淺析入侵檢測系統與入侵防御系統的應用

聶 巍

(武漢軟件工程職業學院 現代教育技術中心,湖北武漢 430033)

伴隨Internet高速發展,網絡入侵事件不斷增加,入侵攻擊水平不斷提高,尤其中國遭受境外的網絡攻擊持續增多,據《2011年中國互聯網網絡安全態勢報告》統計,2011年境外參與控制中國境內主機用作木馬或僵尸網絡控制服務器的IP地址有近4.7萬個,其數量雖然較2010年的22.1萬大幅降低,但其控制的境內主機數量卻比2010年增加近400萬,呈現大規模化趨勢。開放大學的構建以現有的遠程教育資源為基礎,而現有遠程教育主要以計算機網絡為依托,要創建開放大學網絡安全的重要性不言而喻。選擇怎樣的安全設備檢測抵御來自網絡的不安全行為是網絡安全管理員面臨的新問題,入侵檢測系統(IDS)和入侵防御系統(IPS)作為網絡安全設備有效構成部分中的一員特別容易混淆,那么校園網應該采用IDS,還是IPS,還是兩個都用呢?網絡安全管理員應該采用怎樣的判斷標準呢?他們的區別和作用是什么呢?IPS的出現和發展是不是將會完全代替IDS?下面我們來做一下分析。

一、入侵檢測系統與入侵防御系統的歷史

1980年4月,James P.Anderson為美國空軍做了一份題為《計算機安全威脅監控與監視》的技術報告,入侵檢測(Intrusion Detection)的概念被第一次詳細闡述。他提出了利用審計數據監視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作。1984年至1986年喬治敦大學的Dorothy E.Denning提出實時異常檢測的概念并建立了第一個實時入侵檢測模型,命名為入侵檢測專家系統(IDES)。模型獨立于特定的系統平臺、應用環境、系統弱點以及入侵類型,為構建入侵系統提供了一個通用的框架。1990年,L.T.Heberlein等設計出監視網絡數據流的入侵檢測系統,NSM(Network Security Monitor),之后入侵檢測系統才真正發展起來。Anderson將入侵檢測定義為:檢測企圖破壞計算機資源的完整性、真實性和可用性的行為。在過去的幾十年間,入侵檢測的研究達到了高度先進的水平。入侵檢測系統IDS(Intrusion Detection System)一般是指分析系統活動信息,分析惡意行為監測數據,以及分析未授權行為的過程。IDS可以分為基于特征(Signaturebased)的和基于異常(anomaly-based)的?；谔卣鞯腎DS的工作原理與殺毒類似,查詢和已知惡意事件匹配的特征。基于異常的IDS查詢網絡協議、用戶、流量行為模式或系統(核心)調用中的異常行為。

一般來說,任何一種入侵檢測系統都能發生警報或記錄惡意行為。一旦入侵檢測系統檢測到惡意行為,它便采取回避或糾正行為來制止進攻以確保計算機環境的安全性。這樣一種防御措施就叫做入侵防御。當入侵檢測系統彈出警報時,系統管理員要負責檢查發出警報的每一個細節,然后進行適當的防御。遺憾的是,網絡安全管理員既不能跟上入侵檢測系統的步伐,也不能在合理的時間限定內根據這些警報做出合適的反應。不僅如此,這些人工防御既沒有靈活性也無效率,它們完全依靠于網絡安全管理員的專業知識。但是,自動防御系統卻能彌補這一缺陷,它們可以對警報實施更快更準確的防御,這一功能在許多分層系統中都要用到的。自動入侵防御就是指一種不在人為干涉下而自動選擇防御方式的機制。它主要的優點就在于能從檢測時間中減少防御等待時間,以及為各系統提供一致并精準的防御。與此同時,這種自動防御系統還可以減少某些情況的發生,比如許多網絡安全管理員都未能考慮到與防御相關的成本問題。入侵防御系統IPS(IntrusionPrevention System)于20世紀90年代被發明,較防火墻技術的一個顯著的優勢在于,IPS能夠基于應用層來進行訪問控制,而不像防火墻那樣以IP地址和端口號來判斷。一個IPS應該也是一個優秀的IDS,這樣才能確保較低的誤報頻率。某些IPS還能抵抗可能造成攻擊的漏洞,比較典型的例子是緩沖區溢出。

二、入侵檢測系統與入侵防御系統的工作原理

IDS通常用于檢測不正常行為,意在造成網絡實質性破壞之前發現其行為。包括網絡型(NIDS)和主機型(HIDS)等多種類型。NIDS分析網絡流量數據以及檢測任意兩個相互作用的系統間的惡意活動。Snort就是一個網絡型入侵檢測系統的實例。HIDS主要監測并分析計算機系統中諸如存儲器、文件系統、賬戶等內部裝置來發現異常行為,而非外部接口。OSSEC就是一個開源主機型檢測系統的實例,并且市場上開源HIDS的供應量有很多。

IDS工作方式包括檢測已知攻擊信號和檢測反常行為兩種。這些反?；虍惓Ｐ袨樵趨f議和應用層被檢測到。他們可以有效地檢測到諸如漏洞掃描,DNS攻擊和其他的惡意數據包。IDS主要是對那些異常的或可能是入侵行為的數據進行檢測和報警。幾乎所有的IDS系統在攻擊事件發生之前,無法提前發出警報。而IPS能提供主動保護,其設計的目的是針對那些被明確判斷為攻擊行為及造成危害的網絡威脅提前進行檢測和防御,使得網絡用戶能夠降低處理異常狀況的開銷,而不是只能在遭到惡意攻擊時發送警報。它是通過一個網絡端口接收來自外部系統的流量,對異?；蚩梢蔂顩r進行檢查后,再通過其他端口將信息傳送到內部系統中。這樣被它確定有問題的數據包以及同一源頭的后續數據包,都能在IPS設備中預先被過濾掉。

三、入侵檢測系統與入侵防御系統的比較

比較一:保護范圍

IDS是一種監控網絡中未經授權行為的軟件或設備。使用預先設置的規則,IDS就可以檢測端點配置以便確定其端點是否易受攻擊,用戶還可以記錄網絡上的行為,然后將其與已知的攻擊或攻擊模式進行比對。入侵檢測技術已經應用多年,商家銷售時也想出不少噱頭,包括優良的簽名功能,但是免費的開源型入侵檢測系統,如Snort和OSSEC仍然很受歡迎。

反之,IPS不僅能夠監測由僵尸網絡、病毒、惡意代碼以及有針對性的攻擊引起的異常流量,還能夠在破壞發生之前采取保護網絡的行動。中小型網絡的網絡安全管理員可能認為你的網絡不值得黑客去攻擊,但是你必須知道許多網絡攻擊者會使用自動掃描來探測互聯網,對每個網絡都進行漏洞探測記錄供日后使用。這些攻擊者對任何到手的數據都感興趣,比如說個人信息、財務記錄等等。

在網絡中的惡意攻擊引起破壞之前,性能良好的IDS或IPS就能夠有效地識別它們。例如,我們假設攻擊者試圖在你的網絡中放入一個木馬程序。惡意代碼可能已經將木馬放入但并不立刻執行。等到激活后才會造成嚴重破壞。如果網絡中安裝了設置合理的入侵檢測功能設備,當攻擊者試圖激活木馬程序時,IDS或IPS就會識別這種行為并立即采取措施,要么報警,要么進行防御。

用來監測網絡層或傳輸層數據包的傳統防火墻很有可能對這種攻擊一無所知。如果此類攻擊附著在看起來正常的網絡流量中,極有可能避開異常監測引擎。而入侵檢測與防御系統的特點在于IDS/IPS可以進行更深層次的包監測,不僅分析數據包的來源和去向,而且還能分析數據包的內容,以此確定它們是否會對網絡系統造成攻擊。分析數據的內容是決定包的特性是否與未授權或者惡意行動相對應的關鍵,當攻擊者采用正常格式數據包來偽裝攻擊時,IDS/IPS技術能夠更加智能地處理危險的攻擊內容。

比較二:兩種技術的區別

從2003年Gartner公司副總裁Richard Stiennon發表名為《入侵檢測已壽終正寢,入侵防御將萬古長青》的報告,從此安全業界是選擇入侵防御還是選擇入侵檢測的話題討論至今。有的人認為IDS將逐漸過時,最終會被IPS替代;有的人認為IDS和IPS各自獨立,均可持續發展;筆者更傾向于后者。當信息安全人員只需要識別攻擊,而不需要采取任何措施時,IDS已被廣泛使用。當需要收集網絡數據不能停止攻擊;當安全團隊沒有權限去停止攻擊(如果所檢測的網絡不是我們的);還有當我們想要監測日志,需要跨越安全來進行等情況都是最明顯的使用案例。例如:因沒有充足資金,選擇犧牲即時安全(immediate security)來獲取持續的商業運作的企業,可以采用IDS來監控網絡。類似的,需要積極主動地保護重要資產,看重安全重要性的企業,具有監測并阻止或防御攻擊的IPS是最合適不過的;而IDS只能識別出攻擊的存在,而阻止入侵則是人工防御。

綜上所述在你考慮購買IPS、IDS或者兩個都要時,記住關鍵是你的首要需求。如果你需要更多的控制,最重要的部分是IPS的檢測能力。IPS需要有能力快速檢測并阻止攻擊,并且要以很高的速率而不降低網絡性能、吞吐量和反應時間。

如果你需要可見性、網絡取證和分析功能,最重要的是IDS的管理控制臺。你必須要有能力以快速自然的方式駕馭IDS提供的信息,獲得網絡和安全的可見性。而檢測功能也很重要,但是不如管理系統那么重要。

[1]韓東海.入侵檢測系統及實例剖析[M].北京:清華大學出版社,2002.

[2]何欣.基于Snort的入侵檢測系統的研究與實現[D].華中科技大學,2004.

[3]王世明.入侵檢測技術原理剖析及應用實例[J].燕京大學學報,2004.

[4]落紅衛.網絡入侵檢測系統及性能指標[J].電信網技術,2005,(11).