誤報(bào)率一直是IDS產(chǎn)品的技術(shù)難點(diǎn)之一��。很多公司都有各自不同的解決方法�。
賽門鐵克的解決辦法有兩種:一是對(duì)IDS產(chǎn)品的應(yīng)用范圍(如作業(yè)平臺(tái))事先作一個(gè)分類�����。比如面向一個(gè)只有Windows平臺(tái)的企業(yè)網(wǎng)絡(luò)��,則IDS包含的針對(duì)Unix平臺(tái)攻擊的檢測(cè)特征功能就可以忽略���,從而避免誤報(bào)。二是從根源上解決問題��,即通過互補(bǔ)產(chǎn)品來減少IDS的誤報(bào)��。賽門鐵克已有的風(fēng)險(xiǎn)管理產(chǎn)品����,就可以首先幫助企業(yè)查出漏洞所在,對(duì)易遭受攻擊的弱點(diǎn)究根尋源�,然后企業(yè)在堵住這些漏洞的前提下�����,應(yīng)用IDS�����,其誤報(bào)率會(huì)大大減少��。
東軟認(rèn)為����,IDS的漏報(bào)和誤報(bào)是一對(duì)矛盾體��,其產(chǎn)品NetEye IDS可以在理解網(wǎng)絡(luò)協(xié)議的基礎(chǔ)上�����,對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行重組�,并提供應(yīng)用協(xié)議的內(nèi)容恢復(fù)功能,對(duì)網(wǎng)絡(luò)上發(fā)生的應(yīng)用進(jìn)行恢復(fù)和重放��,不但檢測(cè)攻擊事件��,還重現(xiàn)攻擊的過程。這樣�����,它不僅可以發(fā)現(xiàn)外部攻擊����,還可以發(fā)現(xiàn)內(nèi)部用戶的惡意行為。通過內(nèi)容恢復(fù)��,管理員可以準(zhǔn)確了解攻擊是否發(fā)生�,有效地減少了誤報(bào)。
上海金諾公司的金諾網(wǎng)安入侵檢測(cè)系統(tǒng)KIDS��,采用安全策略優(yōu)化���、事件合并、事件關(guān)聯(lián)和多種檢測(cè)技術(shù)相結(jié)合等方法��,來解決誤報(bào)率問題�。金諾網(wǎng)安KIDS采用了金諾公司新一代智能的檢測(cè)技術(shù),以基于包特征的檢測(cè)技術(shù)為主體���,充分結(jié)合協(xié)議狀態(tài)分析��、流量異常檢測(cè)等技術(shù)���,在保證檢測(cè)到已知的最新攻擊行為的前提下���,及時(shí)發(fā)現(xiàn)一些未知的非法入侵行為,從而確保檢測(cè)的準(zhǔn)確性和廣泛性�����。另外���,KIDS也利用了TCP流重組和IP碎片重組等常見的技術(shù)�,這些技術(shù)都可以有效降低系統(tǒng)的誤報(bào)和漏報(bào)�。
如何降低端口掃描的漏報(bào)率和誤報(bào)率?早期IDS采用的方法是定義一個(gè)時(shí)間段��,在這個(gè)時(shí)間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)訂值的連接次數(shù)�,就認(rèn)為是端口掃描。這種做法的缺點(diǎn)是����,如果掃描的時(shí)間超過了定義的時(shí)間段,但掃描的端口少于預(yù)訂的連接次數(shù)����,那么這種掃描將不能識(shí)別���。若對(duì)采集到的長(zhǎng)期數(shù)據(jù)進(jìn)行分析,這樣一些非常緩慢的掃描也逃不過IDS的監(jiān)測(cè)�����。這種解決方法在東方龍馬入侵偵測(cè)系統(tǒng)中有些體現(xiàn)��。
IDS應(yīng)用難點(diǎn)之二:怎樣判斷檢測(cè)速度���?
IDS的檢測(cè)速度����,是影響NIDS的技術(shù)難題���。為了實(shí)時(shí)對(duì)網(wǎng)絡(luò)進(jìn)行入侵偵測(cè),每個(gè)基于NIDS的吞吐量是一定的��,普通的IDS產(chǎn)品或許可以應(yīng)付一般規(guī)模的企業(yè)檢測(cè)要求���,但對(duì)于電信級(jí)大型企業(yè)則有困難�����。這方面���,賽門鐵克建議�����,如果企業(yè)財(cái)力允許����,可以考慮在網(wǎng)絡(luò)內(nèi)同時(shí)安裝幾套IDS�����,各自分別負(fù)責(zé)檢測(cè)一部分�����,這樣就可以解決檢測(cè)速度吞吐量不夠的問題�。另外,可以考慮在覆蓋企業(yè)網(wǎng)絡(luò)終端的防病毒工具上做足文章���。防病毒工具中集成一些IDS的功能����,讓IDS在網(wǎng)絡(luò)內(nèi)的每臺(tái)PC上實(shí)現(xiàn),以此來解決檢測(cè)速度的問題��。目前賽門鐵克正在做這方面的工作�����。
東軟的NetEye IDS提高檢測(cè)速度的方法是�,在操作系統(tǒng)的內(nèi)核級(jí)別進(jìn)行數(shù)據(jù)重組,對(duì)收取數(shù)據(jù)的驅(qū)動(dòng)進(jìn)行大量的優(yōu)化����,減少了系統(tǒng)內(nèi)核到用戶空間的數(shù)據(jù)拷貝,提高了系統(tǒng)的性能���。NetEye IDS是軟硬一體的系統(tǒng)結(jié)構(gòu)�,選取高性能的專用硬件���,并通過大量測(cè)試,保證了硬件性能的最優(yōu)化��,通過選擇專用的數(shù)據(jù)庫(kù)�,進(jìn)行高效的索引��,不但減輕了用戶的管理負(fù)擔(dān)�����,更極大地提高了存儲(chǔ)效率�。
上海金諾在解決檢測(cè)速度問題上��,首先是將系統(tǒng)的硬件平臺(tái)進(jìn)行優(yōu)化���,使硬件性能達(dá)到最佳���,然后是利用一些先進(jìn)的技術(shù),如高性能的網(wǎng)絡(luò)數(shù)據(jù)包處理技術(shù)(包括金諾網(wǎng)安獨(dú)有的零拷貝技術(shù)�、零系統(tǒng)調(diào)用技術(shù)等)、高性能協(xié)議分析技術(shù)(包括基于協(xié)議狀態(tài)的檢測(cè)技術(shù))和基于預(yù)分析的檢測(cè)技術(shù)等���。
IDS應(yīng)用難點(diǎn)之三:HIDS和NIDS��,哪一個(gè)更好��?
賽門鐵克認(rèn)為��,NIDS只檢查它直接連接網(wǎng)段的通信��,不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包���,在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限���。HIDS系統(tǒng)則可以檢測(cè)多種網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)包。NIDS系統(tǒng)為了性能目標(biāo)通常采用特征檢測(cè)的方法�����,它可以檢測(cè)出普通的一些攻擊���,而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)�����。而這方面正是HIDS的強(qiáng)項(xiàng)����。NIDS系統(tǒng)中的傳感器協(xié)同工作能力較弱��,同時(shí)系統(tǒng)處理加密的會(huì)話過程較困難��,而對(duì)于HIDS則沒有這一障礙。另一方面�����,由于HIDS系統(tǒng)在反應(yīng)的時(shí)間上依賴于定期檢測(cè)的時(shí)間間隔���,反應(yīng)較慢,而且其檢測(cè)實(shí)時(shí)性也沒有基于網(wǎng)絡(luò)的IDS系統(tǒng)好�����。
鑒于此��,賽門鐵克建議����,在實(shí)施NIDS系統(tǒng)的同時(shí),在特定的敏感主機(jī)上增加代理是一個(gè)比較完善的策略����。因?yàn)椋琀IDS與NIDS并行可以做到優(yōu)勢(shì)互補(bǔ)���。網(wǎng)絡(luò)部分提供早期警告�����,而基于主機(jī)的部分可提供攻擊成功與否的情況分析與確認(rèn)��。
盡管HIDS準(zhǔn)確度較高��,但缺點(diǎn)是不同的系統(tǒng)需要不同的引擎��。系統(tǒng)的升級(jí)時(shí)����,需要升級(jí)引擎,安裝和維護(hù)不方便�,同時(shí)無法發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊事件。而基于網(wǎng)絡(luò)的IDS安裝調(diào)試簡(jiǎn)單���,不需在系統(tǒng)上安裝任何軟件��,需要的引擎數(shù)少���,可最早發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊,隱蔽性也更好�。NIDS的缺點(diǎn)是準(zhǔn)確度較低,同時(shí)隨著網(wǎng)絡(luò)流量的增大��,處理峰值流量的難度加大?!?br />目前,市場(chǎng)上基于HIDS的產(chǎn)品較少�,僅有賽門鐵克的Intruder Alert。NIDS產(chǎn)品有許多����,像東軟���、瑞星����、東方龍馬等公司都提供NIDS產(chǎn)品���。此外��,有些公司還推出了將HIDS和NIDS融合在一起的產(chǎn)品�。目前金諾網(wǎng)安具有擁有自主知識(shí)產(chǎn)權(quán)的入侵檢測(cè)系統(tǒng)——KIDS�,它是一種綜合的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),分別可以保護(hù)重要網(wǎng)段和關(guān)鍵的主機(jī)��,真正可以為企業(yè)單位提供一種有效的安全防護(hù)系統(tǒng)����。?
IDS應(yīng)用難點(diǎn)之四:如何選擇一個(gè)理想的IDS�?
談到網(wǎng)絡(luò)安全���,人們首先想到的就是防病毒和防火墻�。因?yàn)樗T可以保護(hù)處于防火墻身后的網(wǎng)絡(luò)不受外界的侵襲和干擾��。
目前�����,IDS的普及率明顯不如防病毒���、防火墻產(chǎn)品的應(yīng)用比例高���。
信息安全廠商首先要從觀念上教育我們的用戶,針對(duì)網(wǎng)絡(luò)威脅的增加��,及時(shí)地提供實(shí)時(shí)主動(dòng)防護(hù)產(chǎn)品IDS�����;另一方面��,利用廠商的技術(shù)與產(chǎn)品優(yōu)勢(shì)不斷滿足用戶的關(guān)鍵需求。
如何選擇合適的IDS產(chǎn)品���?用戶除了考慮誤報(bào)率與檢測(cè)速度這兩個(gè)重要的參考指標(biāo)之外���,還需要用戶從HIDS和NIDS各自的優(yōu)缺點(diǎn)作互補(bǔ)性考慮后,才能做出妥當(dāng)?shù)倪x擇�����,并且用戶要提高在安全服務(wù)委托外包上的認(rèn)識(shí)水平����。用戶可以通過考慮以下要素����,來選擇一個(gè)理想的IDS。
1. 攻擊檢測(cè)的規(guī)則庫(kù)的大小和檢測(cè)的準(zhǔn)確程度�;
2. 是否有內(nèi)容恢復(fù)功能;
3. 是否有完整網(wǎng)絡(luò)審計(jì)���、網(wǎng)絡(luò)事件記錄和全面的網(wǎng)絡(luò)信息收集功能�;
4. 產(chǎn)品的性能如何��;
5. 是否集成網(wǎng)絡(luò)分析和管理的輔助工具,如掃描器����、嗅探器等;
6. 是否自帶數(shù)據(jù)庫(kù)�,不需第三方數(shù)據(jù)源,數(shù)據(jù)是否可自動(dòng)維護(hù)���;
7. 管理維護(hù)是否足夠簡(jiǎn)潔�;
8. 互操作性如何�,是否可和防火墻聯(lián)動(dòng);
9. 自身安全性和隱蔽性如何����;
10. 可升級(jí)性如何。
在用戶決定購(gòu)買IDS之前�����,建議用戶應(yīng)充分了解當(dāng)前網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)�,了解以下關(guān)鍵問題:
1. 目前使用的交換機(jī)是否支持監(jiān)聽,支持的程度是怎樣的���?
2. 用IDS產(chǎn)品����,主要想保護(hù)的資源是什么?主要防范外網(wǎng)黑客攻擊還是內(nèi)網(wǎng)惡意用戶���?
3. IDS產(chǎn)生的事件記錄是否有管理員查看和處理檢測(cè)到的攻擊和異常事件��?
為了提高IDS的響應(yīng)能力��,目前國(guó)外比較成熟的做法是���,用戶將這項(xiàng)工作委托給其它專業(yè)的安全服務(wù)商。在國(guó)內(nèi)還有一個(gè)對(duì)外包服務(wù)商的信任認(rèn)知過程��,而且要確保有一個(gè)與外界網(wǎng)絡(luò)聯(lián)系的實(shí)時(shí)暢通的渠道����。因此��,安全服務(wù)委托外包的方式����,在國(guó)內(nèi)還需時(shí)日。
