聶 巍

(武漢軟件工程職業(yè)學(xué)院 現(xiàn)代教育技術(shù)中心,湖北武漢 430033)

伴隨Internet高速發(fā)展,網(wǎng)絡(luò)入侵事件不斷增加,入侵攻擊水平不斷提高,尤其中國遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多,據(jù)《2011年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報(bào)告》統(tǒng)計(jì),2011年境外參與控制中國境內(nèi)主機(jī)用作木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器的IP地址有近4.7萬個(gè),其數(shù)量雖然較2010年的22.1萬大幅降低,但其控制的境內(nèi)主機(jī)數(shù)量卻比2010年增加近400萬,呈現(xiàn)大規(guī)?；厔?。開放大學(xué)的構(gòu)建以現(xiàn)有的遠(yuǎn)程教育資源為基礎(chǔ),而現(xiàn)有遠(yuǎn)程教育主要以計(jì)算機(jī)網(wǎng)絡(luò)為依托,要創(chuàng)建開放大學(xué)網(wǎng)絡(luò)安全的重要性不言而喻。選擇怎樣的安全設(shè)備檢測抵御來自網(wǎng)絡(luò)的不安全行為是網(wǎng)絡(luò)安全管理員面臨的新問題,入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)作為網(wǎng)絡(luò)安全設(shè)備有效構(gòu)成部分中的一員特別容易混淆,那么校園網(wǎng)應(yīng)該采用IDS,還是IPS,還是兩個(gè)都用呢?網(wǎng)絡(luò)安全管理員應(yīng)該采用怎樣的判斷標(biāo)準(zhǔn)呢?他們的區(qū)別和作用是什么呢?IPS的出現(xiàn)和發(fā)展是不是將會完全代替IDS?下面我們來做一下分析。

一、入侵檢測系統(tǒng)與入侵防御系統(tǒng)的歷史

1980年4月,James P.Anderson為美國空軍做了一份題為《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》的技術(shù)報(bào)告,入侵檢測(Intrusion Detection)的概念被第一次詳細(xì)闡述。他提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動的思想。這份報(bào)告被公認(rèn)為是入侵檢測的開山之作。1984年至1986年喬治敦大學(xué)的Dorothy E.Denning提出實(shí)時(shí)異常檢測的概念并建立了第一個(gè)實(shí)時(shí)入侵檢測模型,命名為入侵檢測專家系統(tǒng)(IDES)。模型獨(dú)立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型,為構(gòu)建入侵系統(tǒng)提供了一個(gè)通用的框架。1990年,L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng),NSM(Network Security Monitor),之后入侵檢測系統(tǒng)才真正發(fā)展起來。Anderson將入侵檢測定義為:檢測企圖破壞計(jì)算機(jī)資源的完整性、真實(shí)性和可用性的行為。在過去的幾十年間,入侵檢測的研究達(dá)到了高度先進(jìn)的水平。入侵檢測系統(tǒng)IDS(Intrusion Detection System)一般是指分析系統(tǒng)活動信息,分析惡意行為監(jiān)測數(shù)據(jù),以及分析未授權(quán)行為的過程。IDS可以分為基于特征(Signaturebased)的和基于異常(anomaly-based)的。基于特征的IDS的工作原理與殺毒類似,查詢和已知惡意事件匹配的特征。基于異常的IDS查詢網(wǎng)絡(luò)協(xié)議、用戶、流量行為模式或系統(tǒng)(核心)調(diào)用中的異常行為。

一般來說,任何一種入侵檢測系統(tǒng)都能發(fā)生警報(bào)或記錄惡意行為。一旦入侵檢測系統(tǒng)檢測到惡意行為,它便采取回避或糾正行為來制止進(jìn)攻以確保計(jì)算機(jī)環(huán)境的安全性。這樣一種防御措施就叫做入侵防御。當(dāng)入侵檢測系統(tǒng)彈出警報(bào)時(shí),系統(tǒng)管理員要負(fù)責(zé)檢查發(fā)出警報(bào)的每一個(gè)細(xì)節(jié),然后進(jìn)行適當(dāng)?shù)姆烙?。遺憾的是,網(wǎng)絡(luò)安全管理員既不能跟上入侵檢測系統(tǒng)的步伐,也不能在合理的時(shí)間限定內(nèi)根據(jù)這些警報(bào)做出合適的反應(yīng)。不僅如此,這些人工防御既沒有靈活性也無效率,它們完全依靠于網(wǎng)絡(luò)安全管理員的專業(yè)知識。但是,自動防御系統(tǒng)卻能彌補(bǔ)這一缺陷,它們可以對警報(bào)實(shí)施更快更準(zhǔn)確的防御,這一功能在許多分層系統(tǒng)中都要用到的。自動入侵防御就是指一種不在人為干涉下而自動選擇防御方式的機(jī)制。它主要的優(yōu)點(diǎn)就在于能從檢測時(shí)間中減少防御等待時(shí)間,以及為各系統(tǒng)提供一致并精準(zhǔn)的防御。與此同時(shí),這種自動防御系統(tǒng)還可以減少某些情況的發(fā)生,比如許多網(wǎng)絡(luò)安全管理員都未能考慮到與防御相關(guān)的成本問題。入侵防御系統(tǒng)IPS(IntrusionPrevention System)于20世紀(jì)90年代被發(fā)明,較防火墻技術(shù)的一個(gè)顯著的優(yōu)勢在于,IPS能夠基于應(yīng)用層來進(jìn)行訪問控制,而不像防火墻那樣以IP地址和端口號來判斷。一個(gè)IPS應(yīng)該也是一個(gè)優(yōu)秀的IDS,這樣才能確保較低的誤報(bào)頻率。某些IPS還能抵抗可能造成攻擊的漏洞,比較典型的例子是緩沖區(qū)溢出。

二、入侵檢測系統(tǒng)與入侵防御系統(tǒng)的工作原理

IDS通常用于檢測不正常行為,意在造成網(wǎng)絡(luò)實(shí)質(zhì)性破壞之前發(fā)現(xiàn)其行為。包括網(wǎng)絡(luò)型(NIDS)和主機(jī)型(HIDS)等多種類型。NIDS分析網(wǎng)絡(luò)流量數(shù)據(jù)以及檢測任意兩個(gè)相互作用的系統(tǒng)間的惡意活動。Snort就是一個(gè)網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實(shí)例。HIDS主要監(jiān)測并分析計(jì)算機(jī)系統(tǒng)中諸如存儲器、文件系統(tǒng)、賬戶等內(nèi)部裝置來發(fā)現(xiàn)異常行為,而非外部接口。OSSEC就是一個(gè)開源主機(jī)型檢測系統(tǒng)的實(shí)例,并且市場上開源HIDS的供應(yīng)量有很多。

IDS工作方式包括檢測已知攻擊信號和檢測反常行為兩種。這些反常或異常行為在協(xié)議和應(yīng)用層被檢測到。他們可以有效地檢測到諸如漏洞掃描,DNS攻擊和其他的惡意數(shù)據(jù)包。IDS主要是對那些異常的或可能是入侵行為的數(shù)據(jù)進(jìn)行檢測和報(bào)警。幾乎所有的IDS系統(tǒng)在攻擊事件發(fā)生之前,無法提前發(fā)出警報(bào)。而IPS能提供主動保護(hù),其設(shè)計(jì)的目的是針對那些被明確判斷為攻擊行為及造成危害的網(wǎng)絡(luò)威脅提前進(jìn)行檢測和防御,使得網(wǎng)絡(luò)用戶能夠降低處理異常狀況的開銷,而不是只能在遭到惡意攻擊時(shí)發(fā)送警報(bào)。它是通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量,對異?；蚩梢蔂顩r進(jìn)行檢查后,再通過其他端口將信息傳送到內(nèi)部系統(tǒng)中。這樣被它確定有問題的數(shù)據(jù)包以及同一源頭的后續(xù)數(shù)據(jù)包,都能在IPS設(shè)備中預(yù)先被過濾掉。

三、入侵檢測系統(tǒng)與入侵防御系統(tǒng)的比較

比較一:保護(hù)范圍

IDS是一種監(jiān)控網(wǎng)絡(luò)中未經(jīng)授權(quán)行為的軟件或設(shè)備。使用預(yù)先設(shè)置的規(guī)則,IDS就可以檢測端點(diǎn)配置以便確定其端點(diǎn)是否易受攻擊,用戶還可以記錄網(wǎng)絡(luò)上的行為,然后將其與已知的攻擊或攻擊模式進(jìn)行比對。入侵檢測技術(shù)已經(jīng)應(yīng)用多年,商家銷售時(shí)也想出不少噱頭,包括優(yōu)良的簽名功能,但是免費(fèi)的開源型入侵檢測系統(tǒng),如Snort和OSSEC仍然很受歡迎。

反之,IPS不僅能夠監(jiān)測由僵尸網(wǎng)絡(luò)、病毒、惡意代碼以及有針對性的攻擊引起的異常流量,還能夠在破壞發(fā)生之前采取保護(hù)網(wǎng)絡(luò)的行動。中小型網(wǎng)絡(luò)的網(wǎng)絡(luò)安全管理員可能認(rèn)為你的網(wǎng)絡(luò)不值得黑客去攻擊,但是你必須知道許多網(wǎng)絡(luò)攻擊者會使用自動掃描來探測互聯(lián)網(wǎng),對每個(gè)網(wǎng)絡(luò)都進(jìn)行漏洞探測記錄供日后使用。這些攻擊者對任何到手的數(shù)據(jù)都感興趣,比如說個(gè)人信息、財(cái)務(wù)記錄等等。

在網(wǎng)絡(luò)中的惡意攻擊引起破壞之前,性能良好的IDS或IPS就能夠有效地識別它們。例如,我們假設(shè)攻擊者試圖在你的網(wǎng)絡(luò)中放入一個(gè)木馬程序。惡意代碼可能已經(jīng)將木馬放入但并不立刻執(zhí)行。等到激活后才會造成嚴(yán)重破壞。如果網(wǎng)絡(luò)中安裝了設(shè)置合理的入侵檢測功能設(shè)備,當(dāng)攻擊者試圖激活木馬程序時(shí),IDS或IPS就會識別這種行為并立即采取措施,要么報(bào)警,要么進(jìn)行防御。

用來監(jiān)測網(wǎng)絡(luò)層或傳輸層數(shù)據(jù)包的傳統(tǒng)防火墻很有可能對這種攻擊一無所知。如果此類攻擊附著在看起來正常的網(wǎng)絡(luò)流量中,極有可能避開異常監(jiān)測引擎。而入侵檢測與防御系統(tǒng)的特點(diǎn)在于IDS/IPS可以進(jìn)行更深層次的包監(jiān)測,不僅分析數(shù)據(jù)包的來源和去向,而且還能分析數(shù)據(jù)包的內(nèi)容,以此確定它們是否會對網(wǎng)絡(luò)系統(tǒng)造成攻擊。分析數(shù)據(jù)的內(nèi)容是決定包的特性是否與未授權(quán)或者惡意行動相對應(yīng)的關(guān)鍵,當(dāng)攻擊者采用正常格式數(shù)據(jù)包來偽裝攻擊時(shí),IDS/IPS技術(shù)能夠更加智能地處理危險(xiǎn)的攻擊內(nèi)容。

比較二:兩種技術(shù)的區(qū)別

從2003年Gartner公司副總裁Richard Stiennon發(fā)表名為《入侵檢測已壽終正寢,入侵防御將萬古長青》的報(bào)告,從此安全業(yè)界是選擇入侵防御還是選擇入侵檢測的話題討論至今。有的人認(rèn)為IDS將逐漸過時(shí),最終會被IPS替代;有的人認(rèn)為IDS和IPS各自獨(dú)立,均可持續(xù)發(fā)展;筆者更傾向于后者。當(dāng)信息安全人員只需要識別攻擊,而不需要采取任何措施時(shí),IDS已被廣泛使用。當(dāng)需要收集網(wǎng)絡(luò)數(shù)據(jù)不能停止攻擊;當(dāng)安全團(tuán)隊(duì)沒有權(quán)限去停止攻擊(如果所檢測的網(wǎng)絡(luò)不是我們的);還有當(dāng)我們想要監(jiān)測日志,需要跨越安全來進(jìn)行等情況都是最明顯的使用案例。例如:因沒有充足資金,選擇犧牲即時(shí)安全(immediate security)來獲取持續(xù)的商業(yè)運(yùn)作的企業(yè),可以采用IDS來監(jiān)控網(wǎng)絡(luò)。類似的,需要積極主動地保護(hù)重要資產(chǎn),看重安全重要性的企業(yè),具有監(jiān)測并阻止或防御攻擊的IPS是最合適不過的;而IDS只能識別出攻擊的存在,而阻止入侵則是人工防御。

綜上所述在你考慮購買IPS、IDS或者兩個(gè)都要時(shí),記住關(guān)鍵是你的首要需求。如果你需要更多的控制,最重要的部分是IPS的檢測能力。IPS需要有能力快速檢測并阻止攻擊,并且要以很高的速率而不降低網(wǎng)絡(luò)性能、吞吐量和反應(yīng)時(shí)間。

如果你需要可見性、網(wǎng)絡(luò)取證和分析功能,最重要的是IDS的管理控制臺。你必須要有能力以快速自然的方式駕馭IDS提供的信息,獲得網(wǎng)絡(luò)和安全的可見性。而檢測功能也很重要,但是不如管理系統(tǒng)那么重要。

[1]韓東海.入侵檢測系統(tǒng)及實(shí)例剖析[M].北京:清華大學(xué)出版社,2002.

[2]何欣.基于Snort的入侵檢測系統(tǒng)的研究與實(shí)現(xiàn)[D].華中科技大學(xué),2004.

[3]王世明.入侵檢測技術(shù)原理剖析及應(yīng)用實(shí)例[J].燕京大學(xué)學(xué)報(bào),2004.

[4]落紅衛(wèi).網(wǎng)絡(luò)入侵檢測系統(tǒng)及性能指標(biāo)[J].電信網(wǎng)技術(shù),2005,(11).