在过去的20年里,网络技术在不断发展,攻击者水平在不断提高,攻击工具与攻击手法日趋复杂多样,特别是以黑客为代表的攻击者对网络的威胁日益突出,他们正不遗余力地与所有安全产品进行着斗争。攻击技术和手段的不断发展促使IDS等网络安全产品不断更新换代,使得IDS产品从一个简单机械的产品发展成为智能化的产品。
虽然这种智能化产品被相当广泛的企业用户所认可,但在实际应用中,却存在各种各样的实际难点和问题有待解决。本文详细分析了IDS在应用中的四大难点问题,希望对企业用户所有帮助。
IDS应用难点之一:如何解决误报率问题?
误报率一直是IDS产品的技术难点之一。很多公司都有各自不同的解决方法。
赛门铁克的解决办法有两种:一是对IDS产品的应用范围(如作业平台)事先作一个分类。比如面向一个只有Windows平台的企业网络,则IDS包含的针对Unix平台攻击的检测特征功能就可以忽略,从而避免误报。二是从根源上解决问题,即通过互补产品来减少IDS的误报。赛门铁克已有的风险管理产品,就可以首先帮助企业查出漏洞所在,对易遭受攻击的弱点究根寻源,然后企业在堵住这些漏洞的前提下,应用IDS,其误报率会大大减少。
东软认为,IDS的漏报和误报是一对矛盾体,其产品NetEye IDS可以在理解网络协议的基础上,对网络数据进行重组,并提供应用协议的内容恢复功能,对网络上发生的应用进行恢复和重放,不但检测攻击事件,还重现攻击的过程。这样,它不仅可以发现外部攻击,还可以发现内部用户的恶意行为。通过内容恢复,管理员可以准确了解攻击是否发生,有效地减少了误报。
上海金诺公司的金诺网安入侵检测系统KIDS,采用安全策略优化、事件合并、事件关联和多种检测技术相结合等方法,来解决误报率问题。金诺网安KIDS采用了金诺公司新一代智能的检测技术,以基于包特征的检测技术为主体,充分结合协议状态分析、流量异常检测等技术,在保证检测到已知的最新攻击行为的前提下,及时发现一些未知的非法入侵行为,从而确保检测的准确性和广泛性。另外,KIDS也利用了TCP流重组和IP碎片重组等常见的技术,这些技术都可以有效降低系统的误报和漏报。
如何降低端口扫描的漏报率和误报率?早期IDS采用的方法是定义一个时间段,在这个时间段内如发现了超过某一预订值的连接次数,就认为是端口扫描。这种做法的缺点是,如果扫描的时间超过了定义的时间段,但扫描的端口少于预订的连接次数,那么这种扫描将不能识别。若对采集到的长期数据进行分析,这样一些非常缓慢的扫描也逃不过IDS的监测。这种解决方法在东方龙马入侵侦测系统中有些体现。
IDS应用难点之二:怎样判断检测速度?
IDS的检测速度,是影响NIDS的技术难题。为了实时对网络进行入侵侦测,每个基于NIDS的吞吐量是一定的,普通的IDS产品或许可以应付一般规模的企业检测要求,但对于电信级大型企业则有困难。这方面,赛门铁克建议,如果企业财力允许,可以考虑在网络内同时安装几套IDS,各自分别负责检测一部分,这样就可以解决检测速度吞吐量不够的问题。另外,可以考虑在覆盖企业网络终端的防病毒工具上做足文章。防病毒工具中集成一些IDS的功能,让IDS在网络内的每台PC上实现,以此来解决检测速度的问题。目前赛门铁克正在做这方面的工作。
东软的NetEye IDS提高检测速度的方法是,在操作系统的内核级别进行数据重组,对收取数据的驱动进行大量的优化,减少了系统内核到用户空间的数据拷贝,提高了系统的性能。NetEye IDS是软硬一体的系统结构,选取高性能的专用硬件,并通过大量测试,保证了硬件性能的最优化,通过选择专用的数据库,进行高效的索引,不但减轻了用户的管理负担,更极大地提高了存储效率。
上海金诺在解决检测速度问题上,首先是将系统的硬件平台进行优化,使硬件性能达到最佳,然后是利用一些先进的技术,如高性能的网络数据包处理技术(包括金诺网安独有的零拷贝技术、零系统调用技术等)、高性能协议分析技术(包括基于协议状态的检测技术)和基于预分析的检测技术等。
IDS应用难点之三:HIDS和NIDS,哪一个更好?
赛门铁克认为,NIDS只检查它直接连接网段的通信,不能检测在不同网段的网络包,在使用交换以太网的环境中就会出现监测范围的局限。HIDS系统则可以检测多种网络环境下的网络包。NIDS系统为了性能目标通常采用特征检测的方法,它可以检测出普通的一些攻击,而很难实现一些复杂的需要大量计算与分析时间的攻击检测。而这方面正是HIDS的强项。NIDS系统中的传感器协同工作能力较弱,同时系统处理加密的会话过程较困难,而对于HIDS则没有这一障碍。另一方面,由于HIDS系统在反应的时间上依赖于定期检测的时间间隔,反应较慢,而且其检测实时性也没有基于网络的IDS系统好。
鉴于此,赛门铁克建议,在实施NIDS系统的同时,在特定的敏感主机上增加代理是一个比较完善的策略。因为,HIDS与NIDS并行可以做到优势互补。网络部分提供早期警告,而基于主机的部分可提供攻击成功与否的情况分析与确认。
尽管HIDS准确度较高,但缺点是不同的系统需要不同的引擎。系统的升级时,需要升级引擎,安装和维护不方便,同时无法发现网络上的攻击事件。而基于网络的IDS安装调试简单,不需在系统上安装任何软件,需要的引擎数少,可最早发现网络上的攻击,隐蔽性也更好。NIDS的缺点是准确度较低,同时随着网络流量的增大,处理峰值流量的难度加大。
目前,市场上基于HIDS的产品较少,仅有赛门铁克的Intruder Alert。NIDS产品有许多,像东软、瑞星、东方龙马等公司都提供NIDS产品。此外,有些公司还推出了将HIDS和NIDS融合在一起的产品。目前金诺网安具有拥有自主知识产权的入侵检测系统——KIDS,它是一种综合的网络入侵检测系统,分别可以保护重要网段和关键的主机,真正可以为企业单位提供一种有效的安全防护系统。?
IDS应用难点之四:如何选择一个理想的IDS?
谈到网络安全,人们首先想到的就是防病毒和防火墙。因为它门可以保护处于防火墙身后的网络不受外界的侵袭和干扰。
目前,IDS的普及率明显不如防病毒、防火墙产品的应用比例高。
信息安全厂商首先要从观念上教育我们的用户,针对网络威胁的增加,及时地提供实时主动防护产品IDS;另一方面,利用厂商的技术与产品优势不断满足用户的关键需求。
如何选择合适的IDS产品?用户除了考虑误报率与检测速度这两个重要的参考指标之外,还需要用户从HIDS和NIDS各自的优缺点作互补性考虑后,才能做出妥当的选择,并且用户要提高在安全服务委托外包上的认识水平。用户可以通过考虑以下要素,来选择一个理想的IDS。
1. 攻击检测的规则库的大小和检测的准确程度;
2. 是否有内容恢复功能;
3. 是否有完整网络审计、网络事件记录和全面的网络信息收集功能;
4. 产品的性能如何;
5. 是否集成网络分析和管理的辅助工具,如扫描器、嗅探器等;
6. 是否自带数据库,不需第三方数据源,数据是否可自动维护;
7. 管理维护是否足够简洁;
8. 互操作性如何,是否可和防火墙联动;
9. 自身安全性和隐蔽性如何;
10. 可升级性如何。
在用户决定购买IDS之前,建议用户应充分了解当前网络的拓扑结构,了解以下关键问题:
1. 目前使用的交换机是否支持监听,支持的程度是怎样的?
2. 用IDS产品,主要想保护的资源是什么?主要防范外网黑客攻击还是内网恶意用户?
3. IDS产生的事件记录是否有管理员查看和处理检测到的攻击和异常事件?
为了提高IDS的响应能力,目前国外比较成熟的做法是,用户将这项工作委托给其它专业的安全服务商。在国内还有一个对外包服务商的信任认知过程,而且要确保有一个与外界网络联系的实时畅通的渠道。因此,安全服务委托外包的方式,在国内还需时日。
未经允许不得转载:DOIT » IDS入侵检测在企业应用中的四种难题
培训人年度最大盛会,120+位重磅嘉宾分享行业最前沿 | 最全议程
火蝠电商|为乡村振兴点赞,助农春风行动