IDS产品将如何“进化”.docVIP

问题提出： 入侵检测(IDS)是用来发现黑客入侵的特殊安全设备，早期的时候很简单，就是一个日志分析器，大海捞针一样从日志里提取黑客的来访记录；后来黑客学乖了，临走时把自己的“污点”记录统统抹掉；记录没了，日志分析就很难再发现黑客了(当然一些菜鸟级黑客还没有这个意识与能力)。现在，日志分析成为内部人是否有违规行为的审计工具，面对堆积如山的日志信息，你可以想象审计人员的工作是如何辛苦，揪出一个“坏蛋”，如同拣到一个金元宝一样“高兴”。 为了发现黑客，IDS开始收集“原始”的网络流量，自己进行分析(流量是实时的，黑客也没有办法不产生流量)。从此，IDS产品开始“分家”，在计算机内收集网卡流量进行分析的称为主机IDS；从网络交换机上，或者直接从物理链路上“复制”流量的称为网络IDS；分析技术都是把原始数据还原为用户访问过程，分析访问者的行为是否异常，发现黑客工具的指纹与特征，技术上称为应用协议解析(标准的协议如HTTP、FTP、SMTP、Telnet等，新流行的应用协议如P2P、MSN等)。 检测与躲避技术相较量的关键是IDS的识别能力，IDS厂商收集黑客“指纹特征”与“行为模式”，把它们放在攻击数据库内，并不断地升级；看见貌似的就告警，“宁可报错，不可放过”，从近十年以来的攻防拉锯战中看，攻击数据库越来越庞大，但黑客变换与伪装速度更为快些，黑客开始使用程序自动生成无数的新“特征”，快到每天新出现几十万个，不仅可以迷惑检测者，而且让防护者还没来得及升级就落伍了… 识别变得越来越困难，有些安全厂家推出所谓的主动防御，就是在对攻击者识别的同时，先对自己的应用进行过滤，自己的“家底”是很容易清理的，不是我这里记录允许的，就一定是外来的、可疑的，先隔离起来再说。面对互联网上层出不穷的新创意，主动防御保护自己的那一些老家底也有些“力不从心”。 入侵检测产品在核心技术上出现了“瓶颈”，在易用性上出现“海量事件危机”，这个产品下一步究竟应该如何进化呢，是自然淘汰，还是“变异”后重生？ 我们对付黑客的办法： 从战略思想上来说，我们对付黑客的办法就两种：一是加装“防盗门”，把一些“菜鸟”级攻击挡在门外边，我们常见的FW、IPS、UTM都是这种方式，这种办法对付高级黑客显然是不行的，连门都进不来，还谈什么高手吗？二是部署“摄像头”，监视“所有人”的行为，发现有靠近“金库”的就警觉起来，符合“通缉者”特征的就“抓起来”，这就是我们说的IDS。 这两种方式还有一个技术上的差异：防盗门是必需拦在网络路径上的，所谓“一夫当关”，发现攻击者立即阻断，阻止其进入大门，但串联设备对性能要求很高，网络流量在指数级逐年递增，再说大门方式很难持续观察一个访问者；摄像头是旁路监控的，并联处理，可以长时间跟踪连接进行分析，不影响业务本身，发现问题及时报警。虽然在两种措施中都有对黑客特征的检测识别，显然后者更适合于长时间地跟踪与关联性分析，适合对行为的监视，可以用来对付高级黑客，当然也需要产品使用者自身的能力强一些。 然而近几年，随着黑客攻击技术的进步，网络上需要分析的信息逐渐发生变化，主要有下面原因： ???黑客采用特殊信息通道(未知协议)去指挥他的“僵尸网络”，或选择多级跳板，再以其他人身份去探测与入侵，对这种方式探测用标准协议解析显然是不够的； ???P2P技术流行，通过标准协议承载私有协议的半加密连接非常普遍，让“防盗门”的作用越来越小，安全对于摄像头监控的依赖性越来越大； ???通过“制造”虚假同类流量，掩盖自己的真实目的。比如满大街的人都突然穿一种服装，或去做同一件事情，即使这个事情是违法的，但在法不责众的大环境下，也很难注意到真正的黑客是哪个。 随着这种环境的出现，网络上检测分析的设备种类增多了，市场上影响较大的如异常流量监测、蠕虫木马监测、DDOS攻击监测等。其中蠕虫监测是互联网运营商非常关注的，作为网络承载商，不能直接阻断用户的数据，但对网络木马、蠕虫、病毒的动态监控，是为高端用户提供安全保障的基础。 这些新变化的共同点是：监控大都是采用旁路复制流量的方式，后台进行数据分析。 IDS的进化方向： 要生存，就要进化，物竞天择是自然规律。IDS也不例外，总地来说，IDS产品的进化需求是来自两个方向： １、从技术角度看：网络内部监控分析类产品需要整合，因为这些产品都是复制流量后进行分析，只是分析的方式与监控的目标不同而已，如异常流量、蠕虫木马、以及审计，这有些象北京道路上安装的若干摄像头，有查看交通流量的，有查车辆违章的，有平安城市监测安全的…大家分属不同部门，分开管理，重复建设，整合是必然的。 整合的意思有两层：一是把这些产品集成到一起，用一个产品解决所有问题，大家需要的基础信息都一样，随着处理器能力的提高、多核硬件结构的产品化，性能上是不必担心的。二是把物理采集功