從檢測到預防 IDS的演化與革命

Gartner在去年8月的一份研究報告中認為，如今的入侵檢測系統（IDS）已經難以適應客戶的需要。IDS不能提供附加層面的安全，相反增加了企業安全操作的復雜性。入侵檢測系統朝入侵預防系統（IPS）方向發展已成必然。實際上，可將IDS與IPS視為兩類功能互斥的分離技術：IPS注重接入控制，而IDS則進行網絡監控；IPS基於策略實現，IDS則只能進行審核跟蹤；IDS的職責不是保證網絡安全，而是告知網絡安全程度幾何。

IPS不僅僅是IDS的演化，它具備一定程度的智能處理功能，能實時阻截攻擊。傳統的IDS只能被動監視通信，這是通過跟蹤交換機端口的信息包來實現的；而IPS則能實現在線監控，主動阻截和轉發信息包。通過在線配置，IPS能基於策略設置捨棄信息包或中止連接；傳統的IDS響應機制有限，如重設TCP連接或請求變更防火牆規則都存在諸多不足。

IPS工作原理

真正的入侵預防與傳統的入侵檢測有兩點關鍵區別：自動阻截和在線運行，兩者缺一不可。預防工具（軟/硬件方案）必須設置相關策略，以對攻擊自動作出響應，而不僅僅是在惡意通信進入時向網絡主管發出告警。要實現自動響應，系統就必須在線運行。

當黑客試圖與目標服務器建立會話時，所有數據都會經過IPS傳感器，傳感器位於活動數據路徑中。傳感器檢測數據流中的惡意代碼，核對策略，在未轉發到服務器之前將信息包或數據流阻截。由於是在線操作，因而能保證處理方法適當而且可預知。

與此類比，通常的IDS響應機制（如TCP重置）則大不相同。傳統的IDS能檢測到信息流中的惡意代碼，但由於是被動處理通信，本身不能對數據流作任何處理。必須在數據流中嵌入TCP包，以重置目標服務器中的會話。然而，整個攻擊信息包有可能先於TCP重置信息包到達服務器，這時系統才做出響應已經來不及了。重置防火牆規則也存在相同問題，處於被動工作狀態的IDS能檢測到惡意代碼，並向防火牆發出請求阻截會話，但請求有可能到達太遲而無法防止攻擊發生。

IPS檢測機制

事實上，IDS和IPS中真正有價值的部分是檢測引擎。IPS存在的最大隱患是有可能引發誤操作，這種“主動性”誤操作會阻塞合法的網絡事件，造成數據丟失，最終影響到商務操作和客戶信任度。

IDS和IPS對攻擊的響應過程

為避免發生這種情況，一些IDS和IPS開發商在產品中采用了多檢測方法，最大限度地正確判斷已知和未知攻擊。例如，Symantec的ManHunt IDS最初僅依賴於異常協議分析，後來升級版本可讓網管寫入Snort代碼（Sourcefire公司開發的一種基於規則的開放源碼語言環境，用於書寫檢測信號）增強異常檢測功能。Cisco最近也對其IDS軟件進行了升級，在信號檢測系統中增加了協議和通信異常分析功能。NetScreen的硬件工具則包含了8類檢測手段，包括狀態信號、協議和通信異常狀況以及後門檢測。

值得一提的是，Snort系統采用的是基於規則的開放源代碼方案，因而能方便識別惡意攻擊信號。Snort信號系統為IDS運行環境提供了很大的靈活性，用戶可依據自身網絡運行情況書寫IDS規則集，而不是采用通用檢測方法。一些商業IDS信號系統還具備二進制代碼檢測功能。
減少主動性誤操作

集成多類檢測方法能增加IDS和IPS檢測攻擊的種類和數量，但仍無法避免誤操作。主動性誤操作是IPS應解決的首要問題，因為對合法通信的阻截會造成很多負面影響。

解決主動性誤操作的有效方法是進行通信關聯分析，也就是讓IPS全方位識別網絡環境，5自學網，減少錯誤告警。這裡的關鍵在於要將瑣碎的防火牆日志記錄、IDS數據、應用日志記錄以及系統弱點評估狀況收集到一起，合理推斷出將發生哪些情況，並做出合適響應。

對網絡運行環境的綜合細致評估對發現致命攻擊和查找潛在漏洞具有實質意義。目前，已有IDS開發商采用該項技術，它能幫助網絡主管收集通信關聯信息，從而提高IDS效率。Cisco聲稱其開發的Cisco威脅響應（CTR）技術能消除高達95%的錯誤告警。

CTR由Cisco旗下的Psionic軟件公司開發。CTR安裝於專用服務器中，該服務器位於IDS傳感器與IDS管理控制平台之間，當傳感器發出告警時，CTR便掃描目標主機，以確定觸發告警的攻擊是否會給系統帶來不利影響。CTR能進行快速簡單分析，如搜索開放端口、精確識別操作系統，5自學網，或查找活動通信。更進一步的是，它還能掃描注冊設置、事件日志記錄和系統補丁工作狀況，以確定目標主機是否易受攻擊。如果CTR檢測到主機易受攻擊或攻擊發生，便提升事件告警級別，向控制台發出最高優先級處理請求。

系統保護更受關注

如今很多IDS開發商更多地關注的是系統保護而不僅僅是檢測功能。ISS認為，系統保護應同時包含預防和檢測技術。ISS的RealSecure IDS基於網絡和主機實現，能在線阻截各類攻擊。ISS的RealSecure Guard是一類軟件IPS。RealSecure Guard通過異常協議分析檢測攻擊，並能在攻擊到達目標主機前實時將其阻截。

側重於防火牆開發的NetScreen也在朝這一領域發展。NetScreen旗下OneSecure公司開發的IPS基於專用ASIC實現。NetScreen-IPD 100具備快速以太接口，最高吞吐率為200Mbps；NetScreen-IPD 500則具備千兆接口，峰值吞吐率達500Mbps。

IDS/IPS選擇應用

是采用IDS還是IPS，需要實地考慮應用環境。IPS比較適合於阻止大范圍的、針對性不是很強的攻擊，但對單獨目標的攻擊阻截有可能失效，自動預防系統也無法阻止專門的惡意攻擊者的操作。在金融應用系統中，用戶除關心遭惡意入侵外，更擔心誤操作引發災難性後果。例如，用戶擔心數據庫中的信用卡賬號丟失，最好的辦法是加密存儲。可見這類網絡系統運用IDS比較適合。

潛在客戶需要對配置IPS存在的風險和優勢進行評估，也就是說是重在阻止攻擊還是防范失誤操作。目前來說，IPS還不具備足夠智能識別所有對數據庫應用的攻擊，一般能做的也就是檢測緩沖區溢出。另外，IPS與防火牆配置息息相關。如果沒有安裝防火牆，則沒有必要配置這類在線工具；如果熟知網段中的協議運用並易於統計分析，則可采用這類技術。

一些機構對網絡安全級別要求很高，如信用機構，這就需要混合的IDS/IPS解決方案，如IntruVert公司開發的IntruShield就兼具IDS/IPS功能，能自動監控通信並在線阻截攻擊。

發展前景

IDS市場將不斷發展，產品功能將不僅限於檢測，IDS朝具備防護功能方向發展已是大勢所趨。一項客戶調查表明，IDS具備阻截攻擊功能排在其功能需求的首位。Infonetics預計，IDS市場在未來幾年中將呈爆炸性增長，到2006年創造的收益將達16億美元。

IPS產品已經湧現，其發展前景取決於攻擊阻截功能的完善。由於有著廣泛的應用根基，傳統的IDS並不會就此消失。一種情況是，客戶不需要通信阻截功能，而只監視通信狀況；有些需要為預防系統增加智能處理功能，而有的客戶則習慣於人工處理。

Gartner將IPS視為下一代IDS，而且認為很有可能成為下一代防火牆。