当年,Gartner预测说:“IDS已死。”时至今日,IDS正在走一条缓慢的翻身之路。
入侵检测系统(IDS)主要通过模式匹配技术将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。还有一些IDS中应用了异常检测技术,异常检测首先给系统对象创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测技术在实用中会产生误报率大的问题,而且很难定义不同网络环境中的正常流量。就目前而言,模式匹配技术仍然是大多成熟商用IDS使用的主要技术。
IDS是网络安全界的代表产品之一,但是IDS在国内更多的是表现为一种形式化的作用,真正发挥作用的很少。在国内,IDS的购买群主要集中在政府特殊部门和专有行业,普通用户一般不会考虑使用IDS设备。正是由于国内IDS用户的特殊性,导致了IDS设备的利润相比其他网络安全产品(例如防火墙)高许多,这也是促使安全厂商都愿意推出IDS的主要原因之一。
但是实际上,在使用IDS的过程中存在很多问题,主要表现在:
1.防范效果不明显。虽然加装了IDS设备,但是仍然会发生数据失窃、主机被控之类的攻击。造成这个结果的根本原因就是基于模式匹配的IDS通过预先定义攻击特征集合,来判断网络数据中是否带有符合攻击特征的数据,而对于最新出现的攻击,如果厂家没有及时发布针对最新攻击的特征规则,或者厂商发布了,而IDS用户没有及时升级攻击特征库,那么IDS就不能检测出特征库中没有的新攻击行为。
2.误报过多。使用IDS以后,攻击日志会出现很多,而网络管理员花了大量时间查找原因,却可能是没有任何攻击。这些误报逐渐导致网络管理员不再关心IDS的报告。
3.性能瓶颈。由于IDS采用的是深包检测技术,对网络中每个数据报文做详细的模式匹配,处理速度会小于网络中其他数据转发设备。而来不及处理到的数据报文如果恰好是包含了攻击数据,就不能检测出来。
正是由于上面的原因,IDS一直没有成为网络安全的主流产品。在大多数情况下,IDS是作为防火墙的一个补充设备存在的。防火墙的状态检测可以阻止绝大多数的外部网络对内部网络的访问,对于必须向外部网络提供服务的网络协议来说,如FTP、HTTP、Te.net等就需要依靠IDS来进行检测。而目前出现的应用防火墙技术,可以有效的阻止防火墙发现不了的针对应用层的攻击。比如Web应用防火墙,可以有效的阻止针对HTTP协议的所有攻击,而SQL应用防火墙,可以保护SQL数据库应用。但是,针对很多协议,由于仍然没有专门为之定制的应用防火墙,针对这些协议的漏洞和攻击,就需要IDS来保护。
用武之地在哪里?
从上面的讨论我们可以看出,IDS仍然有用武之地,可以发挥保护网络的作用。那么,如何让IDS发挥有效的作用呢?
对于已经购买IDS的用户来说,购买和部署IDS,仅仅是万里长征的第一步。要发挥IDS的作用,必须要做好3件事情。
一是定期更新厂家的攻击特征库。当然,如果厂家提供的设备可以通过厂家服务器进行自动升级,那么最好选择这样的IDS产品。如果买了IDS设备,仅仅当作摆设,那么用不了多久,IDS除了输出毫无用处的日志以外,对新出现的在已有规则集合中没有描述的攻击行为,不会有任何记录。即使攻击发生以后,没有及时更新攻击特征库的IDS也不能发挥事后审计的功能。
二是需要对IDS日志进行统计分析。虽然IDS的日志中存在或多或少的误报信息,但不意味着IDS的日志就毫无价值。通过分析IDS日志信息,可以发现网络中的薄弱环节,以及可能存在风险的地方。通过这些信息,可以提前对网络相应的部分进行加固,而不是等到攻击发生时才去补救。
第三就是目前大多数用户所做的,在攻击发生以后,通过IDS日志寻找可疑的日志信息,从而分析出攻击的来源和攻击造成的影响。
要做到后面两点,需要IDS提供相应的日志事件管理软件。购买IDS和购买防火墙不一样,防火墙在部署以后管理代价非常小,而IDS的主要管理代价是在安装以后。用户需要专人来对IDS进行维护、管理和事件分析。如果用户没有这样的人员,可以通过厂商的SOC(安全运营中心)服务让专业的安全服务人员完成对IDS定期的升级以及日志事件分析。总之,IDS的投入是一个长期的过程,这样才能发挥出IDS的功能。
对于没有应用IDS的用户,在购买之前需要考虑的最大因素是目前网络中是否需要部署IDS,只有基础网络安全设施,如防火墙,或者应用防火墙等设备已经部署,需要更高安全性的时候,才需要购买IDS设备。另外,就是能否进行持续的投入和管理,否则购买IDS也不能发挥多大作用。对于考虑成本的用户,可以购买整合式防火墙,也就是集成了轻量级IDS或者IPS的防火墙产品。
IPS还是IDS
大多IPS系统是在成熟商业IDS系统上发展而来。因为随着IDS技术的进步和误报率的降低,以及硬件性能的数量级提高,在IDS系统上加入发现攻击实时阻断的功能,就可以把IDS转变为可以真正防御攻击的IPS。但是,矛盾的双方都在增长:虽然硬件性能的提高可以让IPS技术处理以前的网络流量,但是语音视频等实时应用同样也在飞速发展,IPS产品由于部署在网络通路上,对这些实时应用有致命的延时影响。解决方法就是把IPS放到需要保护的关键应用的前端,只对需要保护的应用进行检测,而这又正是应用防火墙发挥作用的领域。所以IPS实际上比IDS的处境更加艰难。
由于实时网络流量的增多,如何减小网络延时成为各个网络设备供应商面临的问题。“羊肉串”式的设备部署方式会渐渐被淘汰。在网络转发设备,如路由器、交换机中会直接引入对安全的支持,例如加入IDS、IPS软件功能,加入IDS、IPS硬件插卡,通过在设备内部的数据交换换取最小的网络延时。
实际上,集成IDS的路由器、交换机或者防火墙,从概念上来说,都具有IPS功能,所以,IPS会和网络数据转发设备融入一体,成为整合式网络设备中的一个功能,而独立存在的IPS产品会越来越少。IDS的旁路部署方式不会成为影响网络数据实时性的瓶颈,而保持重量级规则集合的传统IDS通过和其他设备的联动,仍然可以作为网络环境中安全加固的有益补充。
总的来说,IDS作为独立的产品形态,会在今后相当长的一段时间内存在,并发挥不可取代的作用。IDS技术同时会越来越多的集成进各种网络产品中,成为融合性安全产品的一部分。这两者是不存在矛盾的,因为考虑到对实时的影响,集成设备中的IDS是一个轻量级的IDS。这里的轻量级是指攻击特征最精简有效的一部分。而全面的IDS检测仍然需要通过旁路方式的IDS设备来完成。IDS厂商需要不断的技术更新,比如增加实时自动升级攻击特征库、日志事件智能分析等功能,才能推出真正有用的IDS产品。