《IPSvsIDS势不两立还是相辅相成》由会员分享,可在线阅读,更多相关《IPSvsIDS势不两立还是相辅相成(9页珍藏版)》请在金锄头文库上搜索。
1、IPS vs IDS 势不两立还是相辅相成?2011-12-19 14:23 佚名 比特网 我要评论(0) 字号:T | T2003 年 8 月,Gartner 公司副总裁 RichardStiennon 发表的一份名为入侵检测已寿终正寝,入侵防御将万古长青的报告,提出入侵检测系统 IntrusionDetectionSystem(IDS)已经难以适应客户的需要。AD: 2013 云计算架构师峰会超低价抢票中 2003 年 8 月,Gartner 公司副总裁 RichardStiennon 发表的一份名为入侵检测已寿终正寝,入侵防御将万古长青的报告,提出入侵检测系统 IntrusionDete
2、ctionSystem(IDS)已经难以适应客户的需要。IDS不能提供附加层面的安全,相反增加了企业安全操作的复杂性。入侵检测系统朝入侵防御系统IntrusionPreventionSystem(IPS)方向发展已成必然。一石激起千层浪。刚刚从 IDS 脱颖而出的 IPS,一时间竟然成了 IDS 的天敌。两年多来,尽管事实上 IDS非但没有退出安全产品阵列,反而不断更新、依然占领着继防火墙之后第二大的安全产品市场份额,但是IDS 行将就木的宣传不仅引发了信息安全体系建设上的争执与混乱,而且给客户的信息安全产品选型造成了不应有的压力与彷徨。1.IDS 的功能与缺陷IDS 本质上是一种监听系统,它
3、依照一定的安全策略,对网络与系统的运行状况进行监测,尽可能发现、报告、记录各种攻击企图、攻击行为或者攻击结果,以保证信息系统的机密性、完整性和可用性。IDS 可分为主机型 HIDS 和网络型 NIDS,目前主流 IDS 产品均采用两者有机结合的混合型架构。1.1IDS 的传统优势NIDS 使用原始网络信息作为数据源,利用运行在随机模式下的网络适配器实时监听和分析通过网络的所有通信,收集相关信息并记入日志;而 HIDS 则通常安装在被检测的主机之上,与该主机的网络实时连接,负责对系统审计日志进行智能分析和判断。若发现非法入侵或者违反统计规律的行为异常,IDS 会立即发出警报,由系统管理员进行决策
4、处理。IDS 的传统优势在于:整体部署,实时检测,可根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型,对用户当前的操作进行判断,及时发现入侵事件;对于入侵与异常不必做出阻断通信的决定,能够从容提供大量的网络活动数据,有利于在事后入侵分析中评估系统关键资源和数据文件的完整性;独立于所检测的网络,黑客难于消除入侵证据,便于入侵追踪与网络犯罪取证;同一网段或者一台主机上一般只需部署一个监测点就近监测,速度快,拥有成本低。1.2IDS 的明显缺陷IDS 最明显的缺陷有:被动防御的监听方式限制阻断。目前 IDS 只能靠发阻断数据包来阻断建立在 TCP 基础上的攻击,对于建立在 UDP 基
5、础之上的入侵则无能为力;基于特征的入侵检测技术落伍。由于缺少信息管理,难于抵挡 Canvas 和 MetaSploit 等欺骗工具的攻击和渗透;误报与漏报率高于客户预期。有些 IDS 产品每天会产生大量的异常报告,其中绝大多数属于非攻击行为,需要具有相当专业水准的网络安全管理员进行甄别,有时甚至会给客户造成难于忍受的负担;对于检测主机的依赖性。由于 HIDS 安装于检测主机之上,不仅消耗检测对象的部分资源,影响到被检测主机的效率,而且还必須針对不同的主机及其系统环境设计和安装各自的 HIDS。2.IPS 的优势与弱点提到 IPS,人们常常会谈到一个公式:IPS=Firewall+IDS;也有文
6、献认为,将 IDS 的传感器置于网络通信线路之内(In-line),让所有网络通信量必须通过它,就得到了一台 IPS。这两种看法均有偏颇之处,但是却殊途同归地道出了一个事实:IPS 来自 IDS。2.1IPS 的原理与分类青出于蓝而胜于蓝。IPS 串联于通信线路之内,是既具有 IDS 的检测功能,又能够实时中止网络入侵行为的新型安全技术设备。IPS 由检测和防御两大系统组成,具备从网络到主机的防御措施与预先设定的响应设置。图 1 是北京基格网络技术有限公司研制的基格领袖 IPS 原理框图,在同类产品中颇具代表性。图 1.入侵防御系统 IPS 的原理框图目前,从保护对象上可将 IPS 分为三类:
7、基于主机的入侵防护(HIPS),用于保护服务器和主机系统不受不法分子的攻击和误操作的破坏;基于网络的入侵防护(NIPS),通过检测流经的网络流量,提供对网络体系的安全保护,一旦辨识出入侵行为,NIPS 就阻断该网络会话;应用入侵防护(AIP),是将基于主机的入侵防护扩展成为位于应用服务器之前的网络信息安全设备。2.2IPS 不可低估的优势实时检测与主动防御是 IPS 最为核心的设计理念,也是其区别于防火墙和 IDS 的立足之本。为实现这一理念,IPS 在如下四个方面实现了技术突破,形成了不可低估的优势:在线安装(In-Line)。IPS 保留 IDS 实时检测的技术与功能,但是却采用了防火墙式
8、的在线安装,即直接嵌入到网络流量中,通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中;实时阻断(Real-timeInterdiction)。IPS 具有强有力的实时阻断功能,能够预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失;先进的检测技术(AdvancedDetectionTechnology)。主要是并行处理检测和协议重组分析。所谓并行处理检测是指所有流经 IPS 的数据包,都采用并行处理方式进行过滤器匹配,实现在一个时钟周期内,遍历所有数据包过滤器;而协议重组分析是指所有流经 IPS 的数据包,必须首
9、先经过硬件级预处理,完成数据包的重组,确定其具体应用协议。然后,根据不同应用协议的特征与攻击方式,IPS 对于重组后的包进行筛选,将可疑者送入专门的特征库进行比对,从而提高检测的质量和效率;特殊规则植入功能(Build-inSpecialRule)。IPS 允许植入特殊规则以阻止恶意代码。IPS 能够辅助实施可接收应用策略(AUP),如禁止使用对等的文件共享应用和占有大量带宽的免费互联网电话服务工具等;自学习与自适应能力(Self-study&Self-adaptationAbility)。为了应对黑客们处心积虑、花样翻新的攻击手段,IPS 必须具有人工智能的自学习与自适应能力。能够根据所在网
10、络的通信环境和被入侵状况,分析和抽取新的攻击特征以更新特征库,自动总结经验,定制新的安全防御策略。2.3IPS 不可忽视的弱点有其利必有其弊。IPS 的主动防御优势也决定了它的下列弱点:总体拥有成本(TOC)高。浩大的高可用性(HA)实时计算需求决定了 IPS 必须选用高端的专用计算设备,但是可观的总体拥有成本却使不少用户望而却步;单点故障(Single-pointFault)。IPS 的阻断能力决定其必须采用网络嵌入模式,而这就可能造成单点故障;性能瓶颈(PerformanceBottle-neck)。即使 IPS 设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网
11、络的效率,因此,绝大多数高端 IPS 产品供应商都通过使用自定义硬件(FPGA、网络处理器或者 ASIC 芯片)来提高 IPS 的运行效率,以减少其对于业务网络的负面影响;误报(Falsepositive)与漏报(Falsenegatives)后果同样严重。在网络流量几乎成几何级数增加的情况下,一旦生成警报,最基本的要求就是不让“误报”有可乘之机,导致合法流量也很有可能被意外拦截。如果触发了误报警报的流量恰好是来自上级、合作伙伴和客户的重要信息,IPS 不仅实施了一次性错误阻断,而且会切断与他们的信息通道,其结果不言而喻。3.IPS 目前不可能取代 IDS我们既要看到 IPS 蓬蓬勃勃的增长势
12、头,又要承认 IDS 在入侵检测领域的传统优势,肯定 IPS 目前尚不可能完全取代 IDS 的基本事实,在建立自己的网络与信息安全体系的过程中,将两者有机地结合起来。3.1IPS 增长势头强劲根据 IDC 发布的案例,美国的一家财务公司,在全球有 12 个分支机构,原计划使用多台防火墙并搭配250 个许可证的 IDS。最终,该公司仅用了 30 个许可证的 IPS 产品就实现了全球网络的入侵防御,而管理人员只需要 3 至 4 人,效率却提高了 6 倍以上。波士顿 SappiFine 报社信息安全总监 JimCupps 说,作为具有 10,000 桌面设备和数百台基于微软服务器的公司,现在开始使用
13、 Determina 基于主机的 IPS,称之为内存防火墙的专用服务器,主要作为防御蠕虫的附加件。基于行为的内存防火墙能够监测缓冲区溢出攻击,它并不能替代打补丁,但是它让我们不必立即打补丁,我们战胜了补丁恐慌,如果漏洞确实存在,入侵防御系统能够帮忙。图 2.IPS 市场销售统计与预测(2003-2008)在受益于 IPS 的优势和效益的同时,不少用户对于其弱点和不足,也能给与理解与宽容。大名鼎鼎的网络安区专家 MathiasThurman 在 IDC 的计算机世界上写道,由于 In-line 安装,IPS 设备的故障可能根本上阻断网络通信。因此,我们需要选择具有容错能力的 IPS,即故障时能让
14、通信畅通。我愿意承担短时期自我开放的风险,也不愿面临数以千计的雇员无法工作,损失收入和劳动生产率的局面。正是由于 IPS 主动防御和易于管理的特性,致使其销售也正在突飞猛进。图 2 是来自于 IDC 的 2003-2008年 IPS 销售额的统计与预测。从此图中可以看到,到 2008 年,IPS 的销售额可高达 11.8 亿美元,比 2005年增加将近一倍。3.2 为何 IPS 不会立即取代 IDS?应该指出,到目前为止 IPS 尚未强大到足以取代 IDS 的地步,或者它根本不必要全面取代 IDS 就能拓展自身的生存空间。这是因为:IPS 尚难应对较为复杂的攻击。受检测技术、传输技术、芯片技术
15、等多方面的约束,当前 IPS 能够解决的主要是准确的单包检测和高速传输的融合问题,对于端口扫描、拒绝服务、蠕虫等特征比较明确的攻击可以做到高效的检测和及时的阻断,而对于更为复杂的攻击就难于应对;IPS 的分析报告功能太弱。对于 In-line 的 IPS 来说,分析得越清晰准确,计算复杂度越高,传输延迟就会越大。美国网络世界实验室联盟成员 RodneyThayer 认为,在报告、分析等相关技术完善得足以防止虚假报警之前,IPS 不可能取代 IDS 设备。IPS 可能将取代外围防线的检测系统,而网络中的一些位置仍然需要检测功能,以加强不能提供很多事件信息的 IPS;。IDS 正在走向检测与访问控
16、制相融合。一个不太准确的 IDS,经过人工的分析可以变得准确;同样,经过大规模的 IDS 部署后的集中分析,以及和其他检测类技术的关联分析,可以获得更加精确的结果。根据全局性的检测结果就可以进行全局性的响应和控制。从宏观看检测和访问控制的融合是 IDS 的发展方向;技术上的相互渗透和融合并非一定要在产品上取而代之。防火墙最主要的特征是通(传输)和断(阻隔)两个功能,并不对通信包的数据部分进行检测;IDS 是一个检测和发现为特征的技术行为,其追求的是抓包不能漏,分析不能错,尽量降低漏报率和误报率。因此,防火墙、IDS 和 IPS 一样在网络信息安全体系中可以各显身手,相辅相成。4.一个相辅相成的解决方案美国网络世界实验室联盟成员 JoelSnyder 认为,未来将是混合技术的天下,在网络边缘和核心层进行检测,遍布在网络上的传感设备和矫正控制的通力协作将是安全应用的主流。全局性的检测可提高准确率,但是使检测过程变长,局部反应速度过慢。因此,面对一些局部事件,可以相当准确地判断出问题所在而阻断风险不大时,IPS
