走近IDS技术

申请免费试用、咨询电话：400-8352-114

随着安全技术的发展，制约入侵检测发展的瓶颈在不断消失，同时，随着越来越多高性价比IDS方案的出现，企业对其关注度也在升温，为此用户有必要对IDS的技术细节作一了解。

走进入侵检测系统

目前提到的入侵检测系统（IDS，Intrusion Detect System），主要分为两种类型，一种是主机入侵检测系统（HIDS），另一种是网络入侵检测系统（NIDS）。顾名思义，两种IDS的策略重点并不相同。

事实上，当前企业所关注的更多集中在网关控制上，因此网络型IDS更受青睐。不过根据NSS评测报告中所指出的，主机型IDS并非一无是处。主机入侵检测系统是安装到受保护主机上，以守护进程方式运行，并对系统的操作，网络数据传输进行监控。因此对于那些服务器数量有限，且预算比较紧张的中小企业而言，其仍旧有着潜在的市场份额。

另外，无论企业采用哪种IDS系统，其系统本身都是采用旁路监听的方式，也就是在不干扰正常流量传输的情况下，对所有过往数据包进行监听和分析，并判断是否有攻击行为。

记者此前对旁路设备并不感兴趣，不过通过对各家IDS厂商的采访发现，旁路设备的最大好处有三点：第一，不会改变企业现有网络拓扑，保证了部署的简单高效；第二，旁路设备对于性能的要求并不苛刻，保证了性价比；第三，旁路设备以预警报告代替发起行动，可以减少误报带来的损失，适合那些对信息系统实时能力要求不高的企业使用。

另外，关于防火墙与IDS的集成问题，有必要解释一下。目前很多安全厂商的防火墙产品都嵌入了入侵检测模块，但是对于一些高安全需求的企业，依然需要专门独立的入侵检测产品，并通过与防火墙的联动部署，实施对网络安全的整体监控和有效防范。

这是因为，防火墙的部署是串联在受保护主机和外部网络中间，这就导致了其对效率的要求和对数据转发处理能力的要求都格外苛刻。在这种情况下，防火墙如果有太多资源消耗在入侵检测的记录和分析上，显然对性能有较大影响。而这也是有单独入侵检测产品存在的主要原因。

关注入侵检测技术

IDS系统发展至今，在主要技术上已经趋于成熟，特别是一些国产安全厂商的崛起，为IDS的技术普及贡献了力量。目前对IDS发展有较大影响的技术，主要有六大类。

第一，安全联动。

要知道IDS本身仅仅是检测，而不是防护。但是一些优秀的IDS可以通过安全联动技术，实施对攻击包的阻断。这里讲的安全联动，主要是与防火墙配合，也就是当IDS发现有入侵行为时，能够自动对防火墙发出指令，指挥防火墙实施某种防护策略，阻断攻击。

企业用户需要注意的是，防火墙的防护策略通常是人工一次性定义的，由于网络入侵的类型和方式更新很快，而防火墙产品本身却没有能力跟随攻击、防御技术更新，因此通过IDS动态调整防护策略就是目前最有效的防护手段了。

第二，特征匹配。

目前大部分IDS对入侵行为的识别是通过比较攻击代码中的特征字符串完成的。特征匹配是一种比较容易实现的技术，不过其性能一直受到质疑。毕竟IDS在大量追踪网络数据的时候，由于需要对每个数据包进行特征匹配，因此性能的损失较高，而这也是目前真正千兆IDS（包括IPS）较少的原因。

另外，特征匹配对于误报和漏报的问题也一直存在，毕竟状态签名的准确度与数据包的特征都有匹配上的难度，特别是对于某些字符串误报也较高。而利用最近愈演愈烈的碎片重组技术，很多攻击包都可以规避特征匹配的监测方式。不难看出，安全厂商如果希望达到较高的安全性，必须将特征匹配与其他技术（如深度包检测等）进行结合，并及时更新状态签名库（有时候，这会涉及到全球范围内的跟踪）。

第三，深度包检测。

深度包检测是最近逐渐流行起来的安全技术，它将网络流中的数据包解析成为应用协议上的数据，然后再对其进行特征匹配。这样做的好处明显，可以大大降低误报、漏报率。比如对于一些发包工具的伪攻击（IDS Flood），深度包检测技术可以很好地规避其流量冲击和报警冲击。而且这种技术可以减少大量的匹配工作，因为对于一些长度很长的攻击特征，并不需要逐个匹配，而仅仅通过协议前端解码就可以实现判断。

第四，碎片重组。

近年来攻击包通过碎片穿透技术，已经对网关安全设备造成了很大影响。因为攻击包可以通过该技术，将正常数据包切碎成非常零散的小包，而攻击特征可以大量散布在这些小包中，到目的地址后再进行重组。

碎片技术本身就是为了躲避防火墙和IDS的检查而诞生的，为此，碎片重组技术应运而生。碎片重组主要是在检测端通过程序将碎片数据包根据包头的标记进行重组，然后再用重组后的数据包进行特征匹配。虽然大部分IDS厂家都支持该技术，但是也要认清，这对于IDS性能的消耗相当巨大。通常碎片重组状态下的数据包的分析能力仅仅是非重组状态下的几分之一。因此，现在也有利用碎片技术进行DoS攻击的案例。

据悉，一些高端IDS、IPS厂商对于此技术已经开展了研究，不过这确实也是制约防入侵设备性能提高的主要因素之一。

第五，信息挖掘。

以前困扰企业选择IDS的主要原因，就是IDS面对威胁可能产生大量的报警（不管有没有成功入侵），但是缺乏与其他相关信息的联动与分析，特别是缺乏总结性的报告：比如攻击意图、路径、潜在影响、以及预期。其实早先就有安全厂商提出过，利用信息挖掘技术实现类似的功能。

但是，信息挖掘与传统的数据挖掘有一定区别，它需要构造一个优秀的数学模型，能够从大量的统计数据中进行有效的二次归纳和整理，并能最终提交有价值的报告（比如网络环境、节点的脆弱性与受攻击性评估），这不仅需要安全厂商的技术积累，也需要更复杂的数据库支持。

第六，行为分析。

行为分析是根据操作行为以及所取得的行为结果，用IDS判断是否存在入侵。一些高端IDS产品已经具备了少量的行为分析技术，但是并不能独立地依靠该技术进行判断。据悉，一些高端IPS厂商已经将行为分析列为发展技术之一。不过两者共同的难点都在于，网关设备大部分局限于流量和数据的分析，对于服务器上的信息获取不足，因此该技术还会有很大的发展潜力。 (cnw)