一、主流产品对比
市场上的主流网络安全产品可以分为以下几个大类:
1、基础防火墙类:主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。
2、IDS类:此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用。
3、IPS类:解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问。
4、主动安全类:和前面的产品均不同,主动安全产品的特点是协议针对性非常强,比如WAF就是专门负责HTTP协议的安全处理,DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离。
二、产品理念
从安全的最基本概念来说,首先是关闭所有的通路,然后再开放允许的访问。因此,传统防火墙可以说是主动安全的概念,因为默认情况下是关闭所有的访问,然后再通过定制策略去开放允许开放的访问。但由于其设计结构和特点,不能检测到数据包的内容级别,因此,当攻击手段到达应用层面的时候,传统的防火墙都是无能为力的。
IDS就不讲了,不能阻断只能是一个事后监督机制,因此在其后出现的IPS,基本上所有的IPS系统都号称能检查到数据包的内容,但犯了一个致命的错误,就是把安全的原则反过来了,变成默认开放所有的访问,只有自己认识的访问,才进行阻断。从另外一个方面,由于在线式造成的性能问题,也不能像杀毒软件一样进行全面而细致的安全审计。因此大多数的IPS在实际运行环境中都形同虚设,通常只是当作一个防DDOS的设备存在。IPS尤其对于未知的、不在其安全库内的攻击手段,基本上都是无能为力的。
在主动安全的体系中,彻底改变了IPS 的致命安全错误。其工作在协议层上,通过对协议的彻底分析和Proxy代理工作模式,同时,结合对应用的访问流程进行分析,只通过自己认识的访问,而对于不认识的访问,则全部进行阻断。比如在页面上的一个留言板,正常人登录都是填入一些留言,提问等,但黑客则完全可能填入一段代码,如果服务器端的页面存在漏洞,则当另外一个用户查看留言板的时候,则会在用户完全不知道的情况下执行这段代码,标准叫法,这叫做跨站攻击。当这段代码被执行后,用户的本地任何信息都有可能被发送到黑客的指定地址上。如果采用防火墙或者IPS,对此类攻击根本没有任何处理办法,因为攻击的手段、代码每次都在变化,没有特征而言。而在采用主动安全的系统中,则可以严格限制在留言板中输入的内容,由此来防范此类跨站攻击。又如常见的认证漏洞,可能造成某些页面在没有进行用户登录的情况下可以直接访问,这些内容在防火墙或者IPS系统中更加无法处理了。因为他们的请求和正常的请求完全一样,只是没有经过登录流程而已,因此不能进行防护,在主动安全体系里,可以对用户的访问进行流程限定,比如访问一些内容必须是在先通过了安全认证之后才能访问,并且必须按照一定的顺序才能执行。因此,工作在流程和代理层面的主动安全设备可以进一步实现应用系统的真正安全。
三、IDS技术
根据采集数据源的不同,IDS可分为主机型IDS(Host-based IDS,HIDS)和网络型IDS(Network-based IDS,NIDS)。HIDS和NIDS都能发现对方无法检测到的一些入侵行为,可互为补充。完美的IDS产品应该将两者结合起来。目前主流IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。
(一)传统的IDS技术
1、模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。
2、异常检测
异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。
3、完整性分析
完整性分析关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制,能够识别微小变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要攻击导致文件或对象发生了改变,完整性分析都能够发现。完整性分析一般是以批处理方式实现,不用于实时响应。
(二)IDS 面临的问题
1、误报和漏报
IDS系统经常发出许多假警报。误警和漏警产生的原因主要有以下几点:
● 当前IDS使用的主要检测技术仍然是模式匹配,模式库的组织简单、不及时、不完整,而且缺乏对未知攻击的检测能力;
● 随着网络规模的扩大以及异构平台和不同技术的采用,尤其是网络带宽的迅速增长,IDS的分析处理速度越来越难跟上网络流量,从而造成数据包丢失;
● 网络攻击方法越来越多,攻击技术及其技巧性日趋复杂,也加重了IDS的误报、漏报现象。
2、拒绝服务攻击
IDS是失效开放(Fail Open)的机制,当IDS遭受拒绝服务攻击时,这种失效开放的特性使得黑客可以实施攻击而不被发现。
3、插入和规避
插入攻击和规避攻击是两种逃避IDS检测的攻击形式。其中,插入攻击可通过定制一些错误的数据包到数据流中,使IDS误以为是攻击。规避攻击则相反,可使攻击躲过IDS的检测到达目的主机。插入攻击的意图是使IDS频繁告警(误警),但实际上并没有攻击,起到迷惑管理员的作用。规避攻击的意图则是真正要逃脱IDS的检测,对目标主机发起攻击。黑客经常改变攻击特征来欺骗基于模式匹配的IDS。
(三)IDS 的发展趋势
在安全漏洞被发现与被攻击之间的时间差不断缩小的情况下,基于特征检测匹配技术的IDS已经力不从心。IDS出现了销售停滞,但IDS不会立刻消失,而是IDS将成为安全信息管理(SIM)框架的组成部分。在SIM框架中,IDS的作用可以通过检测和报告技术得到加强。分析人士指出,IDS的作用正转变为调查取证和安全分析。大约5年后,一致性安全管理以及内核级的安全技术将共同结束基于特征检测的IDS技术的使命。
美国网络世界实验室联盟成员Joel Snyder认为,未来将是混合技术的天下,在网络边缘和核心层进行检测,遍布在网络上的传感设备和纠正控制台通力协作将是安全应用的主流。
一些厂商通过将IDS报警与安全漏洞信息进行关联分析,着手解决IDS的缺陷。SIM厂商在实现安全信息分析的方式上开始采取更加模块化的方法,将安全漏洞管理、异常检测、网络评估、蜜罐模块与IDS模块搭配在一起,以更好地确定和响应安全事件。
四、IPS 主动防护
(一)IPS 功能
尽管IDS是一种受到企业欢迎的解决方案,它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是它不会主动在攻击发生前阻断它们。同时,许多入侵检测系统基于签名,所以它们不能检测到新的攻击或老式攻击的变形,它们也不能对加密流量中的攻击进行检测。
入侵防护系统(Intrution Protection System,IPS)则倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉。
简单地理解,IPS等于防火墙加上入侵检测系统,但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,而且在大多数情况下,可以提供网络地址转换、服务代理、流量统计等功能。
和防火墙比较起来,IPS的功能比较单一,它只能串联在网络上,对防火墙所不能过滤的攻击进行过滤。一般来说,企业用户关注的是自己的网络能否避免被攻击,对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处,在一些专业的机构,或对网络安全要求比较高的地方,入侵检测系统和其他审计跟踪产品结合,可以提供针对企业信息资源的全面审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。
(二)IPS 类型
1、基于主机的入侵防护(HIPS):它能够保护服务器的安全弱点不被不法分子所利用;
2、基于网络的入侵防护(NIPS):它可通过检测流经的网络流量,提供对网络系统的安全保护,一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话;
3、应用入侵防护:它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。
(三)IPS面临的挑战
IPS 技术需要面对很多挑战:
1、单点故障。设计要求IPS必须以嵌入模式工作在网络中,而这就可能造成瓶颈问题或单点故障。如果IDS出现故障,最坏的情况也就是造成某些攻击无法被检测到;而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转。如果IPS出现故障而关闭,用户就会面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。
2、性能瓶颈。即使IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,IPS必须与数千兆或者更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的 IPS 嵌入设备无法支持这种响应速度。绝大多数高端 IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效率。
3、误报和漏报。误报率和漏报率也需要IPS认真面对。在繁忙的网络当中,如果以每秒需要处理十条警报信息来计算,IPS每小时至少需要处理36000条警报,一天就是864000条。一旦生成了警报,最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善,那么“误报”就有了可乘之机,导致合法流量也有可能被意外拦截。对于实时在线的IPS来说,一旦拦截了“攻击性”数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知,这个客户整个会话就会被关闭,而且此后该客户所有重新连接到企业网络的合法访问都会被“尽职尽责”的IPS拦截。
(四)防火墙、IDS、IPS将共存
IPS并不是防火墙的替代者,至少在当前,ips与防火墙的互补作用还十分明显,防火墙负责提供3-4层的基本安全环境和高速转发能力,而IPS负责4-7层流量的小粒度控制。事实上,在电信级流量背景下,对于4-7层的流量进行分析和过滤是不现实的,只有高性能的防火墙系统才能为网络提供必要的防护。因此,IPS更加适用于中等规模的网络,以及作为大型网络中的第二层防护,用以保护关键的业务和应用。
虽然IPS具有很大的优势,然而在报告、分析等相关技术完善得足以防止虚假报警之前,IPS不可能取代IDS设备。IPS可能将取代外围防线的检测系统,而网络中的一些位置仍然需要检测功能,以加强不能提供很多事件信息的IPS。
另外,在通常情况下,安全访问都采用SSL进行通道连接,传统的IPS根本无法看到用户的访问,从而造成形同虚设的安全网关。