网络向导之IDS/IPS的购买指南

　　入侵检测系统(IDS)是一种动态安全技术，但它不会主动在攻击发生前阻断它们。而入侵防护系统(IPS)则倾向于提供主动性的防护。在一段时间内，IDS和IPS将共同存在。

　　IDS技术

　　根据采集数据源的不同，IDS可分为主机型IDS(Host-based IDS，HIDS)和网络型IDS(Network-based IDS，NIDS)。

　　HIDS和NIDS都能发现对方无法检测到的一些入侵行为，可互为补充。完美的IDS产品应该将两者结合起来。目前主流IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。

　　传统的入侵检测技术有:

　　1、模式匹配

　　模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，来发现违背安全策略的入侵行为。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断，能减少系统占用，并且技术已相当成熟，检测准确率和效率也相当高。但是，该技术需要不断进行升级以对付不断出现的攻击手法，并且不能检测未知攻击手段。

　　2、异常检测

　　异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述，包括统计正常使用时的测量属性，如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵，缺点是误报、漏报率高。

　　3、完整性分析

　　完整性分析关注文件或对象是否被篡改，主要根据文件和目录的内容及属性进行判断，这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制，能够识别微小变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要攻击导致文件或对象发生了改变，完整性分析都能够发现。完整性分析一般是以批处理方式实现，不用于实时响应。

　　入侵检测面临的问题

　　1、误报和漏报

　　IDS系统经常发出许多假警报。误警和漏警产生的原因主要有以下几点:

　　● 当前IDS使用的主要检测技术仍然是模式匹配，模式库的组织简单、不及时、不完整，而且缺乏对未知攻击的检测能力;

　　● 随着网络规模的扩大以及异构平台和不同技术的采用，尤其是网络带宽的迅速增长，IDS的分析处理速度越来越难跟上网络流量，从而造成数据包丢失;

　　● 网络攻击方法越来越多，攻击技术及其技巧性日趋复杂，也加重了IDS的误报、漏报现象。

　　2、拒绝服务攻击

　　IDS是失效开放(Fail Open)的机制，当IDS遭受拒绝服务攻击时，这种失效开放的特性使得黑客可以实施攻击而不被发现。

　　3、插入和规避

　　插入攻击和规避攻击是两种逃避IDS检测的攻击形式。其中插入攻击可通过定制一些错误的数据包到数据流中，使IDS误以为是攻击。规避攻击则相反，可使攻击躲过IDS的检测到达目的主机。插入攻击的意图是使IDS频繁告警(误警)，但实际上并没有攻击，起到迷惑管理员的作用。规避攻击的意图则是真正要逃脱IDS的检测，对目标主机发起攻击。黑客经常改变攻击特征来欺骗基于模式匹配的IDS。

　　IDS发展趋势

　　在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下，基于特征检测匹配技术的IDS已经力不从心。IDS出现了销售停滞，但IDS不会立刻消失，而是将IDS将成为安全信息管理(SIM)框架的组成部分。在SIM框架中，IDS的作用可以通过检测和报告技术得到加强。分析人士指出，IDS的作用正转变为调查取证和安全分析。大约5年后，一致性安全管理以及内核级的安全技术将共同结束基于特征检测的IDS技术的使命。

　　美国网络世界实验室联盟成员Joel Snyder认为，未来将是混合技术的天下，在网络边缘和核心层进行检测，遍布在网络上的传感设备和纠正控制台通力协作将是安全应用的主流。

　　一些厂商通过将IDS报警与安全漏洞信息进行关联分析，着手解决IDS的缺陷。SIM厂商在实现安全信息分析的方式上开始采取更加模块化的方法，将安全漏洞管理、异常检测、网络评估、蜜罐模块与IDS模块搭配在一起，以更好地确定和响应安全事件。