入侵检测产品的发展趋势

入侵检测产品的发展趋势

2003-10-08■作者： ■出处：天极网络安全

 

1.入侵检测产品发展现状

入侵检测系统(Intrusion Detect System)，目前基本上分为以下两种：主机入侵检测系统(HIDS)；网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志，所以需 要在主机上安装软件，针对不同的系统、不同的版本需安装不同的主机引擎，安装配置较为复杂，同时对系统的运行和稳定性造成影响，目前在国内应用较少。网络入侵监测分析对象为网络数据流，只需安装在网络的监听端口上，对网络的运行无任何影响，目前国内使用较为广泛。本文分析的为目前使用广泛的网络入侵监测系统。

2.为什么需要入侵检测系统？

目前在网络安全方面，国内的用户对防火墙已经有了很高的认知程度，而对入侵检测系统的作用大多不是非常了解。防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析，保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。

同时,由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能．如果把放火防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案。

3. 入侵检测系统目前存在的问题

入侵检测系统有如此重大的作用，但在国内的应用远远谈不到普及，一方面是由于用户的认知程度较底，另一方面是由于入侵检测是一门比较新的技术，还存在一些技术上的困难，不是所有厂商都有研发入侵检测产品的实力。目前的入侵检测产品大多存在这样一些问题：

(1). 误报和漏报的矛盾

入侵检测系统对网络上所有的数据进行分析，如果攻击者对系统进行攻击尝试，而系统相应服务开放，只是漏洞已经修补，那么这一次攻击是否需要报警，这就是一个需要管理员判断的问题。因为这也代表了一种攻击的企图。但大量的报警事件会分散管理员的精力，反而无法对真正的攻击作出反映。和误报相对应的是漏报，随着攻击的方法不断更新，入侵检测系统是否能报出网络中所有的攻击也是一个问题。

(2). 隐私和安全的矛盾

入侵检测系统可以收到网路的所有数据，同时可以对其进行分析和记录，这对网络安极其重要，但难免对用户的隐私构成一定风险，这就要看具体的入侵检测产品是否能提供相应功能以供管理员进行取舍。

(3). 被动分析与主动发现的矛盾

入侵检测系统是采取被动监听的方式发现网络问题，无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问题。

(4). 海量信息与分析代价的矛盾

随着网路数据流量的不断增长，入侵检测产品能否处理高效处理网路中的数据也是衡量入侵检测产品的重要依据。

(5). 功能性和可管理性的矛盾

随着入侵检测产品功能的增加，可否在功能增加的同时，不增大管理的难度。例如，入侵检测系统的所有信息都储存在数据库中，此数据库能否自动维护和备份而不需管理员的干预？另外,入侵检测系统自身安全性如何？是否易于部署？采用何种报警方式？也都是需要考虑的因素。

(6). 单一的产品与复杂的网络应用的矛盾

入侵检测产品最出的目的是为了检测网络的攻击，但仅仅检测网络中的攻击远远无法满足目前复杂的网应用需求．通常，管理员难以分清网路问题：是由于攻击引起的还是网络故障。入侵检测检测出的攻击事件又如何处理，可否和目前网络中的其他安全产品进行配合。

4．入侵检测技术的发展趋势

(1)．分析技术的改进

入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有：统计分析、模式匹配、数据重组、协议分析、行为分析等。

统计分析是统计网络中相关事件发生的次数，达到判别攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是对网络连接的数据流进行重组再加以分析，而不仅仅分析单个数据包。

协议分析技术是在对网络数据流进行重组的基础上，理解应用协议，再利用模式匹配和统计分析的技术来判明攻击。例如：某个基于HTTP协议的攻击含有ABC特征，如果此数据分散在若干个数据包中，如：一个数据包含A，另外一个包含B，另外一个包含C，则单纯的模式匹配就无法检测，只有基于数据流重组才能完整检测。而利用协议分析。则只在符合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里，因为不符合协议，就不会报警。利用此技术，有效的降低了误报和漏报。

行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是否确有攻击发生，攻击行为是否生效，是入侵检测分析技术的最高境界。但目前由于算法处理和规则制定的难度很大，目前还不是非常成熟，但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术，而不只是依靠传统的统计分析和模式匹配技术。另外，规则库是否及时更新也和检测的准确程度相关。

(2)．内容恢复和网络审计功能的引入

前面已经提到，入侵检测的最高境界是行为分析。但行为分析前还不是很成熟，因此，个别优秀的入侵检测产品引入了内容恢复和网络审计功能。

内容恢复即在协议分析的基础上，对网络中发生的应为加以完整的重组和记录，网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录网络进出信息，还可以记录网络内部连接状况，此功能对内容恢复无法恢复的加密连接尤其有用。

内容恢复和网络审计让管理员看到网络的真正运行状况，其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的攻击事件的报警，还可以看到整个攻击过程，了解攻击确实发生与否，查看攻击着的操作过程，了解攻击造成的危害。不但发现已知攻击，同时发现未知攻击。不当发现外部攻击者的攻击，也发现内部用户的恶意行为。毕竟管理员是最了解其网络的，管理员通过此功能的使用，很好的达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。

(3)．集成网络分析和管理功能

入侵检测不但对网络攻击是一个检测。同时，侵检测可以收到网络中的所有数据，对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时，也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法，最好能和主动分析结合。所以，入侵检测产品集成网管功能，扫描器(Scanner)，嗅探器(Sniffer)等功能是以后发展的方向。

(4)．安全性和易用性的提高

入侵检测是个安全产品，自身安全极为重要。因此，目前的入侵检测产品大多采用硬件结构，黑洞式接入，免除自身安全问题。同时，对易用性的要求也日益增强，例如：全中文的图形界面，自动的数据库维护，多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。

(5)．改进对大数据量网络的处理方法

随着对大数据量处理的要求，入侵检测的性能要求也逐步提高，出现了千兆入侵检测等产品。但如果入侵检测检测产品不仅具备攻击分析，同时具备内容恢复和网络审计功能，则其存储系统也很难完全工作在千兆环境下。这种情况下，网络数据分流也是一个很好的解决方案，性价比也较好。这也是国际上较通用的一种作法。

(6)．防火墙联动功能

入侵检测发现攻击，自动发送给放火墙，防火墙加载动态规则拦截入侵，称为防火墙联动功能。目前此功能还没有到完全实用的阶段，主要是一种概念。随便使用会导致很多问题。目前主要的应用对象是自动传播的攻击，如Nimda等，联动只在这种场合有一定的作用。无限制的使用联动。如未经充分测试，对防火期的稳定性和网络应用会造成负面影响。但随着入侵检测产品检测准确度的提高，联动功能日益趋向实用化。

5．总结

目前入侵检测是一项全新的技术，对网络的安全起着重大的作用，但也有一些技术问题需要解决或正在解决，入侵检测的应用也会日益广泛，以下是评价目前评价一个入侵检测产品是否优秀的标准：

1． 高效的数据截取
2． 智能的数据流重组
3． 强大的入侵识别
4． 全面的内容恢复
5． 完整的网络审计
6． 实时的网络监控
7． 集成的网络管理
8． 简便的接入
9． 易用的管理
10．灵活的部署
11．丰富的报警方法
12．多样的输出结果
13．严格的自身安全
14.高度的可集成性

总之，入侵检测产品的目标是成为“全面的网络健康分析管理平台”。（天极论坛）