IPSvsIDS 势不两立还是相辅相成?

发表于:2007-06-23来源:作者:点击数: 标签:
2003年8月,Gartner公司副总裁Richard Stiennon发表的一份名为《 入侵检测 已寿终正寝,入侵防御将万古长青》的报告,提出入侵检测系统Intrusion Detection System(IDS)已经难以适应客户的需要。IDS不能提供附加层面的安全,相反增加了企业安全操作的复杂

   

  2003年8月,Gartner公司副总裁Richard Stiennon发表的一份名为《入侵检测已寿终正寝,入侵防御将万古长青》的报告,提出入侵检测系统Intrusion Detection System(IDS)已经难以适应客户的需要。IDS不能提供附加层面的安全,相反增加了企业安全操作的复杂性。入侵检测系统朝入侵防御系统Intrusion Prevention System(IPS)方向发展已成必然。

  一石激起千层浪。刚刚从IDS脱颖而出的IPS,一时间竟然成了IDS的天敌。两年多来,尽管事实上IDS非但没有退出安全产品阵列,反而不断更新、依然占领着继防火墙之后第二大的安全产品市场份额,但是IDS行将就木的宣传不仅引发了信息安全体系建设上的争执与混乱,而且给客户的信息安全产品选型造成了不应有的压力与彷徨。

1. IDS的功能与缺陷

  IDS本质上是一种监听系统,它依照一定的安全策略,对网络与系统的运行状况进行监测,尽可能发现、报告、记录各种攻击企图、攻击行为或者攻击结果,以保证信息系统的机密性、完整性和可用性。IDS可分为主机型HIDS和网络型NIDS,目前主流IDS产品均采用两者有机结合的混合型架构。

1.1 IDS的传统优势

  NIDS使用原始网络信息作为数据源,利用运行在随机模式下的网络适配器实时监听和分析通过网络的所有通信,收集相关信息并记入日志;而HIDS则通常安装在被检测的主机之上,与该主机的网络实时连接,负责对系统审计日志进行智能分析和判断。若发现非法入侵或者违反统计规律的行为异常,IDS会立即发出警报,由系统管理员进行决策处理。IDS的传统优势在于:

  整体部署,实时检测,可根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型,对用户当前的操作进行判断,及时发现入侵事件;

  对于入侵与异常不必做出阻断通信的决定,能够从容提供大量的网络活动数据,有利于在事后入侵分析中评估系统关键资源和数据文件的完整性;

独立于所检测的网络,黑客难于消除入侵证据,便于入侵追踪与网络犯罪取证;

同一网段或者一台主机上一般只需部署一个监测点就近监测,速度快,拥有成本低。

1.2 IDS的明显缺陷

  IDS最明显的缺陷有:

  被动防御的监听方式限制阻断。目前IDS只能靠发阻断数据包来阻断建立在TCP基础上的攻击,对于建立在UDP基础之上的入侵则无能为力;

  基于特征的入侵检测技术落伍。由于缺少信息管理,难于抵挡Canvas和MetaSploit等欺骗工具的攻击和渗透;

  误报与漏报率高于客户预期。有些IDS产品每天会产生大量的异常报告,其中绝大多数属于非攻击行为,需要具有相当专业水准的网络安全管理员进行甄别,有时甚至会给客户造成难于忍受的负担;

  对于检测主机的依赖性。由于HIDS安装于检测主机之上,不仅消耗检测对象的部分资源,影响到被检测主机的效率,而且还必須針对不同的主机及其系统环境设计和安装各自的HIDS。

2. IPS的优势与弱点

  提到IPS,人们常常会谈到一个公式: IPS = Firewall + IDS;也有文献认为,将IDS的传感器置于网络通信线路之内(In-line),让所有网络通信量必须通过它,就得到了一台IPS。这两种看法均有偏颇之处,但是却殊途同归地道出了一个事实:IPS来自IDS。

2.1 IPS的原理与分类

  青出于蓝而胜于蓝。IPS串联于通信线路之内,是既具有IDS的检测功能,又能够实时中止网络入侵行为的新型安全技术设备。IPS由检测和防御两大系统组成,具备从网络到主机的防御措施与预先设定的响应设置。图1是北京基格网络技术有限公司研制的基格领袖IPS原理框图,在同类产品中颇具代表性。

IPSvsIDS 势不两立还是相辅相成?(图一)

点击查看大图



图1. 入侵防御系统IPS的原理框图



  目前,从保护对象上可将IPS分为三类:

  基于主机的入侵防护(HIPS),用于保护服务器和主机系统不受不法分子的攻击和误操作的破坏;

  基于网络的入侵防护(NIPS),通过检测流经的网络流量,提供对网络体系的安全保护,一旦辨识出入侵行为,NIPS就阻断该网络会话;

  应用入侵防护(AIP),是将基于主机的入侵防护扩展成为位于应用服务器之前的网络信息安全设备。

2.2 IPS不可低估的优势

  实时检测与主动防御是IPS最为核心的设计理念,也是其区别于防火墙和IDS的立足之本。为实现这一理念,IPS在如下四个方面实现了技术突破,形成了不可低估的优势:

  在线安装(In-Line)。IPS保留IDS实时检测的技术与功能,但是却采用了防火墙式的在线安装,即直接嵌入到网络流量中,通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中;

  实时阻断(Real-time Interdiction)。IPS具有强有力的实时阻断功能,能够预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失;

  先进的检测技术(Advanced Detection Technology)。主要是并行处理检测和协议重组分析。所谓并行处理检测是指所有流经IPS的数据包,都采用并行处理方式进行过滤器匹配,实现在一个时钟周期内,遍历所有数据包过滤器;而协议重组分析是指所有流经IPS的数据包,必须首先经过硬件级预处理,完成数据包的重组,确定其具体应用协议。然后,根据不同应用协议的特征与攻击方式,IPS对于重组后的包进行筛选,将可疑者送入专门的特征库进行比对,从而提高检测的质量和效率;

  特殊规则植入功能(Build-in Special Rule)。IPS允许植入特殊规则以阻止恶意代码。IPS能够辅助实施可接收应用策略(AUP),如禁止使用对等的文件共享应用和占有大量带宽的免费互联网电话服务工具等;

  自学习与自适应能力(Self-study & Self-adaptation Ability)。为了应对黑客们处心积虑、花样翻新的攻击手段,IPS必须具有人工智能的自学习与自适应能力。能够根据所在网络的通信环境和被入侵状况,分析和抽取新的攻击特征以更新特征库,自动总结经验,定制新的安全防御策略。

2.3 IPS不可忽视的弱点

  有其利必有其弊。IPS的主动防御优势也决定了它的下列弱点:

总体拥有成本(TOC)高。浩大的高可用性(HA)实时计算需求决定了IPS必须选用高端的专用计算设备,但是可观的总体拥有成本却使不少用户望而却步;

  单点故障(Single-point Fault)。IPS的阻断能力决定其必须采用网络嵌入模式,而这就可能造成单点故障;

  性能瓶颈(Performance Bottle-neck)。即使IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,因此,绝大多数高端IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器或者ASIC芯片)来提高IPS的运行效率,以减少其对于业务网络的负面影响;

  误报(False positive)与漏报(False negatives)后果同样严重。在网络流量几乎成几何级数增加的情况下,一旦生成警报,最基本的要求就是不让“误报”有可乘之机,导致合法流量也很有可能被意外拦截。如果触发了误报警报的流量恰好是来自上级、合作伙伴和客户的重要信息,IPS不仅实施了一次性错误阻断,而且会切断与他们的信息通道,其结果不言而喻。

3. IPS目前不可能取代IDS

  我们既要看到IPS蓬蓬勃勃的增长势头,又要承认IDS在入侵检测领域的传统优势,肯定IPS目前尚不可能完全取代IDS的基本事实,在建立自己的网络与信息安全体系的过程中,将两者有机地结合起来。

3.1 IPS增长势头强劲

  根据IDC发布的案例,美国的一家财务公司,在全球有12个分支机构,原计划使用多台防火墙并搭配250个许可证的IDS。最终,该公司仅用了30个许可证的IPS产品就实现了全球网络的入侵防御,而管理人员只需要3至4人,效率却提高了6倍以上。

  波士顿Sappi Fine报社信息安全总监Jim Cupps说,作为具有10,000桌面设备和数百台基于微软服务器的公司,现在开始使用Determina基于主机的IPS,称之为内存防火墙的专用服务器,主要作为防御蠕虫的附加件。基于行为的内存防火墙能够监测缓冲区溢出攻击,"它并不能替代打补丁,但是它让我们不必立即打补丁,我们战胜了'补丁恐慌’,如果漏洞确实存在,入侵防御系统能够帮忙。"

IPSvsIDS 势不两立还是相辅相成?(图二)

图2. IPS市场销售统计与预测(2003-2008)

  在受益于IPS的优势和效益的同时,不少用户对于其弱点和不足,也能给与理解与宽容。大名鼎鼎的网络安区专家Mathias Thurman在IDC的《计算机世界》上写道,由于In-line安装,IPS设备的故障可能根本上阻断网络通信。因此,我们需要选择具有容错能力的IPS,即故障时能让通信畅通。我愿意承担短时期自我开放的风险,也不愿面临数以千计的雇员无法工作,损失收入和劳动生产率的局面。

  正是由于IPS主动防御和易于管理的特性,致使其销售也正在突飞猛进。图2是来自于IDC的2003-2008年IPS销售额的统计与预测。从此图中可以看到,到2008年,IPS的销售额可高达11.8亿美元,比2005年增加将近一倍。

3.2 为何IPS不会立即取代IDS?

  应该指出,到目前为止IPS尚未强大到足以取代IDS的地步,或者它根本不必要全面取代IDS就能拓展自身的生存空间。这是因为:

  IPS尚难应对较为复杂的攻击。受检测技术、传输技术、芯片技术等多方面的约束,当前IPS能够解决的主要是准确的单包检测和高速传输的融合问题,对于端口扫描、拒绝服务、蠕虫等特征比较明确的攻击可以做到高效的检测和及时的阻断,而对于更为复杂的攻击就难于应对;

  IPS的分析报告功能太弱。对于In-line的IPS来说,分析得越清晰准确,计算复杂度越高,传输延迟就会越大。美国网络世界实验室联盟成员Rodney Thayer认为,在报告、分析等相关技术完善得足以防止虚假报警之前,IPS不可能取代IDS设备。IPS可能将取代外围防线的检测系统,而网络中的一些位置仍然需要检测功能,以加强不能提供很多事件信息的IPS;。

  IDS正在走向检测与访问控制相融合。一个不太准确的IDS,经过人工的分析可以变得准确;同样,经过大规模的IDS部署后的集中分析,以及和其他检测类技术的关联分析,可以获得更加精确的结果。根据全局性的检测结果就可以进行全局性的响应和控制。从宏观看检测和访问控制的融合是IDS的发展方向;

  技术上的相互渗透和融合并非一定要在产品上取而代之。防火墙最主要的特征是通(传输)和断(阻隔)两个功能,并不对通信包的数据部分进行检测;IDS是一个检测和发现为特征的技术行为,其追求的是抓包不能漏,分析不能错,尽量降低漏报率和误报率。因此,防火墙、IDS和IPS一样在网络信息安全体系中可以各显身手,相辅相成。

4. 一个相辅相成的解决方案

  美国网络世界实验室联盟成员Joel Snyder认为,未来将是混合技术的天下,在网络边缘和核心层进行检测,遍布在网络上的传感设备和矫正控制的通力协作将是安全应用的主流。

  全局性的检测可提高准确率,但是使检测过程变长,局部反应速度过慢。因此,面对一些局部事件,可以相当准确地判断出问题所在而阻断风险不大时,IPS当之无愧地成为首选产品;而对于需要全面检测和事后分析的情况,则非IDS莫属。根据客户需求将两者统一部署,使其相辅相成,不失为一个优秀的解决方案。图3 给出了一个高可用性IPS、IDS与防火墙综合入侵防御的解决方案。该方案的要点是::

IPSvsIDS 势不两立还是相辅相成?(图三)



  网络主干线的IPS和防火墙均采用双机动态热备份部署,确保任何单机故障均不会影响主干网的畅通;

  将高端IPS串接于路由器与防火墙之间,利用IPS能够快速终结DoS与DDoS、未知的蠕虫、异常应用程序流量攻击所造成的网络断线或阻塞的性能特长,实现网络架构防护机制,保护防火墙和核心交换机等网络设备免遭入侵和攻击;

  信息中心和业务服务器的子交换机前分别部署一台中级IPS,可以有效地阻断来自内部和外部对于公共访问和关键业务服务器群的攻击;

  在各子网的分交换机端口部署分布式IDS的网络引擎,对各子网的通信进行实时监听,发现攻击或者误操作立即报告其中心控制台,向系统管理员发出警报,并且做好时间记录和报告,以便进行事件分析。

结束语

  主动防御与实时阻断是IPS的立足之本,但是由于受到技术与成本的局限,IPS尚无法完全替代IDS全面的检测与报告功能。IPS与IDS相比较而存在、相斗争而发展的局面仍然会继续下去。作为信息安全工作者或者用户,没有必要去争论两者谁会战胜谁,而应该研究如何发挥双方的特长,使其相辅相成,共同建立现实的信息安全体系。

原文转自:http://www.ltesting.net