(yùn)營(yíng)外包市場(chǎng)(針對(duì)大客戶)或者安全服務(wù)(針對(duì)大中客戶)。因此,IDS 其實(shí)應(yīng)該發(fā)展成服務(wù)而非產(chǎn)品模式,這點(diǎn)又與防火墻有極大不同。
由此來(lái)看,IDS和IPS 將會(huì)有著不同的發(fā)展方向和職責(zé)定位。IDS 短期內(nèi)不會(huì)消亡,IPS 也不會(huì)完全取代IDS的作用。雖然IPS 市場(chǎng)前景被絕大多數(shù)人看好,市場(chǎng)成熟指日可待,但要想靠蠶食IDS 市場(chǎng)來(lái)擴(kuò)大市場(chǎng)份額,對(duì)于IPS 來(lái)說(shuō)還是很艱難的,如果真是這樣,恐怕IPS 要嘗嘗青澀蘋(píng)果的滋味了。