體育競技的主宰因素很多��,如“身體基因”����、“科學方法”、“群眾基礎”等��。那么�,在網(wǎng)絡安全領域,在入侵防御這個細分的安全市場中�,未來的入侵防御系統(tǒng)應該具備哪些因素才能主宰市場,摘取金牌呢?
當前的入侵防御系統(tǒng)在性能�、功能多樣性�、易用性��,以及服務方面都與用戶需求有著不小的差距�����。未來的入侵防御系統(tǒng)只有在這幾個方面都取得技術突破性進展�����,才有資格站上最高領獎臺�。在沒有第三方機構(gòu)提出未來入侵防御系統(tǒng)模型之前,天融信公司依托于自身在入侵防御領域的研究��,以及對客戶需求的了解����,歸納總結(jié)出“未來入侵防御系統(tǒng)”的六大特性。
入侵防御系統(tǒng)要覆蓋WEB防護能力
在云計算和Web 2.0時代�����,越來越多的應用以Web方式發(fā)布和提供交互接口����,Web應用及其服務器群已經(jīng)成為主要攻擊目標和重點防護對象����。一些專門設計的Web防護系統(tǒng)其實就是在入侵防御系統(tǒng)基礎上做一些有針對性的裁剪和加強�����,當然還有一些Web防護系統(tǒng)使用代理技術���,這樣可以獲得更多的分析信息和控制能力���,但是仍然面臨嚴重的性能瓶頸問題�����。有些Web防護系統(tǒng)提供Web漏洞掃描和網(wǎng)站防篡改功能�����,但這些其實是獨立的����,可以單獨提供產(chǎn)品或者集成到其它產(chǎn)品之中,當然也包括入侵防御系統(tǒng)�����。
實際上,Web服務系統(tǒng)也是由服務器主機�����、操作系統(tǒng)��、數(shù)據(jù)庫及應用程序組成�,攻擊手段并無特殊性,對Web防護能力理應是入侵防御系統(tǒng)的重要功能之一���,下一代入侵防御系統(tǒng)應能夠覆蓋這些能力�����,不再需要專用的Web防護系統(tǒng)�����。
目前���,天融信新一代擎天萬兆入侵防御系統(tǒng)TopIDP具有高速的數(shù)據(jù)并行檢測處理和轉(zhuǎn)發(fā)能力,應用層處理性能超10Gbps,具備了強大的Web防護能力�����。
入侵防御系統(tǒng)要依應用增加智能防御
近幾年����,隨著硬件計算能力的提高和核心算法的改進,入侵防御系統(tǒng)的性能已經(jīng)有了很大提高��,但是相比網(wǎng)絡擴容速度和網(wǎng)絡設備的發(fā)展仍然無法滿足用戶要求���。入侵檢測需要對數(shù)據(jù)報文內(nèi)容及其數(shù)據(jù)流進行逐一檢查�,沒有快速捷徑�,還不能達到向防火墻一樣的線速水平,這也是為什么大多數(shù)入侵防御系統(tǒng)在實際網(wǎng)絡中部署都要配置“過載保護”的原因��。
隨著攻擊手段的豐富�����,檢測規(guī)則也在不斷增加��,但大多數(shù)入侵防御系統(tǒng)在實際運行時都將規(guī)則總數(shù)維持在3000條左右��,因為更多的規(guī)則將導致系統(tǒng)計算資源的消耗和運行性能的下降�。可見���,檢測性能仍然是制約入侵防御系統(tǒng)推廣應用的主要因素��。
未來的入侵防御系統(tǒng)應該是基于應用的防御系統(tǒng)����,可根據(jù)不同的應用智能地采取不同的防御策略����,比如對含有SQL語句的http請求進行深度檢查,而對于視頻下載進行簡單放行��,這樣能夠做到“有所為有所不為”��,從而大幅度提高實際網(wǎng)絡應用性能��。
目前TopIDP產(chǎn)品全系列采用多核處理器硬件平臺��,基于先進的新一代并行處理技術架構(gòu)��,內(nèi)置處理器動態(tài)負載均衡專利技術��,實現(xiàn)了對網(wǎng)絡數(shù)據(jù)流的高性能實時檢測和防御,具備了依應用增加智能防御的性能����。
入侵防御系統(tǒng)要支持安全可視化
簡單的日志和統(tǒng)計報表已經(jīng)不能滿足要求,用戶希望通過入侵防御系統(tǒng)的穩(wěn)定運行�����,能夠感受到受保護網(wǎng)絡的安全態(tài)勢���,甚至能夠根據(jù)各種分析結(jié)果計算得到一個分值���,再依據(jù)這個分值設置行動預案,這有點像現(xiàn)實生活中的極端天氣橙色預警���,以簡單的幾種顏色表明可能遭遇的危害程度�,進而規(guī)定了特定顏色后面對應的必需采取的應對措施���。
實際上簡單呈現(xiàn)的背后是一套復雜的綜合分析技術,需要建立評價模型��,將事件�����、事件的風險程度、發(fā)生的頻率��、一段時間內(nèi)的累積次數(shù)�����、危害程度以及受保護資產(chǎn)的價值進行綜合計算分析���,得到數(shù)字化的可比較可衡量的分值��。給一個特定網(wǎng)絡的安全狀況打80分還是90分無疑是件很棘手的事情���,但未來的入侵防御系統(tǒng)正在向這個目標努力。
入侵防御系統(tǒng)要支持云安全服務
每個用戶都希望得到清晰和明確的警示�����,但網(wǎng)絡系統(tǒng)異常復雜��,面對大量繁雜的數(shù)據(jù)報文���,入侵防御系統(tǒng)不可避免地或多或少地會產(chǎn)生漏報和誤報��,要準確地分析趨勢和警備級別少不了專業(yè)安全服務人員的參與���。下一代入侵防御系統(tǒng)應支持云安全服務���,能夠?qū)⒆陨懋a(chǎn)生的配置、運行狀況及產(chǎn)生的事件信息自動上送云端��,利用安全廠商提供的云安全服務進行統(tǒng)計分析�����,進而得出安全危害級別及其應對措施��,從云端更新安全配置��,或推送新的防護規(guī)則都是一種積極主動的防護行為����。用戶需要的是將安全設備和服務集成為統(tǒng)一的聯(lián)動體系,更緊密地依賴專業(yè)防護技術����,從而將更多的時間和精力投入到業(yè)務系統(tǒng)開發(fā)中去。
統(tǒng)一的云安全服務還可以達到“牽一發(fā)而動全身”的效果�����,當入侵者在網(wǎng)絡體系中某一點的突破被感知后��,事件會迅速上傳到云端����,再由云端發(fā)起對接入服務云的所有入侵防御系統(tǒng)進行策略更新,實現(xiàn)網(wǎng)絡體系的整體防護增強��,導致入侵者無法有效利用突破進行擴展���,從而將危害降低到最低級別����。
目前天融信的安全云服務中心通過云監(jiān)控�����、云檢測�、云防護、云優(yōu)化等多個服務系統(tǒng)�����,實現(xiàn)了安全服務從客戶端向云端的遷移,實現(xiàn)了零部署�����、零維護的服務部署模式�,可以無縫支持TopIDP的服務需求。
入侵防御系統(tǒng)要集成DDOS防御能力
據(jù)相關權(quán)威機構(gòu)數(shù)據(jù)統(tǒng)計�,DDOS攻擊占到所有攻擊事件的70%,是惡意攻擊者最常使用同時也是危害性最大的攻擊手段之一����,F(xiàn)有入侵防御系統(tǒng)主要對可以用模式定義的攻擊行為進行檢測和防御,雖然有些也具有DDOS防御模塊���,但普遍功能較弱���,性能較差。在DDOS攻擊頻發(fā)和安全性較高的網(wǎng)絡環(huán)境中���,往往需要額外配置獨立的DDOS防護設備來彌補其不足�,不僅增加了網(wǎng)絡復雜性�����,也為用戶帶來了額外的成本付出。
由于DDOS攻擊發(fā)生時會產(chǎn)生大量的并發(fā)請求�,極大地消耗處理器資源,所以要求入侵防御系統(tǒng)能夠在數(shù)據(jù)包到達的第一時間即模式匹配前進行檢測和防御�����,這部分功能通常位于操作系統(tǒng)的內(nèi)核態(tài)運行��,并且采用快速的統(tǒng)計分析算法���。
有研究表明將僵尸網(wǎng)絡定義和引入IP信譽機制相結(jié)合能夠有效防御DDOS攻擊,不過目前技術上還不成熟��,相信隨著DDOS防御技術的不斷發(fā)展��,未來入侵防御系統(tǒng)應具備完整和較強的對DDOS攻擊的檢測和防御能力����,在標稱性能許可范圍內(nèi)能夠抵御各種DDOS攻擊行為,從而完整地進行攻擊防御����,不再需要獨立的DDOS防護設備。
入侵防御系統(tǒng)要集成防病毒能力
現(xiàn)實網(wǎng)絡中的病毒與攻擊區(qū)分越來越模糊,木馬和蠕蟲既是一種病毒也是一種攻擊手段��,那種靠文件拷貝復制傳播的年代已經(jīng)成為過去����,現(xiàn)今的病毒可以直接利用主機漏洞通過網(wǎng)絡快速傳播,這種主動發(fā)起的擴散方式也形成了對網(wǎng)絡的攻擊���。如果仔細觀察�,我們會發(fā)現(xiàn)在入侵防御系統(tǒng)和病毒檢測系統(tǒng)中都具有對木馬����、后門和蠕蟲的檢測規(guī)則,這說明這些威脅已經(jīng)成為兩者需要共同應對的問題���。
傳統(tǒng)的病毒檢測系統(tǒng)設計思路是用網(wǎng)絡處部署的防病毒網(wǎng)關來統(tǒng)一進行病毒檢測和防御����,以此替代每個客戶端上的防病毒軟件�,所以防病毒網(wǎng)關一般都采用代理方式,先將網(wǎng)絡中傳輸?shù)膱笪倪原為文件�����,然后針對文件進行病毒查殺,查殺方式與客戶端上的防病毒軟件并無不同����,實際上相當于用一個防病毒網(wǎng)關替代無數(shù)的客戶端上的防病毒軟件,雖然有效�,但最大的問題是性能提升空間非常有限,無法滿足用戶要求�。
如果將攻擊檢測和病毒檢測合二為一,就需要采用統(tǒng)一的檢測引擎和核心算法�。這樣不僅提高了檢測效率���,還可以有效降低數(shù)據(jù)報文時延���。所以從應用和系統(tǒng)的角度都需要將網(wǎng)絡病毒的防御作為未來入侵防御系統(tǒng)的基本功能。
主宰取決于自己
關于未來入侵防御系統(tǒng)的概念定義目前已是眾說紛紜��,并且在很長一段時間內(nèi)還將繼續(xù)討論下去����,這里我們從現(xiàn)有系統(tǒng)存在的缺陷及用戶期望和需求的角度進行分析,勾繪出一個概念輪廓��,即未來的入侵防御系統(tǒng)應具有:覆蓋WEB防護能力���、依應用而定的智能防御���、支持安全可視化���、支持云安全服務、集成 DDOS防御能力��、集成病毒防御能力這六大功能�����。擁有如此���,才能主宰未來�����,才能成為入侵防御這個賽場上的金牌冠軍�����。
