IDS产品将如何“进化”?

日期: 2010-11-09 作者:Jack zhai 来源:TechTarget中国 英文

  问题提出:

  入侵检测(IDS)是用来发现黑客入侵的特殊安全设备,早期的时候很简单,就是一个日志分析器,大海捞针一样从日志里提取黑客的来访记录;后来黑客学乖了,临走时把自己的“污点”记录统统抹掉;记录没了,日志分析就很难再发现黑客了(当然一些菜鸟级黑客还没有这个意识与能力)。现在,日志分析成为内部人是否有违规行为的审计工具,面对堆积如山的日志信息,你可以想象审计人员的工作是如何辛苦,揪出一个“坏蛋”,如同拣到一个金元宝一样“高兴”。

  为了发现黑客,IDS开始收集“原始”的网络流量,自己进行分析(流量是实时的,黑客也没有办法不产生流量)。从此,IDS产品开始“分家”,在计算机内收集网卡流量进行分析的称为主机IDS;从网络交换机上,或者直接从物理链路上“复制”流量的称为网络IDS;分析技术都是把原始数据还原为用户访问过程,分析访问者的行为是否异常,发现黑客工具的指纹与特征,技术上称为应用协议解析(标准的协议如HTTP、FTP、SMTP、Telnet等,新流行的应用协议如P2P、MSN等)。

  检测与躲避技术相较量的关键是IDS的识别能力,IDS厂商收集黑客“指纹特征”与“行为模式”,把它们放在攻击数据库内,并不断地升级;看见貌似的就告警,“宁可报错,不可放过”,从近十年以来的攻防拉锯战中看,攻击数据库越来越庞大,但黑客变换与伪装速度更为快些,黑客开始使用程序自动生成无数的新“特征”,快到每天新出现几十万个,不仅可以迷惑检测者,而且让防护者还没来得及升级就落伍了…

  识别变得越来越困难,有些安全厂家推出所谓的主动防御,就是在对攻击者识别的同时,先对自己的应用进行过滤,自己的“家底”是很容易清理的,不是我这里记录允许的,就一定是外来的、可疑的,先隔离起来再说。面对互联网上层出不穷的新创意,主动防御保护自己的那一些老家底也有些“力不从心”。

  入侵检测产品在核心技术上出现了“瓶颈”,在易用性上出现“海量事件危机”,这个产品下一步究竟应该如何进化呢,是自然淘汰,还是“变异”后重生?
 
  我们对付黑客的办法:

  从战略思想上来说,我们对付黑客的办法就两种:一是加装“防盗门”,把一些“菜鸟”级攻击挡在门外边,我们常见的FW、IPS、UTM都是这种方式,这种办法对付高级黑客显然是不行的,连门都进不来,还谈什么高手吗?二是部署“摄像头”,监视“所有人”的行为,发现有靠近“金库”的就警觉起来,符合“通缉者”特征的就“抓起来”,这就是我们说的IDS。

  这两种方式还有一个技术上的差异:防盗门是必需拦在网络路径上的,所谓“一夫当关”,发现攻击者立即阻断,阻止其进入大门,但串联设备对性能要求很高,网络流量在指数级逐年递增,再说大门方式很难持续观察一个访问者;摄像头是旁路监控的,并联处理,可以长时间跟踪连接进行分析,不影响业务本身,发现问题及时报警。虽然在两种措施中都有对黑客特征的检测识别,显然后者更适合于长时间地跟踪与关联性分析,适合对行为的监视,可以用来对付高级黑客,当然也需要产品使用者自身的能力强一些。


  然而近几年,随着黑客攻击技术的进步,网络上需要分析的信息逐渐发生变化,主要有下面原因:

  ?  黑客采用特殊信息通道(未知协议)去指挥他的“僵尸网络”,或选择多级跳板,再以其他人身份去探测与入侵,对这种方式探测用标准协议解析显然是不够的;

  ?  P2P技术流行,通过标准协议承载私有协议的半加密连接非常普遍,让“防盗门”的作用越来越小,安全对于摄像头监控的依赖性越来越大;

  ?  通过“制造”虚假同类流量,掩盖自己的真实目的。比如满大街的人都突然穿一种服装,或去做同一件事情,即使这个事情是违法的,但在法不责众的大环境下,也很难注意到真正的黑客是哪个。

  随着这种环境的出现,网络上检测分析的设备种类增多了,市场上影响较大的如异常流量监测、蠕虫木马监测、DDOS攻击监测等。其中蠕虫监测是互联网运营商非常关注的,作为网络承载商,不能直接阻断用户的数据,但对网络木马、蠕虫、病毒的动态监控,是为高端用户提供安全保障的基础。

  这些新变化的共同点是:监控大都是采用旁路复制流量的方式,后台进行数据分析。
 
  IDS的进化方向:

  要生存,就要进化,物竞天择是自然规律。IDS也不例外,总地来说,IDS产品的进化需求是来自两个方向:

  1、从技术角度看:网络内部监控分析类产品需要整合,因为这些产品都是复制流量后进行分析,只是分析的方式与监控的目标不同而已,如异常流量、蠕虫木马、以及审计,这有些象北京道路上安装的若干摄像头,有查看交通流量的,有查车辆违章的,有平安城市监测安全的…大家分属不同部门,分开管理,重复建设,整合是必然的。

  整合的意思有两层:一是把这些产品集成到一起,用一个产品解决所有问题,大家需要的基础信息都一样,随着处理器能力的提高、多核硬件结构的产品化,性能上是不必担心的。二是把物理采集功能整合到一起,从原来的产品中分离出来,只进行公共的、初步的分析,然后分别交给后台不同的系统,分析的任务送给上层。

  整合的结果是物理部署的设备明显减少,这不仅维护成本降低,也有利于硬件性能的提升。

  2、从用户角度看,入侵、异常流量、蠕虫木马的监控都是为了发现黑客入侵或黑客的攻击行为,对用户来说是一样的,只不过是更为细分的技术手段而已;早期分开设计,无非是技术专注厂家的不同造成的,随着硬件性能的提高,技术的成熟,如同UTM是FW、IPS、AV、VPN的进化趋势一样,IDS、异常流量、蠕虫木马也将进化到一起,我们可以称它为威胁检测(TDS)。

  但是这样只解决了来自黑客方面的威胁,对于内部来说,自己的漏洞就是黑客关注的目标,能及时发现自己的漏洞就能减少黑客入侵成功的可能,因此漏洞扫描也将成为威胁检测的功能之一。

  威胁检测是相对于用户来说的,意思就是来自黑客的所有威胁的检测与识别。

  如同早期FW与IDS的关系一样,未来网络安全设备应该是UTM与TDS的关系,安全的理念是一样的,一个是边界防盗门,一个是内部摄像头;再加上对使用人员的信任体系,就达到安全架构“花瓶”模型的三条安全基线了。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 企业无线网络的安全强化措施(下)

    在文章中,我们列出了数据链路层的针对企业无线局域网可能遭到滥用的对策,这些对策包括使用无线安全标准、无线局域网的入侵检测和异常追踪等。

  • 企业无线网络的安全强化措施(上)

    在文章中,我们列出了数据链路层的针对“企业无线局域网可能遭到滥用”的对策,这些对策包括使用无线安全标准、无线局域网的入侵检测和异常追踪等。

  • 入侵检测系统(IDS)和入侵防御系统(IPS)

    除了应对原有攻击,现在网络管理员希望入侵检测系统(IDS)和入侵防御系统(IPS)还可以检测网页应用攻击,因为应用程序愈来愈成为攻击威胁的入口。

  • 七款入侵检测工具推荐

    入侵检测是对入侵行为的检测,通过收集和分析网络行为、安全日志等,检查网络或系统中是否有违反安全策略的行为,那么有哪些工具可以用来进行入侵行为的检测呢?