从检测到预防 IDS的演化与革命

　　Gartner在去年8月的一份研究报告中认为，如今的入侵检测系统（IDS）已经难以适应客户的需要。IDS不能提供附加层面的安全，相反增加了企业安全操作的复杂性。入侵检测系统朝入侵预防系统（IPS）方向发展已成必然。实际上，可将IDS与IPS视为两类功能互斥的分离技术：IPS注重接入控制，而IDS则进行网络监控；IPS基于策略实现，IDS则只能进行审核跟踪；IDS的职责不是保证网络安全，而是告知网络安全程度几何。

　　IPS不仅仅是IDS的演化，它具备一定程度的智能处理功能，能实时阻截攻击。传统的IDS只能被动监视通信，这是通过跟踪交换机端口的信息包来实现的；而IPS则能实现在线监控，主动阻截和转发信息包。通过在线配置，IPS能基于策略设置舍弃信息包或中止连接；传统的IDS响应机制有限，如重设TCP连接或请求变更防火墙规则都存在诸多不足。

　　IPS工作原理

　　真正的入侵预防与传统的入侵检测有两点关键区别：自动阻截和在线运行，两者缺一不可。预防工具（软/硬件方案）必须设置相关策略，以对攻击自动作出响应，而不仅仅是在恶意通信进入时向网络主管发出告警。要实现自动响应，系统就必须在线运行。

　　当黑客试图与目标服务器建立会话时，所有数据都会经过IPS传感器，传感器位于活动数据路径中。传感器检测数据流中的恶意代码，核对策略，在未转发到服务器之前将信息包或数据流阻截。由于是在线操作，因而能保证处理方法适当而且可预知。

　　与此类比，通常的IDS响应机制（如TCP重置）则大不相同。传统的IDS能检测到信息流中的恶意代码，但由于是被动处理通信，本身不能对数据流作任何处理。必须在数据流中嵌入TCP包，以重置目标服务器中的会话。然而，整个攻击信息包有可能先于TCP重置信息包到达服务器，这时系统才做出响应已经来不及了。重置防火墙规则也存在相同问题，处于被动工作状态的IDS能检测到恶意代码，并向防火墙发出请求阻截会话，但请求有可能到达太迟而无法防止攻击发生。

　　IPS检测机制

　　事实上，IDS和IPS中真正有价值的部分是检测引擎。IPS存在的最大隐患是有可能引发误操作，这种“主动性”误操作会阻塞合法的网络事件，造成数据丢失，最终影响到商务操作和客户信任度。　　

IDS和IPS对攻击的响应过程

　　为避免发生这种情况，一些IDS和IPS开发商在产品中采用了多检测方法，最大限度地正确判断已知和未知攻击。例如，Symantec的ManHunt IDS最初仅依赖于异常协议分析，后来升级版本可让网管写入Snort代码（Sourcefire公司开发的一种基于规则的开放源码语言环境，用于书写检测信号）增强异常检测功能。Cisco最近也对其IDS软件进行了升级，在信号检测系统中增加了协议和通信异常分析功能。NetScreen的硬件工具则包含了8类检测手段，包括状态信号、协议和通信异常状况以及后门检测。

　　值得一提的是，Snort系统采用的是基于规则的开放源代码方案，因而能方便识别恶意攻击信号。Snort信号系统为IDS运行环境提供了很大的灵活性，用户可依据自身网络运行情况书写IDS规则集，而不是采用通用检测方法。一些商业IDS信号系统还具备二进制代码检测功能。 减少主动性误操作

　　集成多类检测方法能增加IDS和IPS检测攻击的种类和数量，但仍无法避免误操作。主动性误操作是IPS应解决的首要问题，因为对合法通信的阻截会造成很多负面影响。

　　解决主动性误操作的有效方法是进行通信关联分析，也就是让IPS全方位识别网络环境，减少错误告警。这里的关键在于要将琐碎的防火墙日志记录、IDS数据、应用日志记录以及系统弱点评估状况收集到一起，合理推断出将发生哪些情况，并做出合适响应。

　　对网络运行环境的综合细致评估对发现致命攻击和查找潜在漏洞具有实质意义。目前，已有IDS开发商采用该项技术，它能帮助网络主管收集通信关联信息，从而提高IDS效率。Cisco声称其开发的Cisco威胁响应（CTR）技术能消除高达95%的错误告警。

　　CTR由Cisco旗下的Psionic软件公司开发。CTR安装于专用服务器中，该服务器位于IDS传感器与IDS管理控制平台之间，当传感器发出告警时，CTR便扫描目标主机，以确定触发告警的攻击是否会给系统带来不利影响。CTR能进行快速简单分析，如搜索开放端口、精确识别操作系统，或查找活动通信。更进一步的是，它还能扫描注册设置、事件日志记录和系统补丁工作状况，以确定目标主机是否易受攻击。如果CTR检测到主机易受攻击或攻击发生，便提升事件告警级别，向控制台发出最高优先级处理请求。

　　系统保护更受关注

　　如今很多IDS开发商更多地关注的是系统保护而不仅仅是检测功能。ISS认为，系统保护应同时包含预防和检测技术。ISS的RealSecure IDS基于网络和主机实现，能在线阻截各类攻击。ISS的RealSecure Guard是一类软件IPS。RealSecure Guard通过异常协议分析检测攻击，并能在攻击到达目标主机前实时将其阻截。

　　侧重于防火墙开发的NetScreen也在朝这一领域发展。NetScreen旗下OneSecure公司开发的IPS基于专用ASIC实现。NetScreen-IPD 100具备快速以太接口，最高吞吐率为200Mbps；NetScreen-IPD 500则具备千兆接口，峰值吞吐率达500Mbps。

　　IDS/IPS选择应用

　　是采用IDS还是IPS，需要实地考虑应用环境。IPS比较适合于阻止大范围的、针对性不是很强的攻击，但对单独目标的攻击阻截有可能失效，自动预防系统也无法阻止专门的恶意攻击者的操作。在金融应用系统中，用户除关心遭恶意入侵外，更担心误操作引发灾难性后果。例如，用户担心数据库中的信用卡账号丢失，最好的办法是加密存储。可见这类网络系统运用IDS比较适合。

　　潜在客户需要对配置IPS存在的风险和优势进行评估，也就是说是重在阻止攻击还是防范失误操作。目前来说，IPS还不具备足够智能识别所有对数据库应用的攻击，一般能做的也就是检测缓冲区溢出。另外，IPS与防火墙配置息息相关。如果没有安装防火墙，则没有必要配置这类在线工具；如果熟知网段中的协议运用并易于统计分析，则可采用这类技术。

　　一些机构对网络安全级别要求很高，如信用机构，这就需要混合的IDS/IPS解决方案，如IntruVert公司开发的IntruShield就兼具IDS/IPS功能，能自动监控通信并在线阻截攻击。

　　发展前景

　　IDS市场将不断发展，产品功能将不仅限于检测，IDS朝具备防护功能方向发展已是大势所趋。一项客户调查表明，IDS具备阻截攻击功能排在其功能需求的首位。Infonetics预计，IDS市场在未来几年中将呈爆炸性增长，到2006年创造的收益将达16亿美元。

　　IPS产品已经涌现，其发展前景取决于攻击阻截功能的完善。由于有着广泛的应用根基，传统的IDS并不会就此消失。一种情况是，客户不需要通信阻截功能，而只监视通信状况；有些需要为预防系统增加智能处理功能，而有的客户则习惯于人工处理。

　　Gartner将IPS视为下一代IDS，而且认为很有可能成为下一代防火墙。