扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:赛迪网 2007年10月19日
关键字:
在本页阅读全文(共3页)
被动型:传统的入侵检测系统(IDS)的自动响应能力非常有限,除了向管理员发出警报外,IDS试图对目标主机或攻击机上的TCP连接进行复位,或者重新配置防火墙或路由器,以拒绝连接(1)。
主动型:然而,复位命令或规则变更的出现可能不够快,以至于无法阻止攻击流量到达目标设备。在防御检测器位于传输通路中,能够截获并转发通信流,从而可以自动消除攻击,方式酷似防火墙(2)。
如上所述,检测防御(IPS)有别于传统的入侵检测(IDS)主要体现在两大方面: 自动阻断攻击和在线安装的位置(如图所示)。其实,这两方面缺一不可。IPS防御设备必须设定策略,才能自动对攻击做出响应,而不是只向管理员发出警报,却任由攻击流量继续进入网络。而自动响应机制要发挥作用,IPS产品就必须在线安装。
IntruVert负责产品营销和业务管理的副总裁拉吉·丁格拉说:“如果黑客企图与目标服务器建立会话,所有数据都必须通过位于数据通路的IPS检测器。检测器能够发现数据流里面的攻击代码、核查策略,然后在将数据包转发给服务器之前,将有害的数据包或数据流丢弃。因为是在线安装,这是对付网络滥用现象的最有效的方法。”
他拿这种方案与普通的IDS响应机制,如TCP复位做了比较。传统的IDS也能检测到数据包里的攻击代码,但这是因为IDS只是以被动方式检测数据流量,却无法阻止数据流量。IDS必须往数据流中加入TCP数据包,然后对目标服务器上的会话进行复位。然而,攻击流却可能在TCP复位数据包到达之前已经全部到达目标服务器,这样一来,IDS的响应为时已晚。
重新配置防火墙规则也是如此。被动的IDS可能会检测到攻击代码,然后向防火墙发出封阻会话的请求,但同样,这种请求可能来得太晚,因而无法防御攻击。
当然,把某个设备直接在线安装在网络流量中,会给防御系统增添负担。防御系统不能给数据传输带来时延,否则就会成为网络上的瓶颈。IPS必须以线速进行数据分析,然后实施策略。Infonetics的威尔逊说:“这个问题关系到厂商的技术和硬件制造水平。”
IntruVert、Tipping Point和NetScreen销售的IPS产品都是硬件设备。IntruVert和Tipping Point还利用专门针对安全的ASIC芯片增强产品的性能,这样数据包分析速度就会快于通用处理器。两家公司提供的高端设备都声称能以高达2Gbps的速度处理流量。
收购了OneSecure公司的IPS技术的NetScreen还没有把这项技术应用到基于ASIC的自有平台上。NetScreen-IPD 100拥有快速以太网接口,最高吞吐率为200Mbps,其500型拥有千兆以太网接口,最高吞吐率可达500Mbps。
小心选择
IDS和IPS的作用都完全取决于检测引擎。实际上,IPS在准确性方面的压力更大,因为误报可能会阻断合法的网络事务处理,从而导致数据丢失、业务丢失、用户不信任系统等情况。
为了避免这种结果,IDS和IPS厂商现正在运用多种检测方法,尽量提高产品发现已知和未知攻击的准确性(如表所示)。比如,赛门铁克从Recourse公司收购来的ManHunt IDS最初曾完全依赖协议异常,而在后几个版本中,则允许管理员导入Snort特征,以便增强异常检测功能。思科最近也升级了IDS软件,为基于特征的检测系统增添了协议和流量异常检测功能。NetScreen的设备中声称拥有八种检测方法,其中包括状态特征、协议和流量异常以及后门检测。
Snort系统值得一提,因为这种基于规则的特征编写方案用的是开放源代码。Snort特征有利于提高根据特定操作环境调整IDS的灵活性。“我可以编写与自己的网络完全相符的IDS规则集,而不是用千篇一律的检测方法。”Snort开发者罗施说。“许多商业IDS特征只有两种功能:开或关。你无法根据自己的网络改变检测方法。”
罗施举例说明:“如果你有一个匿名FTP服务器,我可以编写这样的规则:如果有谁试图以匿名或FTP以外的方式登录到该服务器,就发出警报。你在大多数其他IDS中无法实现这种功能。”
Snort特征对跨国公司Pentair的技术服务主管保罗·萨马达尼选择Sourcefire起到了重要影响。他在采用Sourcefire之前比较了好几种主要的IDS产品,现有65套Sourcefire检测器部署在全球各地。
萨马达尼说:“如果你没有完备的特征,也就没有良好的检测功能。我喜欢自己编写特征。”他还强调,鉴于众多的Snort用户致力于IDS,特征库的更新非常快。他补充说:“万一Sourcefire失效,这一庞大的用户群也能够保护投资。Sourcefire事先给检测器添置了大约2000条规则,还含有协议异常检测模块。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。