重新审视IDS的价值.pdfVIP

方案应用 S o lu t i o n s A p p l i c a t i o n s 重 新 审 视 I DS 的 价 值 1. 入侵检测系统( I DS) 的由来和发展 网的用户都感觉到网速明显变慢，进行逐台排查才能找到源头。 第一阶段：发现黑客 正是由于 code r ed 的特殊性，I DS 才在这次灾难中大出风头，让很 1998 年，当互联网络对中国人来说还是一 多人重新认识了入侵检测的价值：在这个阶段开始流行的复合型攻击( 融 个新鲜事物的时候，两件大事使得当时的中国 合病毒、黑客工具等多种攻击手法的威胁行为，如 code r e d 等蠕虫) 是有 网民对 “黑客”这一名词有了深刻的认识：印尼 其特定行为模式的，也就是说，c ode r e d 等复合型攻击，是可以通过I DS 的群体排华事件，引发了国内黑客群体对印尼 来发现的。于是，I DS 又被盖上了新的印记— “找蠕虫”。 网站进行大规模攻击，这是很多人第一次听说 这个阶段，I DS 的外延有了一些扩展：不仅关心某一个具体的事件， “黑客”这个词，并且隐约觉得 “黑客”就是网 对事件原因和带来的影响也开始有所涉足。继续看c ode r ed 的例子，人 络上的侠客。而此后不久的另外两名“黑客”，则 们关心的不仅是如何在某一台机器上清除病毒，还包括是什么原因导致了 颠覆了很多人的感觉，他们入侵扬州市工商银 病毒传播，该如何消除这种传播带来的影响。 行，在窃取了26 万元赃款后，被警方抓获，同 第三阶段：入侵管理 年，被江苏省最高人民法院判处死刑。 随着时间往前推移，人们开始不满足于 “获得攻击特征后，才能找蠕 也就是在这一年，入侵检测概念开始在国 虫”的步骤，希望在问题出现之初，就能及时发现并予以解决。这一功能 内传播，甫一出现就被盖上了“抓黑客”的印记： 在 SQL s l ammer 蠕虫事件上表现得极为突出：SQL s l ammer 是一个利用 当时的防火墙尚处在包过滤检测的时代，对网 MSDE漏洞对服务器发起攻击的病毒，在 2005 年 1 月，该蠕虫爆发时，网 络攻击行为的防御能力较差，而入侵检测基于 络出现大量异常流量，CNCER 通过部署的I DS 及时监测到了这一异常， 攻击特征分析的方法，可以很容易地发现这样 并提交相关厂商进行分析，避免了 SQL s l ammer 在国内的大范围传播，而 一些网络攻击行为，所以被用户当作 “抓黑客” 与中国一水之隔的日本和韩国则没有这么幸运，其互联网服务 曾一度陷于 工具，也是顺理成章的。 瘫痪状态。这就是 I DS 的又一新能力：发现异常，提前预警。这使得入侵 在这个阶段，入侵检测系统( I DS) 的工作 目 检测进入了一个全新的时代—入侵管理时代。它并不是仅解决直接的问 标很明晰：出现攻击事件了，需要知道攻击者是 题，还通过对网络事件的检测， 谁？受害者是谁？该怎么避免这种事件的发 对信息的综合分析，来实现对安 生？ 全状况的整体把握。 第二阶段：检测复合型攻击 2 . 入侵检测系统( I DS) 的真 在磕碰中成长了几年，I DS 始终处在一个不 正价值 温不火的状态。直到2001 年，在 MS0 1- 033 补 先来看一个安全界 的经典 丁发布一个月后，利用该漏洞的病毒 code r e d 概念，PDR模型如图1 所示，防 在全球爆发，不到一周时间，感染了全球近40 护、检测、响应，一个都不能少， 万台服务器，带来了近 26 亿美元的损失。c ode 这三者相互关联，才能达到某种 图1 PDR 模型 r ed 病毒融合了病毒