聂 巍

(武汉软件工程职业学院 现代教育技术中心,湖北武汉 430033)

伴随Internet高速发展,网络入侵事件不断增加,入侵攻击水平不断提高,尤其中国遭受境外的网络攻击持续增多,据《2011年中国互联网网络安全态势报告》统计,2011年境外参与控制中国境内主机用作木马或僵尸网络控制服务器的IP地址有近4.7万个,其数量虽然较2010年的22.1万大幅降低,但其控制的境内主机数量却比2010年增加近400万,呈现大规模化趋势。开放大学的构建以现有的远程教育资源为基础,而现有远程教育主要以计算机网络为依托,要创建开放大学网络安全的重要性不言而喻。选择怎样的安全设备检测抵御来自网络的不安全行为是网络安全管理员面临的新问题,入侵检测系统(IDS)和入侵防御系统(IPS)作为网络安全设备有效构成部分中的一员特别容易混淆,那么校园网应该采用IDS,还是IPS,还是两个都用呢?网络安全管理员应该采用怎样的判断标准呢?他们的区别和作用是什么呢?IPS的出现和发展是不是将会完全代替IDS?下面我们来做一下分析。

一、入侵检测系统与入侵防御系统的历史

1980年4月,James P.Anderson为美国空军做了一份题为《计算机安全威胁监控与监视》的技术报告,入侵检测(Intrusion Detection)的概念被第一次详细阐述。他提出了利用审计数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。1984年至1986年乔治敦大学的Dorothy E.Denning提出实时异常检测的概念并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES)。模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵系统提供了一个通用的框架。1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor),之后入侵检测系统才真正发展起来。Anderson将入侵检测定义为:检测企图破坏计算机资源的完整性、真实性和可用性的行为。在过去的几十年间,入侵检测的研究达到了高度先进的水平。入侵检测系统IDS(Intrusion Detection System)一般是指分析系统活动信息,分析恶意行为监测数据,以及分析未授权行为的过程。IDS可以分为基于特征(Signaturebased)的和基于异常(anomaly-based)的。基于特征的IDS的工作原理与杀毒类似,查询和已知恶意事件匹配的特征。基于异常的IDS查询网络协议、用户、流量行为模式或系统(核心)调用中的异常行为。

一般来说,任何一种入侵检测系统都能发生警报或记录恶意行为。一旦入侵检测系统检测到恶意行为,它便采取回避或纠正行为来制止进攻以确保计算机环境的安全性。这样一种防御措施就叫做入侵防御。当入侵检测系统弹出警报时,系统管理员要负责检查发出警报的每一个细节,然后进行适当的防御。遗憾的是,网络安全管理员既不能跟上入侵检测系统的步伐,也不能在合理的时间限定内根据这些警报做出合适的反应。不仅如此,这些人工防御既没有灵活性也无效率,它们完全依靠于网络安全管理员的专业知识。但是,自动防御系统却能弥补这一缺陷,它们可以对警报实施更快更准确的防御,这一功能在许多分层系统中都要用到的。自动入侵防御就是指一种不在人为干涉下而自动选择防御方式的机制。它主要的优点就在于能从检测时间中减少防御等待时间,以及为各系统提供一致并精准的防御。与此同时,这种自动防御系统还可以减少某些情况的发生,比如许多网络安全管理员都未能考虑到与防御相关的成本问题。入侵防御系统IPS(IntrusionPrevention System)于20世纪90年代被发明,较防火墙技术的一个显著的优势在于,IPS能够基于应用层来进行访问控制,而不像防火墙那样以IP地址和端口号来判断。一个IPS应该也是一个优秀的IDS,这样才能确保较低的误报频率。某些IPS还能抵抗可能造成攻击的漏洞,比较典型的例子是缓冲区溢出。

二、入侵检测系统与入侵防御系统的工作原理

IDS通常用于检测不正常行为,意在造成网络实质性破坏之前发现其行为。包括网络型(NIDS)和主机型(HIDS)等多种类型。NIDS分析网络流量数据以及检测任意两个相互作用的系统间的恶意活动。Snort就是一个网络型入侵检测系统的实例。HIDS主要监测并分析计算机系统中诸如存储器、文件系统、账户等内部装置来发现异常行为,而非外部接口。OSSEC就是一个开源主机型检测系统的实例,并且市场上开源HIDS的供应量有很多。

IDS工作方式包括检测已知攻击信号和检测反常行为两种。这些反常或异常行为在协议和应用层被检测到。他们可以有效地检测到诸如漏洞扫描,DNS攻击和其他的恶意数据包。IDS主要是对那些异常的或可能是入侵行为的数据进行检测和报警。几乎所有的IDS系统在攻击事件发生之前,无法提前发出警报。而IPS能提供主动保护,其设计的目的是针对那些被明确判断为攻击行为及造成危害的网络威胁提前进行检测和防御,使得网络用户能够降低处理异常状况的开销,而不是只能在遭到恶意攻击时发送警报。它是通过一个网络端口接收来自外部系统的流量,对异常或可疑状况进行检查后,再通过其他端口将信息传送到内部系统中。这样被它确定有问题的数据包以及同一源头的后续数据包,都能在IPS设备中预先被过滤掉。

三、入侵检测系统与入侵防御系统的比较

比较一:保护范围

IDS是一种监控网络中未经授权行为的软件或设备。使用预先设置的规则,IDS就可以检测端点配置以便确定其端点是否易受攻击,用户还可以记录网络上的行为,然后将其与已知的攻击或攻击模式进行比对。入侵检测技术已经应用多年,商家销售时也想出不少噱头,包括优良的签名功能,但是免费的开源型入侵检测系统,如Snort和OSSEC仍然很受欢迎。

反之,IPS不仅能够监测由僵尸网络、病毒、恶意代码以及有针对性的攻击引起的异常流量,还能够在破坏发生之前采取保护网络的行动。中小型网络的网络安全管理员可能认为你的网络不值得黑客去攻击,但是你必须知道许多网络攻击者会使用自动扫描来探测互联网,对每个网络都进行漏洞探测记录供日后使用。这些攻击者对任何到手的数据都感兴趣,比如说个人信息、财务记录等等。

在网络中的恶意攻击引起破坏之前,性能良好的IDS或IPS就能够有效地识别它们。例如,我们假设攻击者试图在你的网络中放入一个木马程序。恶意代码可能已经将木马放入但并不立刻执行。等到激活后才会造成严重破坏。如果网络中安装了设置合理的入侵检测功能设备,当攻击者试图激活木马程序时,IDS或IPS就会识别这种行为并立即采取措施,要么报警,要么进行防御。

用来监测网络层或传输层数据包的传统防火墙很有可能对这种攻击一无所知。如果此类攻击附着在看起来正常的网络流量中,极有可能避开异常监测引擎。而入侵检测与防御系统的特点在于IDS/IPS可以进行更深层次的包监测,不仅分析数据包的来源和去向,而且还能分析数据包的内容,以此确定它们是否会对网络系统造成攻击。分析数据的内容是决定包的特性是否与未授权或者恶意行动相对应的关键,当攻击者采用正常格式数据包来伪装攻击时,IDS/IPS技术能够更加智能地处理危险的攻击内容。

比较二:两种技术的区别

从2003年Gartner公司副总裁Richard Stiennon发表名为《入侵检测已寿终正寝,入侵防御将万古长青》的报告,从此安全业界是选择入侵防御还是选择入侵检测的话题讨论至今。有的人认为IDS将逐渐过时,最终会被IPS替代;有的人认为IDS和IPS各自独立,均可持续发展;笔者更倾向于后者。当信息安全人员只需要识别攻击,而不需要采取任何措施时,IDS已被广泛使用。当需要收集网络数据不能停止攻击;当安全团队没有权限去停止攻击(如果所检测的网络不是我们的);还有当我们想要监测日志,需要跨越安全来进行等情况都是最明显的使用案例。例如:因没有充足资金,选择牺牲即时安全(immediate security)来获取持续的商业运作的企业,可以采用IDS来监控网络。类似的,需要积极主动地保护重要资产,看重安全重要性的企业,具有监测并阻止或防御攻击的IPS是最合适不过的;而IDS只能识别出攻击的存在,而阻止入侵则是人工防御。

综上所述在你考虑购买IPS、IDS或者两个都要时,记住关键是你的首要需求。如果你需要更多的控制,最重要的部分是IPS的检测能力。IPS需要有能力快速检测并阻止攻击,并且要以很高的速率而不降低网络性能、吞吐量和反应时间。

如果你需要可见性、网络取证和分析功能,最重要的是IDS的管理控制台。你必须要有能力以快速自然的方式驾驭IDS提供的信息,获得网络和安全的可见性。而检测功能也很重要,但是不如管理系统那么重要。

[1]韩东海.入侵检测系统及实例剖析[M].北京:清华大学出版社,2002.

[2]何欣.基于Snort的入侵检测系统的研究与实现[D].华中科技大学,2004.

[3]王世明.入侵检测技术原理剖析及应用实例[J].燕京大学学报,2004.

[4]落红卫.网络入侵检测系统及性能指标[J].电信网技术,2005,(11).