IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

防御在入侵那一刻

2005年12月27日
/
随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求,用户需要看到哪种蠕虫或后门木马。
这就需要厂商在规则库的更新和维护上投入更多的资源,不光是跟踪官方公布的漏洞和最常见的攻击程序等,还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上,更新速度要达到每天更新,现有的IDS规则更新体系已经满足不了IPS要求。
威胁触目惊心
根据公安部一份信息网络安全状况调查显示,在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中,发生网络安全事件的比例为58%。
其中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等网络攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。特别地,计算机病毒的感染率为87.9%,比上一年增加了2%。
上述调查对象都是国内信息安全投入比较高的大行业,防火墙、入侵检测、防病毒等常见安全产品基本都已部署,但仍然遭受了触目惊心的安全危害。
就像“911”之后的美国,人们突然发现,以前大家对安全问题的看法已经不适合新形势的需要了,原本人们认为固若金汤的美国本土,被新的攻击手段炸得千疮百孔。目前的互联网和网络安全部署大家原本很乐观,但上面列举的这些触目惊心的危害清楚地表明,在层出不穷的攻击手段面前,我们的网络安全保护措施已经落后了。
现有技术不够用!
事实上,“911”美国遭受恐怖主义袭击后,在防护手段方面的变化,也映射出网络安全产品发展的脉络。
在“911”前,机场在安全方面不是一点手段没有。在登机前要验证旅客的身份证件,并通过金属探测门,防止旅客带管制刀具上机。这种检查手段和防火墙在网络上所起的作用相似。
通常,人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用的过程中暴露出以下的不足和弱点:
入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门,就像恐怖分子可以伪造身份证件上飞机一样;
防火墙不能防止来自网络内部的袭击,通过调查发现,将近65%的攻击都来自网络内部,对于那些对企业心怀不满或假意卧底的员工来说,防火墙形同虚设,就像恐怖分子可以收买机场人员一样;
传统防火墙不具备对应用层协议的检查过滤功能,无法对Web攻击、FTP攻击等做出响应,防火墙对于病毒蠕虫的侵袭也是束手无策,就像金属探测器检测不出来非金属的攻击武器,易燃易爆品一样。
正因如此,在网络世界里,人们开始了对入侵检测技术的研究及开发。入侵检测技术很像在机场安装了多台摄像头,实时观察旅客的行为,以发现安全问题。IDS可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。
但是,人们也逐渐意识到IDS所面临的问题。
较高的漏报率和误报率。这已经是世界性难题,就像机场的监控录像不能监控到每个角落,不能从人的行为举止完全准确地判断出其是否为恐怖分子一样。
IDS是以被动的方式工作,只能检测攻击,而不能做到真正实时地阻止攻击。机场的监控录像最有价值的地方其实是在恐怖事件发生后,警察通过备份的监控录像查找可疑分子,为破案提供线索。
IPS填补了空白
在后“911”时代,人们发现机场的安检措施变了,对登机的旅客除了检查身份证件外,还要检查指纹,仔细搜身,连鞋子都要脱了检查;甚至连饮料瓶都要旅客喝一口,以确保那不是汽油。这新增加的检查手段让恐怖分子蒙混过关的几率大为减少。
安检措施的改进,对应于网络安全防范,就是加强现有的防火墙和IDS等保护功能,同时对经过的数据包进行更为严格的检查措施。于是诞生了IPS技术,我们称之为入侵防御系统。
IPS是在应用层的内容检测基础上加上主动响应和过滤功能,弥补了传统的主流网络安全技术不能完成更多内容检查的不足,填补了网络安全产品线的基于内容的安全检查的空白。IPS工作原理如图1所示。
IPS设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。
如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查,不能检测应用层的内容。
防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。
所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。
通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
针对不同的攻击行为,IPS需要不同的过滤器。
每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。
过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。
IPS和防火墙相比,除了能检查身份证件,IPS还能检查旅客的指纹,能搜身,这样抓获恐怖分子的机会就会大大增加。
IPS和IDS相比,除了能记录下来部分旅客在机场时的活动情况,以预备真出了事后为警察提供线索,还能在机场识别出恐怖分子,不让其上机,让恐怖活动不能得逞。
足下有绊石
IPS的出现可谓是企业网络安全的革命性创新。然而创新意味着对困难的克服,IPS技术必须克服三大障碍。
旁路变串接的障碍
改进IDS旁路工作方式,使得IPS不仅能旁路工作,还能串接在网络中工作,对攻击的防御由被动防御变成主动防御。
串接在网络上后,IPS技术的一些痼疾就展现出来了。
第一个是漏报误报率问题。IDS因为检测手法比较单纯,漏报误报一直是IDS产品的弱点,人们甚至因此对IDS的实用性产生了怀疑。IDS因为是被动防御,产生误报后只要没有联动措施,都不会影响网络的正常工作。而IPS是串接在网络中的主动防御,产生误报后将直接影响网络的正常工作。这样安全产品就变成网络的故障点了。
举例来说,机场在安检处检查旅客时,不能仅凭旅客是否鬼鬼祟祟,冒似恐怖分子就把他抓起来,如果抓错人会直接影响机场的正常工作秩序,必须有搜身,验指纹等新的技术,保证抓获的是真正的恐怖分子。
第二个是性能问题。IDS因为是旁路工作,对实时性要求不高,而IPS串接在网络上,要求必须像网络设备一样对数据包做快速转发。因此,IPS需要在不影响检测效率的基础上做到高性能的转发。
举例来说,安检是要对每个旅客检查的项目多了,但不能因此耽误飞机的起飞时间。这就对检查时间提出了高要求,必须能快速检查完更多的项目。
功能延伸的障碍
IPS技术必须大大扩展安全功能,在网络蠕虫的预防、BT下载的限制、垃圾邮件的防范等方面做更多的工作。这些工作对传统的IDS技术来说力不从心,就像以前的机场安检让“911”的劫机犯混过安检一样,现在的机场安检必须能检查出来这种恐怖分子。
扩大规则库的障碍
随着网络蠕虫等自动攻击的泛滥,一种漏洞会被多种病毒所利用。因此在规则库中光检测到一种漏洞已经远远不能满足用户的需求,用户需要看到哪种蠕虫或后门木马。
这就需要厂商在规则库的更新和维护上投入更多的资源,不光是跟踪官方公布的漏洞和最常见的攻击程序等,还要对网络上流传的种种病毒、木马等程序做分析。规则库的条数要达到几万条以上,更新速度要达到每天更新,现有的IDS规则更新体系已经满足不了IPS要求。

图1 IPS工作原理

图2 IPS系统结构图
“兵来将挡”
前面提到的这些障碍,IPS技术如何克服呢?
总体来说,IPS一般采用ASIC、FPGA或NP(网络处理器)等硬件设计技术实现网络数据流的捕获,检测引擎综合特征检测、异常检测、DoS检测、缓冲区溢出检测等多种手段,并使用硬件加速技术进行深层数据包分析处理,能高效、准确地检测和防御已知、未知的攻击及DoS攻击。
同时,实施多种响应方式,如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等,突破了传统IDS只能检测不能防御入侵的局限性,提供了一个完整的入侵防护解决方案。
具体来说,IPS用应用层代理引擎技术解决漏报误报率问题,用引擎硬件化技术解决性能问题。
应用层代理引擎降低误报漏报率
和IDS相比,IPS应具有高性能、低漏报误报率、防范种类多等特点。要取得这些技术突破,现有IDS的技术积累显然是不够的。反病毒引擎在准确报警方面是IDS引擎学习的目标。
从产业发展的角度看,反病毒技术比IDS技术成熟,在反病毒引擎技术中已经运用多项的技术,例如虚拟机技术等。这些技术的使用,保证了反病毒产品的低漏报误报率。实际上,反病毒产品检测的准确性已经可量化,而IDS技术的准确性还没有一个公认的衡量标准。
反病毒产品对规则库的跟踪和维护有着更高的要求,反病毒产品的规则库在十万条左右,数量上超过IDS几十倍,并且对规则库更新的要求更高。IDS对规则库的更新周期以周为单位,反病毒产品对规则库的更新周期以天为单位。
引擎硬件化提升性能
如果没有性能问题的瓶颈,IPS技术不会姗姗来迟。在传统防火墙领域,厂商们其实也做了不少工作,把IDS、应用层安全技术等都集成进去了,但是只能作为功能宣传,不敢大张旗鼓推广,到用户那往往要把这些功能关闭。这都是让性能闹的。
现在的IPS厂商,还是那些功埽皇墙饩隽诵阅芪侍猓腋没в谜庑┕δ芰耍桶巡纷魑狪PS开卖。别小看这一点改进,可是核心竞争力,解决性能问题的各个厂商方法不同,思路都一样,就是把最消耗资源的部分用硬件实现,把最具有灵活性的部分用软件实现,达到提高性能的目的。
部署很简单
串接式部署是IPS和IDS区别的主要特征。IPS产品的部署方式和IDS有所不同。
IDS产品在网络中是旁路式工作,IPS产品在网络中是串接式工作。串接式工作保证所有网络数据都经过IPS设备,IPS检测数据流中的恶意代码,核对策略,在未转发到服务器之前,将信息包或数据流阻截。由于是在线操作,因而能保证处理方法适当而且可预知。
与此相比,通常的IDS响应机制(如TCP重置)则大不相同。传统的IDS能检测到信息流中的恶意代码,但由于是被动处理通信,本身不能对数据流作任何处理。必须在数据流中嵌入TCP包,以重置目标服务器中的会话。然而,整个攻击信息包有可能先于TCP重置信息包到达服务器,这时系统才做出响应已经来不及了。
重置防火墙规则也存在相同问题,处于被动工作状态的IDS能检测到恶意代码,并向防火墙发出请求阻截会话,但请求有可能到达太迟而无法防止攻击发生。
IPS是网关型设备,要发挥其最大的作用,最好串接在网络的出口处,比较简单的部署方案是串接在网关出口的防火墙和路由器之间,监控和保护网络。当然,在用户购买产品时,专业的安全工程师会根据用户的网络拓扑和需求做详细设计的。
用户之声 
受访者:北京电力顺义供电公司信息中心主任 周维利
主动防御,是不是神话?
我对IPS技术和产品有些了解,认为它是一个不错的技术,能够在遇到病毒入侵和黑客攻击之前,帮助我们消除掉即将引发的破坏。但是,这种技术太神奇,让人感觉不太可信。
举个例子。以我的理解,IPS是可以防范一个还没出现过的新病毒,就好比灭火器可以预先灭掉没着起的火一样,这是否有些离奇?
还有,我认为IPS不可能一发现攻击,就马上调动防火墙拦截。从发现攻击到拦截攻击之间肯定有时间差,在这时间差中,极有可能给后来的攻击可乘之机。这样看来,具有主动防御能力的IPS不又形成了新的安全漏洞吗?
总的来说,IPS对用户保护企业安全很有帮助,如果能够规避一些弊端,像我这样的用户还是非常愿意使用它的。
我们公司的网络采取的安全防御措施很基础,就三样:防毒、防火墙和打补丁,一年来,我们没有遇到过什么安全威胁。我个人认为,与IPS相比,被动防御更可靠。 
受访者:国电自动化研究院信息所 余勇博士
用IPS?再等一等
你问我IPS?好像国内用户用得不多,至少我没见身边的同仁们谁在用。那东西推出来时间不长呀。以我对它的了解,它在技术上存在一些问题,比如没有逃脱防火墙、IDS的弊端,仍有不低的误报漏报率。
以前用过IDS,那是好几年前的事儿。后来,我们就不用了。主要是因为它的误报漏报率太高,当然,我们自己应用得也不好。IDS是个高技术含量的产品,配置规则非常复杂,对我们用户的技术要求比较高,要用好它,有一定难度。
我们也比较担心IPS的使用难度,还担心它的处理性能。它是串连在关口的,如果优化不够,会对我们的业务造成负面影响。
与IDS相比,IPS的主动防御功能的确很好。个人觉得,IPS是个好产品,将来一定有很好的应用前途。现在,我们还不想用,再等等。待技术成熟后,我们会考虑使用IPS的。
切忌“仅”靠IPS
受访者:中国信息安全产品测评认证中心系统工程实验室副主任 彭勇
IPS的产生与用户的应用需求有很大关系。过去,使用IDS,可以达到检测非法入侵的目的,但是,入侵真的发生了,IDS却无力阻断它。于是IPS出现了,它弥补了IDS的不足,可以对入侵进行及时地拦截,有效消除攻击所带来的危害。
IPS拦截攻击的功能,对于无法加固的脆弱系统,起到举足轻重的保护作用。比如,在用户生产系统和大型数据库系统中,可能存在一些漏洞。由于补丁程序与系统冲突,容易引起系统瘫痪,所以用户不会轻易给系统打补丁。可是,不打补丁,系统势必处于安全威胁中。此时,运用IPS,可以阻挡可能的攻击,进而减少安全风险。
技术瓶颈难以逾越
IPS好是好,目前,却遇到了尚未逾越的技术瓶颈。
首先是安全性。它沿习了IDS技术优势之时,也继承了它的某些致命缺陷。IDS误报漏报率一直存在,至今仍未克服。IPS继承了这一弱势。比IDS更糟的是,IDS误报最多给用户带来频繁报警的骚扰,IPS误报将会把正常的访问请求阻挡,修改系统合理应用,破坏用户业务。
其次是应用效果。IPS技术与防病毒技术有相似之处。有效防范病毒,必须时时更新病毒特征库,这样才能识别和扼杀不断涌现的新病毒。IPS也一样,它同样要具备快速更新攻击特征库的能力。但IPS面临的问题比防病毒技术更为繁杂,需要归纳、分析的安全事件的种类和形态太多,特征不易收集(同时还要基于应用层进行防护),更新难度非常之大。
最后是性能消耗。传统的IDS是旁路监听网络,不会影响网络应用。现在的IPS是串联在网络中的,而且基于应用层检测。这意味着所有与系统应用相关的访问,都要经过IPS过滤。尽管诞生了有如NP(NetWork Processor,网络处理器)、ASIC(Applications Specific Integrated Circuit,供专门应用的集成电路)等高性能处理芯片,可以帮助改善处理性能,然而,联动的应用太多,还是会消耗部分性能,降低运行速度。
应用障碍不可抗拒
如果说IDS让用户还有所认知,IPS则让用户知之甚少,也就谈不上对IPS的重视了。
许多用过IDS的用户都没有认识到,使用IDS的最大价值是分析网络状况。我国的网管人员对安全知识和技术的掌握有限,对安全设备管理的能力不强,加之繁琐的网络管理工作,没有精力顾及安全的深度防御问题。
我接触过不少用户,发现很少有用户认真分析过防火墙日志,又很少有人通过这些分析制定出有效的反击策略。IDS独有的分析功能几乎没有被网管人员充分利用和挖掘,而白白葬送掉IDS的使用价值。在这些企业网中,IDS形同虚设。与IDS类似的IPS的应用遭遇,大家可想而知了。
一些应用水平高、安全意识强的用户自信有能力用好IPS,但他们怀疑IPS的性能问题,并担心IPS会影响关键业务。
可见,IPS的应用,无论是对于高级用户还是初级用户来说,都是任重而道远。
跳出产品考虑全局
IPS是一个产品,安全保护是整体工程,里面涉及方方面面的深度防御工作。绝对不是一两个安全产品就可以解决的。
近来,市场上关于UTM(Unified Threat Management)的呼声越来越高。UTM是什么,它是统一威胁管理,它把防毒、防火墙、IPS等多种安全功能集成在一起,并基于硬件芯片处理技术,提供了一种统一的安全管理手段。其最大的优势是能够统一处理安全事件。
我个人认为,UTM还是一个产品,只要是产品,它就逃脱不掉单纯的防御模式。企业网络所面临的安全威胁,从管理的角度看,必须充分考虑企业的需求,整体考虑安全防范问题。即使涉及IPS单项功能,也要结合整体安全策略,制定IPS的防范规则,预测它所面临的风险,设计发挥它的优势及与响应其他安全功能的措施。
因此,我建议用户从以下几个方面看待和使用IPS等安全产品及应用。
冷静看待产品。把网管人员遇到的现有的产品管理好,可以大大减少网络及产品的安全风险。问题是,有的用户连现有的产品都没管好,服务器系统经常忘记升级补丁程序,防火墙日志不看也不分析,这样,选择再多的安全设备,对安全防范也会无济于事。
整体考虑安全。建议用户从整个信息生命周期管理的视角去建设和管理安全系统。把重点放在统一监控、统一管理、统一时间响应等方面。一旦出现安全问题,采取什么措施,如何响应,都应该在事前有一个统筹的考虑。把安全防范贯彻到整个业务运行当中。
从需求出发。认真分析自身的需求,到底是不是急需使用IPS,采用IPS前要想清楚,是否牵扯网络结构的调整、网络系统的重新部署;之后,还要搞明白,怎样用好IPS,做到及时更新特征库,分析IPS反映的一些数据,防患于未然。一句话,要将检测、响应、审计统一在一起综合考虑。(

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点