从入侵检测到入侵防护——信息安全保障主动防御的必然选择o
计算机安全 2005?1
17
在信息化、网络化应用日益广泛的今天,信息安全技术也随之进入一个高速发展的时代。人们对信息安全的需求,早已从原始的“信息安全保密”提高到上个世纪后期的“信息安全保护”层次。时至今日,这种安全需求又已经进入了“信息安全保障”的新阶段。入侵防护系统(Intrusion Preven-tion System, IPS)将逐渐取代入侵检测系统(Intrusion DetectionSystem, IDS),成为信息安全保障的核心技术和中坚力量。
一、信息安全保障中的主动防御
所谓信息安全保障,意味着安全的概念已超越信息保护的层面,人们需要的是对信息的安全策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recover)(P2DR2)的综合保障能力,也就是说包括了对整个信息和信息系统的保护和防御,以确保其保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、抗抵赖性(Non Repudiation)和可控性(Authentication)。信息安全保障体系则应包括信息网络安全的全过程,即边界防卫、入侵检测、安全响应和破坏恢复等。与加密、认证、访问控制及VPN等传统的安全技术相区别,信息保障强调信息系统全生命周期的防御和恢复。其中,在信息安全保护的基础性工作之外,更重要的是强化系统的入侵(攻击)检测能
力、安全事件反应能力以及入侵破坏后的快速恢复能力。
事实上,人们对信息安全保障的主动防御需求日益强烈,特别是很多关键的信息系统不能忍受攻击损失的事后补救,而寄希望于攻击报警(含预警)和攻击阻断以避免损失。攻击报警(含预警)和阻断是主动防御的核心功能。入侵检测系统在某种程度上对攻击检测与报警发挥了一定的作用,但对主动响应则明显力不从心。在此情况下,入侵防护系统应运而生,它是一种主动的、积极的入侵防范、阻止系统,不仅可以完成攻击报警和预警,而且有非常强大的攻击阻断功能。
二、入侵检测系统的主要缺点和不足
入侵主要是指对信息系统资源的非授权使用。入侵检测通过对信息系统的若干关键点收集信息并进行分析,来判断网络或系统中是否存在违反安全策略的行为和被入侵(攻击)的迹象。典型的IDS的功能包括:监测并分析用户行为及系统活动;判断识别已知的攻击模式并报警;统计分析异常行为模式;识别用户违反安全策略的行为。由此可见,IDS可以完成信息收集、数据分析和入侵(攻击)告警的基本功能。
然而,研究和实践表明,IDS存在着下列主要缺点和不足。
杨瑞伟 闫怀志 李雨飞
摘 要 主动防御是信息安全保障的基本思想之一。本文详细分析了入侵检测系统(IDS)在主动防御应用中的缺点
与不足,深入阐述了入侵防护系统(IPS)的设计思想、技术特征以及发展方向,论证了IPS在主动防御中的重要作用。研究和应用表明,从入侵检测过渡到入侵防护,是信息安全保障主动防御的必然选择。关键词 入侵检测系统(IDS) 入侵防护系统(IPS) 信息安全保障 主动防御
从入侵检测到入侵防护
——信息安全保障主动防御的必然选择
1、检测能力较差
虚警和漏警是反映IDS检测能力的关键指标。虚警是指用户正常及合法使用受保护网络和计算机,而被IDS报警。这种“草木皆兵”的假警报不仅降低了IDS的效率,而且大大降低了原系统的服务质量。漏警则是指IDS对真正的攻击或入侵的漏报。和误报相比,漏报更有危险性。IDS总是在漏报和误报中难以平衡,降低了漏报率,误报率就会提高;反之亦然。另外,由于IDS的自身定位,多强调“入侵行为”的检测,对可能带来同样危害的病毒则关注不够,造成了对安全威胁检测的人为分割。
如果整个安全防护体系配置了检测能力较差的IDS,那么肯定达不到信息安全保障的主动防御的目的。
2、缺乏有效的响应功能
IDS的另外一个主要缺陷是缺乏有效的响应机制。虽然CIDF结构包含了“响应”组件,然而实际情况是:一方面目前的IDS多是基于各自的需求独立设计开发的,不同系统之间缺乏互操作性和互用性,其他安全组件很难利用这些信息;另一方面,目前的响应功能多是Email报警等被动响应功能,而不能主动阻断入侵(攻击)。造成这种局面的根本原因在于,设计IDS时是基于它是一种检测机制而非防护手段的考虑,限于当时的技术条件和主观认识,没有考虑主动防御的功能需求。
当然,对于某些IDS系统,在检测到攻击行为之后,也确实试图在网络层对攻击行为进行阻断,也就是所谓的主动响应的网络IDS。但这种IDS只针对TCP和UDP协议连接进行阻断,而非真正的带有主动防御功能的信息安全保障机制。另外一种是通过开放接口来通知防火墙进行阻断,防火墙和IDS提供开放接口供对方调用,按照一定的协议进行传输警报实现互动。但是,这对于没有统一标准的系统来说不具备任何可操作性。
3、可管理性较差
很多IDS产生大量的报警信息,它需要系统安全管理员有足够的时间、精力及丰富的专业的安全知识,来人工分析、处理和响应这些信息;很多IDS产品还存在着很多重复报警信息。这些在很大程度上加剧了对IDS系统的管理和维护难度。
此外,IDS在性能、自身安全性等方面还存在着一些显著的缺点。
上述这些先天的缺陷注定了IDS只能是网络信息安全(特别是主动防御层次)的一个过渡性产品。
三、入侵防护系统的功能和作用
根据信息安全保障主动防御的要求,必须对信息系统进行深度防御,也就是说应该进行主动、实时预防攻击,并对攻击性网络流量进行拦截,避免其造成任何损失。显然,病毒检测、脆弱性评估、防火墙以及IDS等分立技术已经不能满足上述要求,IPS应时而生,为解决主动防御提供了一种有效方案。
1、IPS的设计思想
IPS不但能检测入侵的发生,而且能通过主动响应阻止入侵的发生或发展,实时地保护信息系统不受实质性攻击,也就是说,IPS兼有检测入侵和对入侵做出反应两项功能。在IPS设计时,就将病毒检测、脆弱性评估、防火墙、入侵检测以及自动阻止攻击的功能融合考虑进去,从而在体系结构层面就避免了上述安全产品之间的相互孤立、各自为政、缺乏有效联动的被动局面。同时,大大节省了分别部署上述产品的资源和空间。
2、IPS的技术特征
作为信息安全保障主动防御的核心技术,IPS一般应具有下列主要的技术特征。
(1)完善的安全策略
要完整体现IPS的设计思想,以达到信息安全保障主动防御的目的,必须有较为完善的安全策略。安全策略分为检测策略和响应策略。检测策略提出对病毒、入侵、攻击以及可疑行为的检测要求;响应策略则给出各种检测方式的通讯机制、联动手段、响应时机和方式等具体要求。
(2)嵌入式运行模式
为了实现实时的深度安全防护,IPS多采取嵌入模式运行。可根据实际需要将IPS嵌入到服务器、关键主机、路由器、以太网交换机等网络设备中,实现信息系统高强度实时积极防护。
(3)丰富的入侵检测手段
信息系统综合威胁的不断发展,需要多层、深度的防护才能有效,而单一的防护措施则无能为力。为了达到联动和高效检测的目的,IPS必须建立丰富且尽量完备的病毒特征库和入侵特征库。在检测手段上,需将基于特征的方法与基于统计的方法相结合。同时,应采取智能化的方法来提高对未知病毒或未知模式攻击的预警能力。在可能的条件下,还应当考虑网络整体的安全态势和威胁评估的分析结果,来提高
计算机安全 2005?118
检测能力。同样重要的是,IPS将对信息系统安全造成威胁的各类因素(如病毒、入侵行为等)的检测与分析融合起来,强调对安全构成威胁的因素进行实时防护,为综合防范提供了基本前提。
(4)强大的响应功能
这是IPS区别于IDS的最显著特点。IPS响应一般可分为被动响应和主动响应两种类型。被动响应同传统的IDS响应相类似,主要是记录和报告检出的问题,包括通知、报警以及SNMP陷阱等。主动响应则是根据检测结果阻断入侵或延缓入侵进程以降低损失,一般由系统自动执行或用户驱动,这样可达到对入侵者采取行动、修正系统环境或收集有用信息的目的。此外,IPS还可以根据策略配置,分别采取实时、近期和长期的(包括本地和全局的)响应行为。
(5)高效的运行机制
由于IPS在信息安全保障体系中的重要地位,它的运行效率对于信息系统的服务质量来说至关重要。一方面,从硬件实现上,可以通过自定义硬件(网络处理器和专用ASIC芯片等)来提高IPS的运行效率;另一方面,从软件和算法实现上,通过采用信息融合和主动数据库等技术来提高推理(分析)机的运行速度,进而提高检测效率。
(6)较强的自身防护能力
主动防御和深度防护的使命,将IPS推到了信息安全对抗的最前沿。在实际应用中,IPS是一类工作在对抗网络环境下具有“指挥控制网络防御”特点的软件系统,必须考虑在攻防对抗环境下的自身生存问题。一般应从体系和软件(包括算法)两个层面来综合考虑建立IPS的自身防护体系,在技术途径上,采用冗余保护、通信保密、进程隐藏、综合防护等方法来构建上述体系。同时,应当强调技术与管理并重,把管理放到一个突出重要的位置,以确保IPS的自身生存能力。
3、IPS的发展方向
IPS作为一种新兴技术,也面临着许多挑战,从另外一个角度来说,这也是IPS未来的主要发展方向。IPS目前需要解决两大问题:一是单点失效问题,二是性能瓶颈问题。IPS的功能和结构决定了其“嵌入式”的工作模式,如果该IPS出现故障,不仅会影响信息系统的安全保障体系的保障能力,更严重的是,还会直接影响信息系统的正常运行。这需要从体系结构上和软件实现上来解决。随着网络流量容量的日益增大,IPS有可能变成信息系统的一个主要的性能瓶颈,其检测和响应时间、给原系统带来的效率损失将成为检验IPS能否胜任信息安全保障主动防御功能的主要指标。
毋庸讳言,IPS是在IDS的基础上发展起来的。但是,IDS向IPS的发展与过渡,绝不是简单的功能扩展。从防御战略来看,它代表从被动防御向主动防御的过渡;从技术层面来看,它是IDS功能由纯“行为探测”到“行为探测与访问控制相结合”的拓展,是在准确检测的基础上反制入侵的过程;从结构上来看,IPS将入侵检测、病毒检测、防火墙等的传统功能在系统体系的层面上紧密地融合起来,可为信息系统提供多层次的综合防范。事实上,在主动防御的大背景下,入侵防护适时顺应了信息安全保障体系中安全功能融合的主流趋势。不难看出,入侵防护系统作为主动防御的关键技术,是新一代的安全防御战略的重要组成部分,是主动防御的必然选择,必将会在信息安全保障体系中继续起到重要的作用。(作者单位 北京理工大学信息安全与对抗技术研
计算机安全 2005?119
- 入侵检测与防御课程习题-201008
- 网络入侵检测与防御
- 第6章入侵检测及入侵防御
- 入侵检测(ID)和防御(IPS)软件——萨客嘶
- 入侵检测与入侵防御
- 入侵检测系统和入侵防御技术
- 系统入侵检测与防御
- 入侵检测系统(IDS)与入侵防御系统(IPS)的区别
- 防火墙与入侵检测基本知识点
- 安全防护与入侵检测
- 入侵检测与防御
- 入侵检测系统(IDS)与入侵防御系统(IPS) 的区别
- 安全防护与入侵检测课件
- 详解入侵检测 入侵防御
- 绿盟十年回望之入侵检测与防御
- 入侵检测系统与入侵防御系统的区别
- 入侵检测与防御
- 解读入侵检测系统与入侵防御系统的区别
- 第6章_网络安全防范技术入侵检测及入侵防护系统
- 第5章入侵检测与防御技术讲解