入侵檢測技術,雞肋還是機會?
引子:
一個深圳的網路安全公司,號稱國內最早從事入侵檢測技術研究的,前不久網頁上摘錄了一些海外著名IDS廠商面對記者的問答錄,其中涉及了不少IDS趨勢和技術瓶頸的問題,到也頗值得借鑑,不過這個公司為這個摘錄做了一段妙趣橫生的批註,大致是國外這麼牛的IDS廠商都解決不了這些技術瓶頸,IDS概念更多是廠商為了推銷產品而鼓吹的,實際效果非常可憐云云,勸說使用者不要在IDS繼續投入了。
其實這些批註也並非完全沒有道理,確實部分廠商為追求利潤,對IDS概念的過分炒做使其產品本身遠遠達不到宣傳中所能達到的高度,也害的一些單位花了不少冤枉錢,但是就此判斷這個技術就是雞肋,不值得推廣,從而作出“IDS無用論”的結論,特別是這種話居然出自於一個號稱國內最早從事有關研究的公司,當真是讓人啼笑莫名了。
後來終於瞭解,該公司從事IDS產品設計和技術研究的牛人們紛紛跳槽了,大概是這個公司自己再也做不成這個東西(在最新的各種IDS產品評測和選購指南中,他們的產品已經徹底消失了),順便帶著對那些跳槽員工的一些陳年恩怨,於是乾脆攪局,讓別人也不要做。
不過不管這個公司動機如何,其中的一些說法到也有很好的教育意義,至少可以看到,IDS-入侵檢測技術,由於受制於一些尚未徹底解決的技術瓶頸問題,其市場能量還遠遠不能得到釋放,目前各種各樣對IDS技術發展及趨勢的爭議,依然無止無休。筆者這裡不自量力,要把IDS技術目前面臨的問題和解決途徑,進行一次整理,希望給那些想要了解IDS或者有采購IDS慾望的人,一些有價值的參考。
[@more@]
基本概念
首先介紹有關入侵檢測技術的一些基本概念,方便後面的文章閱讀
1. 入侵檢測系統—洋名叫做IDS(Intrusion Detect System),分為兩種,一種是主機入侵檢測(簡稱HIDS),一種是網路入侵檢測系統(簡稱NIDS),本文所提到的,如未經標註,將侷限在網路入侵檢測系統。網路入侵檢測系統的技術基本上採用的旁路監聽的方式,也就是在不干擾正常流量傳輸的情況下,對所有過往資料包進行監聽和分析,並判斷是否有攻擊行為。主機入侵檢測系統是安裝到受保護主機上,以守護程式方式執行,並對系統的操作,網路資料傳輸進行監控。目前,相當多防火牆產品都嵌入了入侵檢測模組,並號稱具有入侵檢測功能,但是對於一些高安全需求場合,依然需要專門獨立的入侵檢測產品,並透過與防火牆的聯動部署,實施對網路安全的整體監控和有效防範,這裡面提醒的一點是,由於防火牆的部署是串聯在受保護主機和外部網路中間,因此對效率的要求和對資料轉發處理能力的要求都格外苛刻,在這種情況下,防火牆上有太多資源消耗在入侵檢測的記錄和分析上,顯然是不利於防火牆自身功能的效率性的,因此這也是有單獨入侵檢測產品存在的根本原因。
2. 聯動—入侵檢測產品本身僅僅是檢測,而不是防護。但是一些優秀的入侵檢測產品可以透過對防火牆的聯動有效實施對攻擊行為的阻斷,也就是當入侵檢測產品發現有入侵行為時,能夠自動對防火牆發出指令,指揮防火牆實施某種防護策略,阻斷攻擊。這裡提醒的是,防火牆的防護策略通常是人工一次性定義的,由於網路入侵的型別和方式更新很快,而防火牆產品本身卻沒有能力跟隨攻擊/防護技術更新,因此透過入侵檢測產品動態調整防護策略就是目前最有效的防護手段了。
3. 特徵識別—目前大部分入侵檢測產品對入侵行為的識別依然是透過比較攻擊程式碼中的特徵字串完成的,這一點做病毒的都清楚,目前大部分防毒軟體也是根據特徵字串判斷病毒是否存在的。特徵識別技術是一種比較容易實現的技術,當然也是缺點很多的技術,第一是效率問題,入侵檢測產品在大量追蹤網路資料的時候,由於需要對每個資料包進行大量的特徵比較,所需耗費的資源可想而知,因此對於純粹依靠特徵識別的入侵檢測系統,千兆網路絕對是個門檻,並不是入侵檢測產品插上千兆網路卡就能冒充千兆,其真正能抓取和分析的資料包流量是個硬指標。第二是誤報問題,特徵字串很容易被誤報,比如一篇介紹某網路攻擊形式的安全文摘,很可能因為包含了這個攻擊方式的特徵字串而被誤報。第三是漏報問題,透過碎片技術,url encode等各種編碼方式進行特徵規避的手段層出不窮,單純特徵識別很容易漏過這些狡猾的攻擊手段。第四是更新問題,由於網路攻擊方式隨時會更新和變化,特徵庫永遠都會落在後面,這就好比以前的防毒軟體永遠要等到病毒出來肆虐後才有防毒升級包。
4. 協議解碼—協議解碼的意思很簡單,就是將傳輸過來的ip資料包組裝解析成為應用協議上的資料,然後再對其進行特徵匹配,這樣的好處有幾點,第一是效率提高,雖然增加了解碼步驟,但是解碼後的特徵比較工作就少了,比如系統有1000個攻擊特徵,但是基於http協議的只有100個,當完成http協議解碼後,就只需要在100個特徵裡做判斷比較,而不是1000個;第二是準確率提高,還是剛才例子,一個攻擊方式可能是基於smtp 協議的,但是在http協議裡傳輸的一篇文摘裡也提到了,如果是純粹的特徵識別,就可能產生誤報,但是在協議解碼後進行的特徵識別,就不會產生這樣的匹配記錄,從而減少這種誤報。同理,對於一些發包工具的偽攻擊(所謂的IDS Flood),協議解碼也可以很好的規避其流量衝擊和報警衝擊。
5. 行為分析—行為分析是IDS技術的最高境界,也就是根據操作行為以及所取得的行為結果,分析其是否入侵,但是這涉及非常複雜的數學模型和人工智慧問題,目前還停留在學術層面,部分優秀的商業產品對其進行了簡單的引用作為輔助判斷手段,但是能夠純粹依靠行為分析進行入侵檢測,在NIDS領域,相當長一段時間內還不是很可能,這也是NIDS技術目前所面臨的巨大瓶頸所在。基於行為判斷是否存在入侵攻擊,有些類似於最新的防病毒技術,也就是基於一些程式程式碼的行為判斷是否為病毒,但是和防病毒不同的是,作為網路IDS,並不能獲得主機上的行為特徵資訊,而只能侷限在網路資料的分析上,就此,網路IDS所需要的攻擊行為分析,顯然還面臨著巨大技術挑戰。
6. 資料探勘—在CRM,ERP以及財務軟體領域,資料探勘的概念幾乎被炒爛了,沒有一家公司不是聲稱自己採用了最強大的資料探勘技術,其實,就筆者所見,絕大部分,特別是國內軟體公司,幾乎百分之百都是炒做概念,資料探勘不等於資料統計,以資料庫中某個資料欄位作為作為座標,以某個sql語句的count或者sum操作作為縱軸,畫出一個二維或者三維的統計圖表,然後就說,看,我們強大的資料探勘!這是扯淡。真正的資料探勘,其核心根本不在於如何運算元據庫的關聯和統計,而是一個如何搭建構造一個優秀的數學模型,能夠從大量的統計資料中進行有效的二次歸納和整理,並利用近似人工智慧的分析能力得出有價值的結論,而這種能力,深厚的行業經驗,多年的技術積累是必不可少的,絕對不是可以憑藉一些所謂的資料庫技術就能夠隨便擺平的。
目前IDS技術也面臨這個問題,如何能夠在大量的報警(很可能是很多徒勞的攻擊行為)資訊中,與其他關聯的資訊進行比照和分析,進行有效的歸納總結,得出攻擊者意圖,攻擊目的和攻擊心理,並有效鎖定攻擊者,是IDS未來應用的重要方向之一。同時,利用資料探勘技術,分析網路環境的脆弱性和各網路節點的脆弱性,也是一項任重道遠的工作。
7. 會話跟蹤和回放--對於攻擊報警行為,如果管理員只看到了報警資訊,恐怕很難就此斷定和分析攻擊者的意圖和攻擊具體實施情況,並且無法斷定攻擊者是否採取了其他非正當或者有危險的操作,甚至無法明確該報警是否是誤報情況。這時候,對於一個敬業的管理員,他可能需要追蹤和檢視當時攻擊者的所有網路通訊歷史。會話跟蹤和重放,就是將有關通訊的網路資料進行有效儲存,並在管理員需要檢視的時候,能夠方便的呼叫並顯示。通常,為了方便閱讀,該會話記錄應該是已經進行了TCP層的協議解碼後的資料,並且應該完整記錄該訪問者在建立TCP連線到會話釋放之間的所有資料傳送內容。
會話跟蹤和回訪技術是個雙刃劍,一方面它解決了管理員對攻擊過程進行跟蹤和分析的需要,另外一方面它也不可避免的帶來極大的系統開銷和資源損耗,對於高階的IDS來說,以喪失包獲取能力來獲得這一功能是不可想象的;再有就是如果一些網路管理員具有不良的網路操作嗜好,可以透過該功能對網路上正常的傳輸資料進行窺探,極大損害了正常網路使用者的合法隱私權。因此目前會話跟蹤和回訪技術,在一些高階IDS 中僅僅作為可選擇的功能模組,並且僅僅在發生攻擊時才會完成記錄工作。
8. 碎片重組技術—碎片穿透技術的興起對於NIDS來說是一場噩夢,因為網路上資料是按照ip資料包傳遞的,通常每個資料包會攜帶1K或幾K的資料,攻擊特徵程式碼可能存在於1個或幾個資料包裡,但是透過碎片技術,可以方便的將應用資料包切碎成非常零散的ip小包,這樣一些攻擊特徵就會散佈在大量的小資料包裡,直到目的地址進行重組,然後還原成正常的資料包,執行攻擊或入侵。碎片技術本身就是為了躲避防火牆和IDS的檢查而誕生的,換言之就是為了防止特徵匹配而進行的,為了對付這種手段,碎片重組技術應運而生。碎片重組技術本身並不複雜,就是在檢測這端透過程式將碎片資料包根據包文頭的標記進行重組而已,然後再用重組後的資料包進行特徵匹配,但是這帶來了另一個巨大的困擾,就是碎片重組所不可避免的效率損耗,是IDS邁向千兆網路的巨大瓶頸。現在,基本上主流NIDS產品都支援碎片重組,但是通常碎片重組狀態下的包分析能力僅僅是非重組狀態下的幾分之一。因此,攻擊者用碎片技術躲避IDS不成了,就可以換成用碎片技術DoS(拒絕服務攻擊)IDS,如何更加有效率的防護碎片攻擊,依然是一個深遠的課題。
入侵檢測的幾個問題和解決途徑
1. 檢測準確度問題
檢測準確度的問題不外乎兩方面,漏報和誤報,不再解釋這兩個詞了,下面逐一描述問題。
漏報問題的由來
a. 流量問題
網路入侵檢測產品的一個重要指標就是包獲取能力,當網路資料流量超過入侵檢測產品本身的包獲取能力時,就會有部分資料包無法被分析,因為就可能導致錯漏潛在的攻擊威脅。因此對於高流量的網路環境,在選擇入侵檢測產品時,對其效能指標的考核就尤為重要。目前國內的IDS產品有幾款已經號稱達到了千兆量級,但是能夠跑滿千兆流量的應該還沒有,針對國外一些幾千兆的IDS產品(連多個千兆網路卡在上面,強!)差距依然還是很大的。
b. 新安全漏洞未更新規則庫
攻擊技術隨時更新,如果一款優秀的IDS產品不能隨時更新攻擊規則庫,那麼很短時間就會落伍,會對各種新攻擊無動於衷,使用者的投資將無法得到有效保護。升級能力和升級的時間間隔將是保障該產品的重要依靠。
c. 特殊隧道及後門
一些特殊的後門程式,會在一些正常的應用服務上繫結某個特殊隧道,供入侵者日後登陸和獲取資訊。事實上,當隧道產生時,入侵工作實際上已經完成了,網路入侵檢測產品目前並不能很好檢測完成入侵後所發生的非法侵入的網路通訊資料,因此,如果在部署入侵檢測產品前系統已經被侵入,那麼入侵檢測產品可能很難起到應有的防護作用,這也提醒一些單位,不要指望部署了高階的網路安全裝置就能解決一切安全問題,隨時瞭解網路安全情況,還應該有更多的其他手段做輔助。
一些前沿的網路安全公司已經在考慮如何將網路掃描產品與入侵檢測產品進行聯動和資料共享,以實現對後門,隧道的識別和有效監測。另外一些智慧的分析演算法也有助於區別隧道資料傳輸和正常資料傳輸的差異,但是在當前階段,這些演算法依然停留在理論和實驗環境裡。
d. 碎片穿透
在上面的碎片重組技術已經提到了這個問題,如果不實施碎片重組,利用碎片穿透技術實施的攻擊就無法被監測;如果實施碎片重組,大量的碎片就可能導致NIDS系統資源耗盡,從而喪失正常分析包的能力,讓攻擊包在掩護下瞞天過海。
誤報問題的由來
a. IDS攻擊工具
一些開放原始碼的IDS檢測工具,因為含有完整的攻擊特徵程式碼庫,在一些別有用心的人的改造下,就變成了IDS攻擊工具,透過大量傳送攻擊特徵資料到指定網路環境,造成該網路環境的IDS產品頻繁實現特徵匹配從而產生大量報警資訊,嚴重的時候導致整個IDS系統被這些報警資訊淹沒甚至崩潰。
從原理上說,特徵匹配是基於一些特殊字串的,攻擊者只要偽造同樣的特殊字串併傳送到IDS檢測的網路環境裡,就可能造成IDS報警,即便這個字串並沒有真正實施攻擊。攻擊者進行這樣的行為通常是迷惑和阻塞IDS,從而讓真正的攻擊行為得到掩護並實現瞞天過海的目的,管理員面對大量報警會無所適從,並很可能因此忽略真正的攻擊報警。
通常,有效的協議解碼能夠部分防止這類攻擊的發生,另外,行為模式分析也能夠杜絕這個現象,但是限於演算法技術問題,行為模式分析目前並不成熟。
b. 特徵匹配的不合理特性
基於特徵匹配的入侵檢測,會因為一些特殊網路資料包的字串觸發報警,即便對方並非蓄意偽造,但是也存在一些正常資料傳輸恰好包含了某段攻擊程式碼特徵的情況,這種情況在管理員對TCP會話進行跟蹤和回訪的時候,很容易識別,而且一般屬於個別現象,通常有經驗的管理員能夠分辨。
協議解碼依然可以有效的減少這一誤報的發生機率,但是更關鍵的解決瓶頸依然是行為模式分析的可行性。
c. 一些正常網路操作被誤報
一些具有一定技術的工程師,日常可能會進行一些網路拓撲的追溯工作,或者埠掃描操作,比如traceroute操作,比如nmap操作,這些操作並非一定是惡意,但是一般的入侵檢測系統都會作出低風險警報,通常管理員需要簡單判別一下,該操作的發起者是否有後續危險操作,是否是內部的網路管理員正在進行日常維護等等。當然,好的IDS系統也會讓管理員指定一些過濾策略,使從特定來源(比如內部網路管理人員)的這種低風險正常網路操作不再報警,從而減少安全管理員的日常工作強度。
總結:
入侵檢測產品,如果檢測準確度不能達到滿意效果,漏報與誤報問題不能有效解決,那麼其他任何方面的成就也就不值一提了。從理論上分析,如果行為分析的數學模型和演算法能夠達到真正商業化的要求,應該是解決這一問題最好的方法。但是至少對於NIDS,目前還顯得過於遙遠。
現在幾種比較好的解決途徑,一是IDS應該在特徵匹配前完成清晰的協議解碼,二是IDS應該有一些針對性的策略,包括提高報文處理效率,增加資料包的獲取和檢測能力;包括提供高效率的碎片重組演算法;包括為一些正常操作提供可選的報警過濾通道;包括為管理者提供必要的會話跟蹤回訪以協助管理員對報警行為的識別能力;另外值得一提的是多種安全產品的資料共享和協同分析更有助於檢測的準確性,主機入侵檢測產品和網路入侵檢測產品本身就具有很好的互補性,同時如果能夠再結合漏洞掃描系統的掃描報告資料,多方資料進行綜合比較和分析,就能夠對入侵行為有整體的把握,並能真正有效識別攻擊。據悉,目前確實有國內安全廠商正在從事有關多種安全產品資料整合,集中分析的研究,希望這種技術能夠為IDS檢測不盡精確的尷尬提供有效的解決。
2. 檢測範疇問題
a.是否對企業實際關注的安全問題能夠得到控制
入侵檢測產品,從傳統意義上說,所檢測的範疇是指通常的,流行的網路攻擊行為,對於安全廠商,他們也只能對那些針對流行的應用系統,作業系統的攻擊行為進行研究和防護,不可能面向各個具體而專業的企業資訊化應用中去。
在實際應用過程中發現,企業的資訊保安絕對不是那些流行攻防所能涵蓋的,一些傳統意義上不算攻擊入侵的行為確是企業關注的重點,比如內網中的機密檔案是否外洩(也許是作為郵件的附件);比如是否有員工正在瀏覽和下載受限制的內容(色情或反動)等等。
一個安全廠商,不可能針對每個企業去定製監測程式,但是一個優秀的入侵檢測產品,卻可以作到定製新的檢測策略,透過使用者可定義的檢測特徵,將一些企業實際關心的問題體現到入侵檢測的規則中去,確保企業所關心的資訊,不會輕易的被別人獲取或者流失。也就是說,一個良好的IDS產品,在內容過濾方面也應該是有所作為的。
當然這裡又涉及了一個問題,就是目前所能作到的可定義檢測特徵還停留在字串比較的層面上,對於加密傳輸的資訊依然沒有辦法進行甄別,另外對於一些二進位制的檔案或影音以及圖象檔案,也無法作到有效的識別和驗證,因此資訊保安防護,單純依靠網路入侵檢測基本上是不夠的。主機入侵檢測通常更加容易實現和強化這一工作,但是主機入侵檢測系統又無法跟蹤和檢測一些桌面辦公電腦上的非法資料傳輸問題。因此面向企業提供有針對性的安全資料傳輸檢測,依然還是一個很難完全有效解決的工作。
b.是否能夠對內網事件進行有效監控
內網監控是最近新提出的一種網路入侵檢測的發展趨勢,對於一些“保守派”而言,他們不十分贊同在傳統的網路入侵檢測產品裡增加一些技術實現不相關的模組,但是對於企業實際的運營而言,對內網異常事件的有效監控也是非常必要的。
內網異常事件通常有如下幾種:
1. 內網撥號 –一些企業很擔心區域網內有使用者正在對外撥號,比如一些木馬工具會自動執行撥號程式,有時候企業擔心內部使用者對外撥號到不一定是為了費用或者控制上網考慮,而是如果有人透過撥號網路侵入該使用者電腦,並以此為跳板攻擊核心伺服器的話,可能整個企業區域網的安全防護體系行同虛設。對於一些企業,帶筆記本上網,為了獲取或傳送重要資料,而內網頻寬又被佔滿的時候,一著急就撥號的人的確大有人在,對這一行為的監控也就有著其實在的需求。
2. 內網主機異常開停機 –核心資料伺服器在半夜三點突然停機重起,一臺使用者電腦在凌晨兩點突然被開啟,對於企業來說,這意味著什麼?通常這些行為不會被入侵檢測系統識別,因為這本身也不是傳統入侵檢測所涵蓋的範疇,但是這些行為往往隱含著不可告人的原因,比如也許核心資料伺服器被裝載了木馬,半夜受人控制執行了某些操作;比如某員工半夜到公司傳遞和蒐集公司機密文件,關注這些異常主機操作,往往是挖出內部安全問題的關鍵。
3. Mac地址與IP 對應的異常變動—通常,除了管理員在組建和配置區域網路時候對這些進行調配外,通常普通使用者不會去碰這些東西,發生這一現象,如果是在未經企業的網路管理員允許和知情的情況下,那麼就很有可能是該使用者執行某種會話劫持的操作,以該方式劫持別人的網路通訊並偽造別人的身份。這樣就可能導致公司機密檔案洩露以及非法許可權的獲取。
總結,對於企業而言,選購IDS 產品的時候,不要單方面被廠商的宣傳所誘導,更應該關注自己企業的實際需要,一般,那些具有良好定製能力的產品可以更好滿足企業資訊化中實際產生的非通用安全隱患問題,但是限於檢測技術所能達到的境界,透過單一的入侵檢測產品徹底保障企業資訊保安,是不現實的。
3.防護途徑問題
對於主機入侵檢測產品,可以實現的防護途徑非常多,包括遮蔽和登出當前發生攻擊行為使用者帳號,包括中斷當前網路連線,包括執行特殊指定命令等,對於網路入侵檢測產品,就做不到這些面向主機的具體操作了,通常,網路入侵檢測產品是依靠如下方式實施有效防護的。
a. 聯動防火牆,實施阻斷—透過對防火牆的聯動,利用防火牆對該攻擊ip 進行阻斷
b. 傳送RST報文,主動阻斷—對受攻擊目標或攻擊來源傳送RST資料包,強行中斷該連線。
c. 多種報警手段—提供各種報警提醒方式,包括電子郵件甚至短訊息,依靠管理員人工力量進行防護干預。
總結:
入侵檢測產品,如果起不到保護作用,對網路安全的貢獻也就大打折扣了,通常所建議的標準方式還是防火牆聯動,目前大部分IDS產品都宣稱支援防火牆聯動,但是請關注到底支援幾種防火牆的聯動,很多IDS都是隻支援本廠商同品牌的IDS,選擇這個就意味著整個安全體系的框架要完全搭建在一個安全廠商身上,一些優秀的IDS產品可以支援多種主流防火牆聯動,這樣就有利於企業在搭建網路防護體系時有更充分的選擇空間。
4.管理性問題
好的IDS產品,應該能夠為不同層面的管理者(包括網路安全的專職管理員,企業資訊部門的負責人以及企業領導多重角色)提供不同的報表和統計分析資料,並能為有效防護各種攻擊提供周到嚴謹的。
a. 能否提供足夠直觀的管理介面
作為一個技術產品,IDS的管理介面卻不能太過偏重技術化,功能模組劃分清楚,操作佈局分佈合理,警告提醒清晰明瞭,統計圖表分類科學都是必不可少的要求。
b. 能否提供足夠清晰的報表
對於優秀的IDS產品,在提供準確的報警同時,應該對報警內容所涉及的攻擊途徑有清晰完整的報告,並能有效協助管理員進行防範和採取對策,一個清晰的攻擊報表應該包括如下內容:完整的攻擊原理介紹,詳細的防護手段介紹,相關補丁的下載連線,廠商和各大安全站點對問題描述的連線,攻擊可能導致的威脅和嚴重程度的評估,可能導致誤報的原因和人工識別攻擊真偽的途徑,相關聯的攻擊行為和危險操作的連線。更重要的是,這些報表應該完全是中文的,並且應該是由安全專家真正有效整理的。目前國內一些IDS廠商提供的有關報表雖然詳盡,但是完全是從國外安全站點直接摘抄的,全部英文專業術語,不利於國內企業網路管理人員的閱讀和分析,好一些的用專業的英語翻譯對這些資料進行了翻譯整理,但是限於技能,這些翻譯後的資料往往顯得生硬,而且一些技術術語的描述十分勉強。
c. 能否提供足夠方便的定製能力
前文說到企業資訊保安的一些側重點往往並不被通用的攻防策略所涵蓋,在這個前提下一些定製策略是很必要的,除此之外,對於不同網路環境,不同防護目標和防護需求,選擇不同的防護策略並進行相應配置是非常必要的,如何能方便定義所需要的策略和防護途徑,選擇適合特定網路環境的檢測和防護手段,是入侵檢測產品能夠真正發揮有效作用的關鍵。
d. 能否提供足夠方便的外延能力
前文多次提到,單純的入侵檢測產品,確實很難有效保障企業的資訊保安,也無法保障所有資料檢測的真實可靠性,因此多種安全產品的相互協調和資料共享,聯合分析就顯得尤為必要。實際上網路安全作為一個整體概念,並不能單純依靠簡單的安全產品堆砌來實現,而是基於一種正確的安全管理思想,在這種思想下有效整合各種安全產品,才能更有效的實現真正意義的安全防護,所謂的“IDS無用論”可以理解為,單純的使用IDS產品,確實是對網路安全無甚大用的。
目前的IDS產品外延能力還侷限在防火牆聯動上,一些前沿的安全公司正在努力進行將各種安全產品資料共享和組合分析的可能性,但目前在這個領域成熟的商業產品尚未出現,不過可以肯定的是,如果能夠提供可靠的外延擴充能力,未來發展的空間和適應的領域將會更廣闊。
總結:一個入侵檢測產品,僅僅能提供正確的檢測,顯然是不足以有效幫助管理員完成防護工作,因此具有良好的管理操作平臺是必須的,目前對於這一領域而言,最值得關注的技術動向是外延能力,這一方面如果不能取得更實質的技術突破,如果IDS還是在安全防護方面孤軍作戰,限於IDS所處的地位和所不可避免的一些技術侷限,“IDS無用論”的說法就會繼續延續,甚至難以反駁。而只有在安全管理思想支配下,有效整合各種安全產品的資料,並作出統一處理和分析,IDS的價值才會真正得到充分的發揮。
5.自身安全性問題
IDS作為軟體產品(包括以硬體為載體形式的),也要依靠於作業系統,網路通訊來工作,因此也會面臨各種各樣的攻擊,通常,針對IDS可能的安全問題有如下幾類
a. 針對安全漏洞的攻擊
IDS產品也會有安全漏洞,任何軟體產品都可能存在安全漏洞,就此IDS產品也不能免俗,但是通常從事IDS產品研發的公司都是安全企業,一般在產品程式碼安全審計方面頗具經驗,因此這種問題的機率還是比其他通用軟體要小一些。目前一些知名的IDS廠商產品的安全漏洞也被公佈和發現,作為採購者,也應當及時跟蹤有關安全動態,並敦促有關廠商提供最新的升級服務。
b. 流量攻擊
IDS Flood技術已經非常成熟,一種是透過發包工具,按照snort(國際上最有名的開放原始碼的IDS產品)的規則庫傳送大量含有攻擊特徵程式碼的資料包,從而造成IDS產生海量誤報資訊,從而淹沒IDS報警視窗,是目前非常流行的一種手段,良好的IDS產品是可以防止這一行為的;但是對於基於碎片的海量流量衝擊,透過純資料流量壓垮IDS的資料處理能力,或者更直接的直接DoS IDS所在的作業系統,目前依然沒有特別好的處理途徑, IDS通常可以透過聯動防火牆來阻斷這種攻擊,不過防火牆對這類攻擊的防護能力,依然是有限的。流量問題,是寬頻網路普及後難以避免的娠痛。
c. 資料截獲和會話劫持
分散式IDS的興起,極大的增強了網路管理員對IDS實施有效部署和統一管理的能力,但是所帶來的額外問題是,一些管理控制資料將在網路內傳輸,也就是存在著被窺探,甚至被劫持的可能性。優秀的IDS產品目前已經可以輕易解決這一問題,資料的加密傳輸,和有效的資料驗證手段,可以有效防止這種威脅的存在。
d. 越權或非法操作
IDS終究需要人來管理,如果管理IDS的人出了問題,那IDS也就很難發揮其作用了,目前針對性的策略是對管理者操作管理的有效記錄,並能隨時被最高層的管理人員調閱分析,同時嚴格的許可權劃分也可以將這一威脅極大減小。不過,根治這一隱患的途徑,依然還是對人的管理。
總結
IDS產品作為安全類產品,其自身的安全問題也是非常重要的,雖然目前並不屬於IDS技術發展的主流方向,但是任何忽視自身安全的IDS產品,顯然是不值得信任的。
全文總結
IDS技術目前還存在一些不成熟,不嚴謹的方面,一些技術瓶頸大約兩三年內還不可能達到有效解決。這也是所謂IDS無用論說法的主要依據。
但是作為網路管理者,你不可能等兩三年後再去解決網路安全問題,這也是IDS市場仍然在持續發展的根本原因,因為網路安全的威脅隨時存在,必須隨時面對和處理,駭客不會仁慈到等IDS技術成熟了再去向網路發難。目前一些IDS所暴露的問題,一方面是部分安全廠商不負責任的對產品進行吹捧和誇大,另外也是一些企業和機關單位居然輕信了這些吹捧誇大的文字,錯誤的相信了IDS單一產品所帶來的防護效果,從而導致了一些安全問題。實際上,正確理解IDS,就是需要正確認識到,安全絕對不是安全產品堆砌所能實現的,良好的安全管理思想,合理的安全規範,正確的安全架構,以及聘請專業的安全服務,並輔助以優秀的安全產品,才能夠維護真正有效的安全。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/7406370/viewspace-913927/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 入侵檢測技術基礎
- 冰鑑科技CEO顧凌雲: AI金融產品是「雞肋」還是「雞腿」?AI
- 10-入侵檢測技術原理與應用
- 防火牆入侵於檢測——————2、思科安全技術和特性防火牆
- Oracle OMF 為雞肋Oracle
- watchOS 3.0評測:個性依然是雞肋 健康功能更強
- 技術分享 | Linux 入侵檢測中的程式建立監控Linux
- 雞肋的Redis事務Redis
- 入侵檢測術語全接觸(轉)
- 深度學習技術在網路入侵檢測中的應用深度學習
- 技術還是思想?
- 虛擬機器檢測技術攻防虛擬機
- Python多執行緒雞年不雞肋Python執行緒
- PG 的 MergeJoin 就是雞肋
- 遇到個小問題,Java泛型真的是雞肋嗎?Java泛型
- 防止OA系統成為雞肋
- 為什麼有人說 Python 多執行緒是雞肋?Python執行緒
- 監測資料可預測疾病?可穿戴裝置或將不再“雞肋”
- 活體檢測技術
- 業務重要?還是技術重要?
- SNORT入侵檢測系統
- Snort 入侵檢測系統
- *NIX入侵檢測方法(轉)
- Linux入侵檢測(轉)Linux
- 6.20入侵檢測排查
- 開發者談遊戲中過多的文字內容是否會淪為雞肋遊戲
- 是我們控制著技術,還是技術控制著我們?
- 系統安全漏洞檢測技術 第三方檢測機構
- shell檢測檔案是windows格式還是unixWindows
- 當紅炸子雞圖資料庫商業化落地“雞肋”?資料庫
- 區塊鏈是真技術還是忽悠?區塊鏈
- 十多年了,介面自動化測試越來越雞肋?
- 偽AP檢測技術研究
- Linux入侵檢測基礎Linux
- 無線入侵檢測系統
- 人員入侵檢測系統
- 我所瞭解的JavaScript糟粕和雞肋JavaScript
- 屢被吐槽的充電機器人,到底是不是雞肋機器人