入侵检测与入侵防御.doc

正如我们大家所知道的那样，互联网的无处不在已经完全改变了我们所知道的网络。过去完全孤立的网络现在连接到了全世界。这种无处不在的连接使企业能够完成过去不可想象的任务。然而，与此同时还存在一个黑暗面。互联网变成了网络犯罪分子的天堂。这些网络犯罪分子利用这种连接向企业发起了数量空前的多的攻击。当互联网最初开始流行的时候，企业开始认识到它们应该使用防火墙防止对它们实施的攻击。防火墙通过封锁没有使用的TCP和UDP端口发挥作用。虽然防火墙在封锁某些端口的攻击是有效的，但是，有些端口对于HTTP、SMTP和POP3通信是有用的。为了保证这些服务工作正常，对这些常用的服务的对应的端口必须要保持开放的状态。问题是，黑客已经学会了如何让恶意通信通过这些通常开放的端口。 为了应付这种威胁，一些公司开始应用入侵检测系统(IDS)。IDS的思路是监视经过你的防火墙的全部通信并且查找可能是恶意的通信。这个思路在理论上是非常好的，但是，在实际上，IDS系统由于某些原因的影响工作得并不好。 早期的IDS系统通过查找任何异常的通信发挥作用。当检测到异常的通信时，这种行动将被记录下来并且向管理员发出警报。这个过程很少出现问题。对于初始者来说，查找异常通信方式会产生很多错误的报告。经过一段时间之后，管理员会对收到过多的错误警报感到厌烦，从而完全忽略IDS系统的警告。 IDS系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击，它将提醒管理员采取行动。人们认为IDS系统采取的这种方法是很好的。总之，由于IDS系统会产生很多的错误报告，你真的愿意让IDS系统对合法的网络通信采取行动吗? 在过去的几年里，IDS系统已经有了很大的进步。目前，IDS系统的工作方式更像是一种杀毒软件。IDS系统包含一个名为攻击签名的数据库。这个系统不断地把入网的通信与数据库中的信息进行比较。如果检测到攻击行动，IDS系统就发出这个攻击的报告。 比较新的IDS系统比以前的系统更准确一些。但是，这个数据库需要不断地更新以保持有效性。而且，如果发生了攻击并且在数据库中没有相匹配的签名，这个攻击可能就会被忽略。即使这个攻击被检测到了并且被证实是一种攻击，IDS系统除了向管理员发出警报和记录这个攻击之外没有力量做出任何事情。 这就是入侵防御系统(IPS)的任务了。IPS与IDS类似，但是，IPS在设计上解决了IDS的一些缺陷。 对于初始者来说，IPS位于你的防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下，IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。 正如你所看到的，IDS和IPS系统有一些重要的区别。如果你要购买有效的安全设备，如果你使用IPS而不是使用IDS，你的网络通常会更安全。网络安全防范中，传统的方法是对操作系统进行安全加固，通过各种各样的安全补丁提高操作系统本身的抗攻击性。这种方法虽然可以部分地解决系统的安全问题，但其缺点也很突出。俗话说，扬汤止沸，何如釜底抽薪。如果在网络边界检查到攻击包的同时将其直接抛弃，则攻击包将无法到达目标，从而可以从根本上避免黑客的攻击。这样，在新漏洞出现后，只需要撰写一个过滤规则，就可以防止此类攻击的威胁了。 火灾预警还是智能灭火 Gartner在今年6月发布的一个研究报告中称入侵检测系统（IDS, Intrusion Detection System）已经“死”了，Gartner认为IDS不能给网络带来附加的安全，反而会增加管理员的困扰。建议用户使用入侵防御系统（IPS, Intrusion Prevention System）来代替IDS。 Gartner的报告虽然语出惊人，但联想到各大安全厂商纷纷在IPS领域有所动作，便知Gartner的这个报告并不是空穴来风，可以预计IPS产品将会成为网络安全中的一支生力军。 从功能上来看，IDS是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般只能通过发送TCP reset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。举一个简单的例子，IDS就如同火灾预警装置，火灾发生时，它会自动报警，但无法阻止火灾的蔓延，必须要有人来操作进行灭火。而IPS就像智能灭火装置，当它发现有火灾发生后，会主动采取措施灭火，中间不需要人的干预。 这也许就是最近几个月来国外信息安全领域津津乐道的关于IDS（入侵检测系统）还是IPS（入侵防御系统）大讨论的原因之一吧！ IPS等于防火墙加上IDS 简单地理解，可认为IPS就是防火墙加上入侵检测系统。但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品，它在基于TCP/IP协议的过滤方面表现出色，而且在大多数情况下，可以提供网络地址转换、服务代理、流量统计等功能，甚至有的防火墙还能提供VPN功能。 和防火墙比较起来，IPS的功能比较单一，它只能串联在网络上（类似于通常所说的网桥式防火墙），对防火墙所不能过滤的攻击进行过滤。这样一个两级的过滤模式，可以最大地保证系统的安全。一般来说，企业用户关注的是自己的网络能否避免被攻击，对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处，在一些专业的机构，或对网络安全要求比较高的地方，入侵检测系统和其他审计跟踪产品结合，可以提供针对企业信息资源全面的审计资料，这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。 IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是基于IDS的、是建立在IDS发展的基础上的新生网络安全产品。早在1980年，IDS的概念就已经产生了。在1990年，出现了世界上第一个网络入侵检测系统。在早期，网络入侵检测产品存在着各种各样的问题，例如误报、漏报太多，运行不够稳定，高负载下性能太差，不能进行连接状态分析等等，但经过10多年的发展，IDS产品不断成熟，从而使得IPS产品的产生有了稳固的基础。可以想象一下一个有着很高误报率的IPS系统会使管理员多么恼火。幸好网络安全技术的发展使得对于攻击的识别率越来越高，从而将误报率控制在用户可以接受的水平。 IPS，让你安心地隔岸观火 实践证明，单一功能的产品已不能满足客户的需求，安全产品的融合、协同、集中管理是网络安全重要的发展方向。大型企业需要一体化的安全解决方案，需要细粒度的安全控制手段。中小企业一边希望能够获得切实的安全保障，一边又不可能对信息安全有太多的投入。从早期的主动响应入侵检测系统到入侵检测系统与防火墙联动，再到最近的入侵防御系统，是一个不断完善的解决安全需求的过程。 信息安全产品的发展趋势是不断的走向融合，走向集中管理。但防火墙加入侵检测产品互动的方式也有一些不足。首先使用两个产品防御攻击会使系统很复杂，任何一个产品发生故障都会导致安全防范体系的崩溃，而且两个产品的维护成本也比较高。最重要的问题在于防火墙和入侵检测产品的互动并没有一个被广泛认可的通用标准。这样，用户在采购安全产品的时候，不得不考虑到不同产品的交互性问题，从而限制了用户选择产品的范围。 为了解决不同安全产品难于协作的问题，开发人员考虑将两个产品的功能集成到一个产品内。这样就产生了NIPS（网络入侵防御系统）。NIPS的出现有一个前提，就是入侵检测产品的误报率必须控制在可以接受的范围内。 对于IDS系统，用户很自然地会有这样的想法：既然可以检测到攻击行为，为什么不去阻止它呢？实际上，IDS系统的开发人员也确实是这样去做的。在早期，开发人员试图在网络层对攻击行为进行阻断，这样就产生了所谓的主动响应的网络入侵检测系统。但是这种主动响应的网络入侵检测系统只针对TCP流和UDP连接进行阻断。显然，IDS向IPS的发展，就是一个寻求在准确检测攻击基础上防御攻击的过程，是IDS功能由单纯的审计跟踪到审计跟踪结合访问控制的扩展和延伸。 随着互