入侵檢測系統(tǒng)(IDS)是一種動(dòng)態(tài)安全技術(shù)，但它不會(huì)主動(dòng)在攻擊發(fā)生前阻斷它們。而入侵防護(hù)系統(tǒng)(IPS)則傾向于提供主動(dòng)性的防護(hù)。在一段時(shí)間內(nèi)，IDS和IPS將共同存在。

　　存在的發(fā)展觀

　　IDS與IPS的發(fā)展其實(shí)非常有意思，因?yàn)樗麄兊某霈F(xiàn)與發(fā)展的時(shí)間間隔并不長，而且到目前為止，各自都有堅(jiān)定的用戶與支持者，當(dāng)然，各自的缺點(diǎn)也非常明顯。在此，雖然有不少人認(rèn)為IPS終將取代IDS而成為主流(有些人甚至認(rèn)為UTM也是IPS的終結(jié)者)，但記者并不敢全部認(rèn)同。

　　在IT產(chǎn)業(yè)中，這么多年了，從來沒有過技術(shù)主導(dǎo)一切的定論，國內(nèi)也是一樣。君不見微軟戰(zhàn)勝蘋果，TCP/IP搞掉OSI，道理很簡單：適合的就是最好的。雖然技術(shù)很重要，但是也要考慮到用戶的接受程度、應(yīng)用水平與經(jīng)濟(jì)能力，尤其是在國內(nèi)。

　　記者一直認(rèn)為，IDS在國內(nèi)發(fā)展的一個(gè)重要領(lǐng)域是教育，雖然很多IPS廠商也認(rèn)為教育是其主要市場，但作為先來者，IDS和很多全網(wǎng)安全方案的結(jié)合，幫助了其進(jìn)一步存活的可能性，當(dāng)然荷包不足的用戶也是其發(fā)展的另一個(gè)條件。

　　當(dāng)然，記者的意思并非IDS將會(huì)一路高歌，恰恰相反，很多用戶對于發(fā)現(xiàn)問題后及時(shí)采取行動(dòng)的呼聲與愿望越發(fā)高漲，眼下所擔(dān)憂的僅僅是這種行動(dòng)不要由于誤打誤撞而導(dǎo)致災(zāi)難。不管怎么說，這種愿望還是造成了眼前IDS與IPS的邊界越來越模糊(甚至是和少數(shù)初級的UTM)----發(fā)現(xiàn)問題，采取一點(diǎn)點(diǎn)用戶心理上能夠承受的行動(dòng)。

　　從防火墻到IDS

　　其實(shí)回憶早前防火墻在國內(nèi)的應(yīng)用可以發(fā)現(xiàn)，用戶對于安全設(shè)備的理解與掌握，往往花費(fèi)的時(shí)間都比較長。

　　現(xiàn)在國內(nèi)用戶對防火墻已經(jīng)有了很高的認(rèn)知和應(yīng)用水平(至少對ACL的配置選擇已經(jīng)不在陌生)，并認(rèn)可了其網(wǎng)絡(luò)大門的地位。但不可否認(rèn)，防火墻采用規(guī)則匹配的原理，對于內(nèi)容的控制并不嚴(yán)密。雖然少數(shù)高端產(chǎn)品可以對應(yīng)用協(xié)議進(jìn)行動(dòng)態(tài)分析----邊界模糊的另一種證明----，但這樣仍不能對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，特別是對網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無能為力。

　　Juniper公司的工程師向記者表示，由于防火墻處于網(wǎng)關(guān)的位置，不可能對進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能。因此如果把放火防火墻比作大門警衛(wèi)的話，IDS就是網(wǎng)絡(luò)中不間斷的攝像機(jī)。IDS通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，對網(wǎng)絡(luò)的運(yùn)行和性能無任何影響，同時(shí)判斷其中是否含有攻擊的企圖，通過各種手段向管理員報(bào)警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說IDS是網(wǎng)絡(luò)安全的第二道閘門，是防火墻的必要補(bǔ)充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案

　　在《網(wǎng)絡(luò)世界》報(bào)社出版的《2005網(wǎng)絡(luò)產(chǎn)品購買指南》中就曾指出，當(dāng)前市場上存在的IDS可以分為以下兩種：主機(jī)型IDS(HIDS)和網(wǎng)絡(luò)型IDS(NIDS)。HIDS的分析對象為主機(jī)審計(jì)日志，所以需 要在主機(jī)上安裝軟件，針對不同的系統(tǒng)、不同的版本需安裝不同的主機(jī)引擎，安裝配置較為復(fù)雜，同時(shí)對系統(tǒng)的運(yùn)行和穩(wěn)定性造成影響，目前在國內(nèi)應(yīng)用較少。而NIDS的分析對象為網(wǎng)絡(luò)數(shù)據(jù)流，只需安裝在網(wǎng)絡(luò)的監(jiān)聽端口上，對網(wǎng)絡(luò)的運(yùn)行無任何影響，目前國內(nèi)使用較為廣泛。

　　從技術(shù)上說，無論采用HIDS還是NIDS，都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為，可互為補(bǔ)充，完美的IDS產(chǎn)品應(yīng)該將兩者結(jié)合起來。一些高端的IDS產(chǎn)品都采用HIDS和NIDS有機(jī)結(jié)合的混合型IDS架構(gòu)。

　　對一個(gè)成功的IDS系統(tǒng)來講，它不但可使企業(yè)用戶的網(wǎng)絡(luò)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的是，IDS大多管理、配置簡單，從而使企業(yè)人員可以非常容易地獲得網(wǎng)絡(luò)安全。另外，好的IDS產(chǎn)品可以根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。

　　IDS系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。業(yè)界總結(jié)的通用IDS系統(tǒng)的主要功能包括：監(jiān)測并分析用戶和系統(tǒng)的活動(dòng);核查系統(tǒng)配置和漏洞;評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性;識別已知的攻擊行為;統(tǒng)計(jì)分析異常行為;操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動(dòng)等。

　　另外，一些業(yè)內(nèi)的主流廠商，如Cisco、Checkpoint、ISS以及華為3Com等，他們一般采用基于模式匹配、異常情況或者完整性分析的判斷方法。

　　對于基于模式匹配的檢測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)，此方法非常類似殺毒軟件;而基于異常情況的檢測技術(shù)則是先定義一組系統(tǒng)“正�！鼻闆r的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)等，然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正�！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正�！鼻闆r;而完整性分析則關(guān)注文件或?qū)ο笫欠癖淮鄹模�主要根�?jù)文件和目錄的內(nèi)容及屬性進(jìn)行判斷，這種檢測方法在發(fā)現(xiàn)被更改和被植入特洛伊木馬的應(yīng)用程序方面特別有效。

　　從IDS到IPS

　　前面說過了，即便本著用戶的呼聲，IDS已經(jīng)流露出了少許“該出手時(shí)就出手”的勢頭，但這畢竟是后話。為了解決IDS旁路偵聽模式的弊端，IPS的概念被提了出來----一種采用在線模式的，可以對所有攻擊采取適時(shí)行動(dòng)的入侵防御系統(tǒng)。

　　在安全漏洞被發(fā)現(xiàn)與被攻擊之間的時(shí)間差不斷縮小的情況下，IPS的出現(xiàn)恰恰帶有時(shí)勢造英雄的味道。

　　無疑，IPS傾向于提供主動(dòng)性的防護(hù)，其設(shè)計(jì)旨在預(yù)先對入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS?是通過直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在IPS設(shè)備中被清除掉。

　　當(dāng)然，這樣做也是有條件的，IPS必須能夠支持眾多的攻擊方式與協(xié)議，因?yàn)橹挥羞@樣才能從網(wǎng)絡(luò)中進(jìn)行準(zhǔn)確地判斷。記者曾在去年匯總過國內(nèi)外主流IPS廠商的性能分析報(bào)告，基本上符合國內(nèi)企業(yè)用戶需求的IPS產(chǎn)品都要支持如：HTTP、DNS、FTP、DOS、ICMP、RPC、SSH、Mail、Telnet、Backdoors、Finger、False negatives、Database、Reconnaissance等攻擊方式以及企業(yè)四大協(xié)議(HTTP、FTP、SMTP、POP3)以外的新應(yīng)用，如MSN、Skype等。

　　另外，國內(nèi)的企業(yè)用戶在選購IPS的時(shí)候，還必須了解一點(diǎn)：由于IPS采用了在線模式，因此其本身對于網(wǎng)絡(luò)的性能影響要比IDS大很多。因此用戶必須考慮打開IPS后對于自身和網(wǎng)絡(luò)的影響。比如IPS的性能不能是在“裸奔”或僅打開少量過濾器的前提下取得的，也不能是單純的測試流量，如單純的UDP流量或單一的包長度。國內(nèi)用戶應(yīng)當(dāng)結(jié)合自身情況判斷，例如企業(yè)部署了VoIP的應(yīng)用，那就必須去評價(jià)它的時(shí)延抖動(dòng)問題，而且要在語音數(shù)據(jù)流中混雜一般數(shù)據(jù)模擬實(shí)際情況，否則又會(huì)是一場災(zāi)難。

　　在記者的采訪中，一些廠商也建議國內(nèi)用戶也可以分析IPS在負(fù)載情況下的各種效能參數(shù)(包括文章后面附表中的參數(shù)指標(biāo))，像對隨機(jī)端口發(fā)送的UDP流量、不考慮處理延時(shí)情況下的HTTP最大壓力流量、考慮處理延時(shí)情況下的HTTP最大壓力流量等。

　　對于國內(nèi)用戶擔(dān)心的另一個(gè)問題----由于IPS會(huì)對攻擊采取行動(dòng)，因此誤報(bào)帶來的災(zāi)難顯然要比IDS產(chǎn)品大。記者在采訪中得知，隨著技術(shù)的進(jìn)一步發(fā)展，這兩年來主流IPS廠家的產(chǎn)品在精度控制上有了長足的進(jìn)步。目前避免誤報(bào)漏報(bào)主要參考兩方面技術(shù)：一種是并行處理檢測;另一種是協(xié)議重組。

　　前者是指所有流經(jīng)IPS的數(shù)據(jù)包，都要被送入FPGA單元中進(jìn)行過濾器(邏輯門)匹配。由于常用的過濾器超過2000個(gè)，為了提高效率，F(xiàn)PGA采用并行處理的方式，實(shí)現(xiàn)在一個(gè)時(shí)鐘周期內(nèi)，完成對數(shù)據(jù)包實(shí)現(xiàn)所有過濾器遍歷。無疑，這樣可以極大地提升IPS的處理速度，但必須實(shí)現(xiàn)FPGA的并行化。

　　而后者則將所有流經(jīng)IPS的數(shù)據(jù)包，首先經(jīng)過硬件級別的預(yù)處理，這個(gè)預(yù)處理過程主要完成對數(shù)據(jù)包的重組，以便IPS能夠看清楚具體的應(yīng)用協(xié)議。在此基礎(chǔ)上，IPS根據(jù)不同應(yīng)用協(xié)議的特征與攻擊方式，將重組后的包進(jìn)行篩選，將一些可疑數(shù)據(jù)包送入專門的特征庫進(jìn)行比對。由于經(jīng)過了篩選，可疑數(shù)據(jù)量大大減少，因此可以大幅度減少IPS處理的工作量，同時(shí)降低誤報(bào)率，當(dāng)然這個(gè)預(yù)處理的過程將會(huì)是重中之重。

　　但無論采用哪種技術(shù)，目的都是為了確保提升準(zhǔn)確性，最大程度的保護(hù)用戶的網(wǎng)絡(luò)系統(tǒng)。而總結(jié)對于IPS與IDS的今后發(fā)展，套用時(shí)下流行的一句話：最大程度的保持現(xiàn)狀，將來不排除統(tǒng)一的可能性。

　　IPS/IDS選星秘籍

　　無論是IDS還是IPS，性能與誤保率永遠(yuǎn)是“大眾評委”關(guān)心的重要指標(biāo)。當(dāng)然，設(shè)備的性能決不是在“裸奔”狀態(tài)下取得的。

　　IPS并非扮演了防火墻的終結(jié)者，事實(shí)上，兩者在相當(dāng)長的一段時(shí)期內(nèi)將會(huì)共存。

　　選擇在線產(chǎn)品，基本上一分錢一分貨。另外，其誤保率有時(shí)候比漏報(bào)還要致命。

　　高端IPS產(chǎn)品可以在一定程度上解決DoS帶來的災(zāi)難。