一、问题的提出
信息安全产品从老三样:防火墙、防病毒、入侵检测IDS,发展到目前的信息加密、边界防护、入侵监控、行为审计(认证、授权、审计)等多维安全体系的建设,可谓技术众多、方案林立,有人俗称为新三样:UTM、IDS、审计。新老三样都离不开IDS,说明了一个问题,安全是入侵与防护的对抗,不仅是技术上的对抗,而且是人与人的对抗,攻击者与防护者的对抗,所以没有一种技术可以一劳永逸,对于未知的攻击进行防范,最好的方式就是实时的监控,随时了解你网络上发生了什么,波及到哪里了,是争取最小损失的不二法则,所以IDS是所有安全体系中不可缺少的,广义地说:是网络监控平台的建设。
然而最近一些时间,人们对IDS有些看法,有下面几个方面的问题:
1、“海量事件”的不可处理性
安全的最大特点百密一疏,所以“宁可冤枉一千,不使一人漏网”,不仅是IDS的安全事件多,很多系统的安全日志都是海量的,若没有自动的处理技术与机制,靠人来处理是不现实的。既然只有到发现问题后,才去分析那些告警信息,从“海洋”中寻找有价值的蛛丝马迹,这种方式对于用户来说的确不是值得推荐的。
并且大多数厂家产品的安全事件描述都很“专业”,非专业人员不容易理解,IDS的易用性一直是困扰IDS的老大难问题。IDS厂家用“产品+服务”的方式弥补易用性问题,虽然把客户绑得更紧了,却极大地影响了IDS的推广。既然IDS是安全厂商的“专用”工具,客户对它的感觉更加是“敬而远之”。
2、工作原理上的危机
IDS检测攻击行为主要有三种技术:一是行为的模式匹配;二是对异常的分析,有的说法,异常分析也属于模式匹配,因为正常模式生成后,识别的方式也是模式的匹配或门限的突破比较;三是特征识别,通过攻击者的特征识别攻击,比如SQL注入的“1=1”的条件,Shellcode中特殊代码等等。
特征识别技术,需要对攻击者的特征进行检测,有些象人的指纹特征一样,但有意思的是人的指纹一般不会改变,而攻击的“指纹”有很大的“变异性“。这种特点也是软件的一种“属性”,是通讯协议的一些标识或编程人员的“偏好”,若攻击者要躲避你的检测,特征就很容易改变,不仅每个软件的特征不同,而且同一个软件的不同版本的特征也不一定相同。更为麻烦的是:每个新的软件出现、新的攻击技术出现,其特征都需要安全公司的专家们进行专业的探测,而不同的安全公司给出的特征也不一样,所以对该攻击的识别的成功率是有很大差异的。
因此,在软件呈几何级数增长的今天,对于庞大的攻击特征库维护,本身就是巨大的负担。这一点与盛行了多年的防病毒技术是一样,对计算机病毒的识别大多采用特征识别方式,而目前的病毒库升级已经从周缩短到天,甚至是小时级别。所以计算机界有一种说法:防病毒的厂家很快要退出市场,让位于高可靠的操作系统或主动防御方式的安全厂家,防病毒软件就要消亡了,大家熟悉的防病毒产品好象该退休了。
这种危机同样影响到了IDS,目前的攻击软件都是自动生成的,每分钟有上万种组合,你的攻击特征库升级得过来吗,很多人开始怀疑IDS产品的未来前途,IDS产品是都也该到了退休的年龄了?
3、IPS设备带来的IDS理解误区
IDS设备的作用是监测与告警,由于是并联设备,所以不直接“动作”。IPS(入侵防护系统)把检测入侵的技术用在网关上,发现攻击“就地正法”,所以很多人误认为,IPS可以替代IDS。
其实IPS是串联设备,为了不影响网络的效率,不可能检测大量的特征,也就是说,IPS识别的攻击只能是目前“流行的”部分攻击;至于行为匹配,需要大量的缓存来分析数据,千兆的流量对于网关设备要实时处理是有一定性能要求的,产品价格就自然高起来了。因此IPS主要采用特征类匹配,这样速度快,并且是选择一些常见攻击的特征库,减少特征库是适应硬件的限制。若特征识别技术的黄昏将要到来,那么其对IDS的影响,应该远不如对IPS的影响。目前IPS正在“热推”,好象不是黄昏前的辉煌吧。
从威胁程度角度讲,造成破坏大的并不一定是“流行”的攻击方式,既然是攻击,往往选择大家意想不到的地方入侵,就象是选择工具,最新的不一定就是能得手的。所以不遍历整个攻击库的检测,肯定是不能说就安全的。
