模板
教程
环境
性能
功能
管理
入侵检测的新方案:入侵预防
入侵检测的新方案:入侵预防
正如复杂的家庭安全系统可能包括摄像机、探测器及监控设备监视室内的可疑活动,譬如有人未经擅自闯入,入侵检测系统( IDS )也会警告IT系统管理员网络环境边界内部的潜在安全危胁。
与被更为广泛的IT安全规划吸纳的其它传统安全技术一样,入侵检测系统在过去五年已日益成为安全解决方案的一个必要条件。
然而,入侵检测技术的问题在于,它们与其它传统安全技术存在同样的严重缺陷:反应被动。这类战略性系统考虑再怎么周到,无论独立实施还是结合其它技术实施,经常发生的一系列安全攻击也一再表明:存在的缺口可能会导致网络资源受到破坏而瘫痪。
基于网络和基于主机的入侵检测系统都普遍存在几个弱点。首先,总的说来不能适应庞大、高速、复杂的网络。其次,实施及监控这类系统时会给IT人员增添管理负担。另外,传统的 IDS 技术实际上会给网络和用户活动带来障碍,这就影响了性能,最终导致不应有的管理负担和沮丧情绪。
尽管安全人员尽了最大努力,企业内部计算资源还是每天在遭受入侵。攻击的扩散同访问网上其它资源的速度一样快。就这一点而言,以应用为中心的入侵预防为保护如今庞大的网络及企业环境提供了一种新的方案。入侵预防技术是任何采取主动措施的安全模式的核心所在,而这类方案因而获得的优点注重应用程序和操作系统安全性和资源可用性。此外,入侵预防安全环境下的行为实施策略对不断发展的攻击采取了整体分析的方案。结果就是,基于应用行为的主动防御机制能防止重要的文件和网络资产受到破坏。
入侵预防软件与传统入侵检测产品的不同之处在于,前者实际上能预防攻击,而不仅仅是检测出现的攻击。正如前文所述,当前的入侵检测软件都是反应式的――通常是扫描配置存在的弱点、攻击发生后才发现攻击。防病毒厂商和入侵检测厂商常常会“随时待命”,对攻击事件迅速作出响应。但到这时候,攻击通常已经生效,网络或桌面系统因而陷入瘫痪。入侵预防安全架构则充当下一代网络安全软件,它能积极主动地加强桌面系统和服务器的安全,防止受到基于特征扫描的技术所无法发现的网络攻击的破坏。
入侵预防之所以有着重大优势,正是因为它减轻了企业安全管理的负担。不同于传统入侵检测产品,入侵预防实际上通过下列方式来保护内部资源免受来自网络内部的攻击:限制可能具有破坏性的代码的行为又不妨碍业务经营、提供攻击记录以及一旦击退攻击就通知企业安全人员。此外,高性能级别入侵预防技术能够击退基于网络的攻击,譬如拒绝服务、探测、畸形数据包及敌意连接攻击。
为了为计算资源全面提供真正有效的保护,网络安全管理人员就不能单单依靠发现已知攻击或及其变化形式。入侵预防的新方法定义了适当行为,然后在企业内部每个最终用户的桌面系统、网络服务器上实施这些行为。那什么是正当行为呢?我们不必浏览本文内容就知道:倘若某用户收到一封电子邮件,立即企图把邮件发送给用户地址簿上所列的每个联系人,那么这就不是正当行为。同样,倘若来自Web浏览器、邮件软件或微软Office程序组的进程企图写入到Windows NT系统文件,这也不是正当行为。确切地说,这极可能是一种宏病毒。入侵预防就是采用这种方式监控系统和应用的行为,并且定义哪些行为是正当的、哪些行为是可疑的,这样一旦企图作出超乎预期行为范围的举动,入侵预防技术会先发制人地消除不当的系统行为。
只要设定规则以控制应用程序能够对安装了入侵预防系统的文件、网络和系统资源执行哪些行为,这种高性能入侵预防系统就能使IT管理员受益匪浅。作为一种智能代理,入侵预防系统会不动声色地运行:截获系统行为、核查政策,然后根据这些政策的规定允许或拒绝有关行为。此外,一些高度结构化的入侵预防系统还能提供预先设定的规则,以保护Web服务器、邮件服务器及提供一般的最终用户桌面保护。
最后,统计日志数据可用来生成表明网络整体运行状况的报告。如果利用这种报告,IT人员就能监控当前规则集(rule set)的工作情况,必要的话可以进行调整。每当发现有人企图访问受限系统资源的特定行为,这种报告就会记入日志。
入侵检测系统结合漏洞评估工具是攻击出现后对其进行审查及辨析的理想工具,可是这类系统无法预防破坏。为了更清楚地了解入侵预防如何比传统 IDS 更进一步从而实际上预防攻击造成的破坏,不妨看一下特洛伊木马攻击。
表面上来看,特洛伊木马攻击似乎没有危害――它就像一种有用的后台进程。然而,这类攻击通常隐藏破坏性程序,可能其目的在于最终破坏或改动文件,或者可能是建立后门入口点,以便入侵者访问系统。基于网络的 IDS 发现不了文件里面所隐藏的攻击。基于主机的IDS系统也许能分析审查和事件日志,查找可能表明未授权访问企图的证据,但携带伪装成“安全”信息的恶性代码的授权访问企图则有可能溜掉。
在防范特洛伊木马方面,入侵预防要比 IDS 进一步:它能发现系统当中的不寻常行为,然后在入侵实施之前加以实时封阻。例如,IT人员能够发现及联系应用行为,如导致Web服务器缓冲器溢出以便入侵者潜入网络、映射其它可执行文件的内存以窃取机密、连接键盘截获输入字符、修改现有的可执行文件以隐藏恶性代码、访问http端口伪装成合法的Web程序。所以这些行为无不表明特洛伊木马攻击的存在。
预防电子商务应用或网站内容遭到实际破坏对保护如今的开放网络来说至关重要。对面临攻击需要主动、预防的安全措施以应对环境的那些人而言,现有的入侵预防技术起到了一项合乎实际的替代策略的作用。
