安全策略转向—走出困境的IDS

众所周知，入侵检测系统（IDS）是一种网络安全产品。对于IDS在网络中究竟能起到多大的作用，厂商和评估机构说词不一，这给IDS市场带来了严重威胁，然而，技术的进步、需求的牵引，终归会使IDS市场“亮”起来！

报告引来担忧
IDS厂商一直声称，其产品能够为网络附加一个保护层，但著名评估机构Gartner却认为，IDS并没有实现这种承诺，对网络安全几乎没有意义。传统的IDS系统产生过多的误报，且不能检查出未知的威胁。它在高速环境中容易受到威胁，在连续模式匹配方案中也有困难。为此，Gartner建议用户放弃IDS，转而把资金投向防火墙等更好的策略。

Gartner的报告给IDS市场带来了严重威胁，不仅让IDS厂商大为恼火，也引发了公众的担忧。Gartner认为，IDS实际上只是给用户增添了麻烦，因为它带来漏报和误报的问题，并且因要求不间断的监控，从而增加了系统负担。相反，防火墙具有内容检查功能，并且能够阻止恶意行为和支持杀毒，因而备受推崇。

绝对不应退出

Gartner忽略了一个最基本原理：在网络安全领域，任何方式都有特定的功能，但也不可能是万能的。放弃一种方式，都意味着丧失了一定安全性。同时，在任何安全保障系统中，监视都是防护的基础之一，也是不可或缺的。

按照Gartner的建议，如果采用更智能的防火墙，就能够抵御任何攻击。也就是说，如果采用更好的访问控制策略，就不需要进行监视。然而，新的病毒和测试代码层出不穷，即使最好的访问控制技术也不能保证万无一失，放弃IDS无疑降低了安全系数。如果把网络安全系统和现实的安全系统相比，那么IDS相当于监视器。显然，即使建筑物的大门相当安全，也不应该拆除视频监视系统。所以，关于IDS无效的论断显然站不住脚。

另外，防火墙有它固有的缺陷，如不能防护数据侵害，无法对恶意侵入者拒绝服务。而且它只是监控文件头，而不能监控数据包内容，这也带来了安全隐患。即使结合了IDP（入侵检测和防御产品），防火墙在模式匹配方面仍然有限，还需要更多的防护。同时，由于防火墙很难配置在全部内部网络上，所以操作很困难。为此，如果按照Gartner的建议，只是采用防火墙，而不辅以其他安全措施，则势必带来潜在威胁。

提高自身性能

当然，Gartner的评论也有一定道理，即IDS确实存在误报和数据量过大的问题。同时，IDS要求操作者很有经验，否则很难充分发挥效能。无疑，IDS必须继续发展，才能发挥出应有的作用。

针对Gartner的警告，厂商最近公布了一系列新进展。一旦这些技术得到完全实现，原来固有的误报问题将会消除，对攻击的警告也会限制在一定范围，而且系统可以自动进行调整和管理，大大减轻了管理人员的负担。新一代IDS整合了基于行为的威胁检测、策略强制和网络智能。例如， StealthWatch已经能够提供深层防护策略，并能实现安全防护和网络管理的智能化。显然，这些创新为IDS带来了新活力。

正视固有缺陷

IDS能够有效识别出入侵企图，设计良好的IDS甚至可以当入侵发生的时候剖析并跟踪它。但是，它还是有一定局限性。传统的IDS和IPS（入侵防御系统）能够通过CVE ID或其他标识符识别恶意代码，并能找到该机器的IP地址。但是，它们不能找到发出攻击的机器，也不能确认哪些机器可能受到攻击，更不能确定攻击目标是否已受保护，或对其进行调节。最糟糕的是，IDS不仅不能解决这些问题，而且发出的警告也很不明确。随着现在对网络安全标准的提高和完善，对系统防护的要求越来越高。如果单纯依靠IDS，就如同只依靠杀毒软件保护计算机一样，同样是不可靠的。

合作带来前途

尽管IDS仍然大有用武之地，但它跟防火墙一样，也只能解决一部分问题。为此，企业开始把各种方式结合起来，形成多层的网络防御系统。其中包括很多网络安全组件，如杀毒、防火墙、扫描监控和基于网络和主机的IDS及IPS。它们分别处在网络设备从周边到核心的各个部分，各自发挥功效。尽管这些不同层次的防御都不能保证100%的安全，但都提高了安全性。

在防御策略中，每个组成部分都是基于特定的攻击进行防护，但是并不能识别出对应的网络缺陷。要识别和分析所有的攻击及变种，就需要把特定的数字签名配置到网络用户的任一节点上。由于数字签名越来越多，并且它们都引起入侵警告，所以多余的入侵警告也越来越多。因此，随着对安全要求的提高和系统复杂性的增大，解决方案会相当复杂和昂贵。这就要求在安全策略中有效地进行系统整合，用智能化的手段共享信息，以提高对混合型攻击的防御，并减轻管理负担和花费。

尽管IDS只是多层防护系统中的一部分，但却有它不可替代的作用。随着自身的革新和与其他技术的日益结合，IDS将会继续发挥其独特的作用。