重新認識IDS防范網絡入侵基本行為

　　在頻繁的網絡入侵今天，防范的最好的辦法就是綜合使用防火牆、IDS和IPS。

　　傳統的狀態檢測防火牆作為第一道防線，能夠防止網絡層攻擊，卻無法防范蠕蟲等針對應用層的攻擊(這些攻擊都利用了80和443等開放端口)。入侵檢測系統使用傳感器，傳感器被動地安裝在網絡上，用來監測網絡通信，尋找任何惡意訪問跡象。傳感器能夠發現針對應用層的攻擊，卻不能阻止這些攻擊，當網管員接到IDS的報警信息並采取相應措施時，經常為時已晚。

　　IDS的困擾

　　IDS會帶來大量的錯誤報警。一些用戶認為，IDS經常不斷發報警信息，結果大部分是誤報，而且報警信息不合乎邏輯，處理IDS的報警信息是一個讓人頭痛的問題，通常用戶需要花費20個小時去調查分析兩個小時的報警信息。一些網管員抱怨說，“我每天都花大量時間查看IDS記錄，邊吃午飯邊查看，就連逢年過節也不例外，那些IDS記錄簡直就成了我每天必看的紅寶書。

　　對於存在缺陷的IDS，Gartner建議用戶使用IPS(入侵預防系統)代替傳統的IDS。ISS、NetScreen、NAI、TippingPoint、StillSecure以及Top Layer等公司都能提供IPS設備。與進行簡單監控並發出報警的IDS所不同的是，IPS只需保持在線就可以阻止攻擊。Entercept(如今是NAI公司的一部分)以及Okena(如今是Cisco公司的一部分)等公司基於主機的IPS軟件，可以直接部署在應用服務器上，攔截系統調用，監控對關鍵系統文件的修改、文件允許權限的變更以及其他攻擊跡象。

　　IDS真如Gartner所說的那樣壽終正寢了嗎?IPS能隨時取代IDS嗎?大多數分析家以及IDS廠商，甚至IPS廠商並不這麼認為。起碼到目前為止，大家認為IDS在安全審計和事後追蹤方面仍然無法替代。實際上，IDS和IPS 使用相同的檢測技術，兩者都會受到檢測准確性的困擾。由於擔心IPS的錯誤判斷有可能影響正常的網絡服務，大多數用戶將IPS以IDS(僅用於監控)模式接入到企業網絡中。

　　IDS攜手IPS 9

　　IDS和IPS廠商在自動化配置和智能分析方面正在做出更多嘗試。例如，TippingPoint公司的UnityOne可以在數分鐘內配置好。包括Cisco、Symantec和ISS在內的IDS廠商也能夠提供系統審計功能，以去除不相關的報警信息。

　　與IDS產品相比，IPS設備價格昂貴。IPS在保護外圍、DMZ區以及一個或兩個關鍵性的子網方面很有用處，但是在一個擁有400個子網的大型網絡裡，用戶也許就沒有經濟實力為所有子網都部署IPS了。

　　事實上，IPS與IDS配合使用可以各取所長。IPS在阻止蠕蟲病毒等針對應用層攻擊的同時，還可以減少內部IDS生成的報警數量，使用戶安心地使用IDS監控子網以及完善企業安全戰略。例如，一位用戶使用Top Layer的Attack Mitigator IPS來保護網關和數據中心，通過打開每一個過濾程序以確信不會封鎖任何合法的商業流程。Attack Mitigator IPS被部署在防火牆之外以阻擋Dos攻擊，同時這位用戶在網絡內部使用IDS進行監控，並不需要花費太多時間去查看IDS記錄。無獨有偶，另一位用戶在網絡外圍使用TippingPoint UnityOne IPS設備，並在網絡內部大量使用基於行為檢測技術的StealthWatch IDS以取代原來的Snort IDS設備。在IPS的阻斷作用下，IDS報警信息的數量減少了99%，以前這位用戶需要把整天時間用來查看IDS記錄，現在卻不用這樣做了。

　　小結

　　除IPS之外，另一種專門用來保護Web服務器和DMZ應用的技術是Web應用防火牆，這類產品主要是阻止Web應用盜用，尤其是防止被防火牆和IPS遺漏的Web應用盜用攻擊。此外，基於主機的入侵防御軟件還可以為Web應用以及內部關鍵服務器提供額外保護。Check Point和NetScreen在防火牆產品中增加了深層檢測功能，與依靠硬件實現深層檢測功能的IPS和Web應用防火牆所不同的是，Check Point和NetScreen應用防火牆是基於軟件來實現的。

　　面對當前的安全挑戰，大多數分析家和廠商一致認為:層層設防，讓防火牆、IPS和IDS各自發揮優勢，是當前保護企業網絡的最佳手段。

　　希望這篇文章能夠讓廣大讀者重新認識IDS，利用它們之間的共同配合防范網絡入侵行為。