大約在兩年前，IPS（入侵防護(hù)）的概念被推到了臺(tái)前。由于IPS增加了對(duì)入侵的主動(dòng)阻斷功能，一時(shí)間IPS取代IDS（入侵檢測(cè)）的呼聲日漸高漲，而Gartner發(fā)表的“IDS將死、IPS獲勝”言論更是讓這兩種技術(shù)的爭(zhēng)斗達(dá)到了白熱化。如今，距離“IDS滅亡論”發(fā)表已經(jīng)有一年多時(shí)間了，那么IDS和IPS的現(xiàn)狀又是如何？接下來(lái)，就讓我們來(lái)逐一看個(gè)究竟。 近期，我們?cè)凇毒W(wǎng)絡(luò)世界》網(wǎng)站（www.cnw.com.cn）上，圍繞目前用戶(hù)對(duì)IDS和IPS的應(yīng)用及需求狀況進(jìn)行了調(diào)查，收到的大量讀者反饋反映了人們對(duì)IDS和IPS的關(guān)注程度。我們從中選出100份有效問(wèn)卷，根據(jù)問(wèn)卷分析發(fā)現(xiàn)，59%的用戶(hù)部署了IDS，27%的用戶(hù)將IDS列入購(gòu)買(mǎi)計(jì)劃，62%用戶(hù)在關(guān)注IPS，并且7%的用戶(hù)有意向購(gòu)買(mǎi)IPS，IDS和IPS在國(guó)內(nèi)都呈現(xiàn)出繁榮發(fā)展的熱鬧景象。
IDS功過(guò)自有公論　
在國(guó)內(nèi)，IDS沒(méi)有受到“滅亡論”的太大影響，尤其是近年來(lái)，IDS在網(wǎng)絡(luò)中的應(yīng)用逐漸增多起來(lái)。在很多對(duì)安全等級(jí)要求很高的證券、金融以及電信的網(wǎng)絡(luò)中，我們都能發(fā)現(xiàn)IDS的身影。一位證券公司的IT主管告訴記者，隨著企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的不斷擴(kuò)大和日益復(fù)雜，由內(nèi)部員工違規(guī)引起的安全問(wèn)題變得突出起來(lái)，防火墻、防病毒等常規(guī)的安全手段只能對(duì)付外部入侵，而對(duì)于內(nèi)部違規(guī)行為卻無(wú)能為力，而IDS可以審計(jì)跟蹤內(nèi)部違反安全策略的行為。另一位汽車(chē)銷(xiāo)售網(wǎng)的IT工程師認(rèn)為，IDS可以記錄、報(bào)警各種安全事件，有利于進(jìn)行安全審計(jì)和事后追蹤，對(duì)于追溯和阻止拒絕服務(wù)攻擊能夠提供有價(jià)值的線(xiàn)索。像證券公司IT主管和汽車(chē)銷(xiāo)售網(wǎng)的IT工程師這樣認(rèn)為IDS的貢獻(xiàn)大于麻煩的用戶(hù)占53%。
聯(lián)想信息安全的CTO劉科全告訴記者，促使IDS得到廣泛應(yīng)用的另一個(gè)因素是，Slammer、沖擊波等針對(duì)系統(tǒng)漏洞的攻擊不斷增多，新的軟件漏洞不斷被發(fā)現(xiàn)，一些分析系統(tǒng)缺陷、編寫(xiě)攻擊程序或制作蠕蟲(chóng)病毒的簡(jiǎn)單工具也在不斷發(fā)展之中，從發(fā)現(xiàn)缺陷到釋放出蠕蟲(chóng)病毒的時(shí)間間隔也在進(jìn)一步縮短，用戶(hù)需要一種可以檢測(cè)攻擊的有效工具，IDS就是其中的一種。
我們同時(shí)也看到，也有很多用戶(hù)反應(yīng)IDS帶來(lái)的麻煩大于貢獻(xiàn)。某經(jīng)濟(jì)研究院的信息中心劉主任告訴記者，IDS的誤報(bào)率太高，只要一開(kāi)機(jī)，便響個(gè)不停，在每天發(fā)出的上萬(wàn)條的報(bào)警信息中，真正有價(jià)值的信息卻寥寥無(wú)幾，而從上萬(wàn)條信息中挖掘出有用信息費(fèi)時(shí)又費(fèi)力，通常需要設(shè)立專(zhuān)人負(fù)責(zé)管理IDS，這在缺乏IT人才的企業(yè)中是很不現(xiàn)實(shí)的。劉主任的觀點(diǎn)很具代表性，47%的用戶(hù)持這種觀點(diǎn)。
IDS的困惑
調(diào)查顯示，誤報(bào)和漏報(bào)嚴(yán)重、海量信息難以分析、難以與其他設(shè)備進(jìn)行聯(lián)動(dòng)、難以部署、存在安全隱患是始終不離IDS左右的老問(wèn)題（見(jiàn)圖一）。其中，前兩者是用戶(hù)反應(yīng)最為強(qiáng)烈的問(wèn)題，各式各樣的IDS設(shè)備都存在不同程度的誤報(bào)和漏報(bào)現(xiàn)象。即使認(rèn)為IDS貢獻(xiàn)大的用戶(hù)也同樣遭遇誤報(bào)和漏報(bào)的困擾，只不過(guò)在權(quán)衡誤報(bào)、漏報(bào)以及檢測(cè)入侵方面，這些用戶(hù)更看重后者。海量信息難以分析也影響了用戶(hù)對(duì)IDS的使用，36%的用戶(hù)認(rèn)為IDS存在少量信息難以分析。
對(duì)于誤報(bào)和漏報(bào)，劉科全認(rèn)為，這主要是與IDS檢測(cè)機(jī)制的缺乏有關(guān)。綜合運(yùn)用多種檢測(cè)機(jī)制，包括特征對(duì)比、協(xié)議異常分析等技術(shù)，可以顯著降低IDS的誤報(bào)和漏報(bào)，IDS同時(shí)需要引入數(shù)據(jù)挖掘技術(shù)、神經(jīng)網(wǎng)絡(luò)、專(zhuān)家分析系統(tǒng)等技術(shù)以提高信息分析能力。
除了上述不足之外，許多用戶(hù)還對(duì)主機(jī)型IDS的安全性提出了置疑。目前的IDS可以分為主機(jī)型、網(wǎng)絡(luò)型、混合型三種。混合型IDS已經(jīng)不多見(jiàn)，已逐漸淡出市場(chǎng)。網(wǎng)絡(luò)型IDS的原理是識(shí)別反映已知進(jìn)攻，對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)分析，進(jìn)行事后審計(jì)追蹤，對(duì)安全事件發(fā)出報(bào)警。主機(jī)型IDS的原理是監(jiān)視分析用戶(hù)及系統(tǒng)活動(dòng)，評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性，識(shí)別用戶(hù)違反安全策略的行為，進(jìn)行系統(tǒng)配置和弱點(diǎn)審計(jì)。在選擇主機(jī)型產(chǎn)品還是網(wǎng)絡(luò)型產(chǎn)品方面，92%的用戶(hù)選擇網(wǎng)絡(luò)型的產(chǎn)品。由于主機(jī)型產(chǎn)品是以軟件形式部署在服務(wù)器上，用戶(hù)擔(dān)心主機(jī)型IDS存在后門(mén)，會(huì)影響關(guān)鍵服務(wù)器的安全水平，同時(shí)會(huì)降低服務(wù)器的運(yùn)行效率。
IDS需要提高
85%的用戶(hù)不滿(mǎn)足于IDS的現(xiàn)有功能，認(rèn)為IDS仍有必要進(jìn)一步改進(jìn)功能。用戶(hù)希望IDS能夠按緊急程度不同發(fā)出報(bào)警、生成詳細(xì)報(bào)告、分析攻擊事件、真正實(shí)現(xiàn)與安全設(shè)備的聯(lián)動(dòng)（見(jiàn)圖二）。中科院軟件所的研究員馮登國(guó)認(rèn)為，未來(lái)的IDS還需要面向?qū)拵Ц咚賹?shí)時(shí)的網(wǎng)絡(luò)環(huán)境，引入數(shù)據(jù)挖掘、分布式部署、免疫和神經(jīng)網(wǎng)絡(luò)技術(shù)，并且適應(yīng)IPv6的技術(shù)要求。
IDS廠商并沒(méi)有忽視用戶(hù)需求，對(duì)IDS一直進(jìn)行著改進(jìn)。例如，啟明星辰在天闐入侵檢測(cè)與管理系統(tǒng)v6.0中，利用流量監(jiān)控發(fā)現(xiàn)異常技術(shù)，結(jié)合地理信息顯示入侵事件的定位狀況，應(yīng)用入侵和漏洞之間的對(duì)應(yīng)關(guān)系，給出入侵威脅和資產(chǎn)脆弱性之間的風(fēng)險(xiǎn)分析結(jié)果，能夠有效管理安全事件并進(jìn)行及時(shí)處理和響應(yīng)。從功能上來(lái)看，天闐入侵檢測(cè)與管理系統(tǒng)v6.0已不再是單純的入侵檢測(cè)系統(tǒng)，而體現(xiàn)了管理入侵的思想。賽門(mén)鐵克將蜜罐誘捕技術(shù)引入IDS當(dāng)中，增加IDS應(yīng)對(duì)未知攻擊的防護(hù)能力。