在這個模型中,可以很清楚的看出Denning的二維檢測思想:基于專家系統(tǒng)的特征檢測以及基于統(tǒng)計異常模型的異常檢測。這一點也奠定了入侵檢測技術(shù)領(lǐng)域的兩大方向:濫用檢測(Misuse Detection)和異常檢測(Anomaly Detection)
在這個模型的基礎(chǔ)上����,1990年Herberlein等人開發(fā)出了第一個真正意義上的入侵檢測系統(tǒng)NSM(Network Security Monitor),在這個實物模型中���,第一次采用了網(wǎng)絡(luò)實時數(shù)據(jù)流而非歷史存檔信息作為檢測數(shù)據(jù)的來源,這為入侵檢測系統(tǒng)的產(chǎn)品化做出了巨大的貢獻:再也不需要將各式各樣的審計信息轉(zhuǎn)化為統(tǒng)一格式后才能分析了�,入侵檢測開始逐步脫離"審計"的影子。誰也沒有想到����,過了不到10年的時間���,審計產(chǎn)品反過來開始學(xué)習(xí)入侵檢測產(chǎn)品的這種分析實時數(shù)據(jù)流的模式,這是另外一個話題�,且按下不表。
【入侵檢測系統(tǒng)的成長】
上世紀90年代中期��,商業(yè)入侵檢測產(chǎn)品初現(xiàn)端倪�����,1994年出現(xiàn)了第一臺入侵檢測產(chǎn)品:ASIM���。而到了1997年,Cisco將網(wǎng)絡(luò)入侵檢測集成到其路由器設(shè)備中��,同年�,ISS推出Realsecure,入侵檢測系統(tǒng)正式進入主流網(wǎng)絡(luò)安全產(chǎn)品階段�����。
在這個時期�,入侵檢測通常被視作防火墻的有益補充��,這個階段用戶已經(jīng)能夠逐漸認識到防火墻僅能對4層以下的攻擊進行防御��,而對那些基于數(shù)據(jù)驅(qū)動攻擊或者被稱為深層攻擊的威脅行為無能為力����。廠商們用得比較多的例子就是大廈保安與閉路監(jiān)控系統(tǒng)的例子����,防火墻相當于保安,入侵檢測相當于閉路監(jiān)控設(shè)備��,那些繞過防火墻的攻擊行為將在"企圖作惡"時���,被入侵檢測系統(tǒng)逮個正著���。
而后,在20001~2003年之間���,蠕蟲病毒大肆泛濫���,紅色代碼、尼姆達�����、震蕩波、沖擊波此起彼伏�����。由于這些蠕蟲多是使用正常端口��,除非明確不需要使用此端口的服務(wù)���,防火墻是無法控制和發(fā)現(xiàn)蠕蟲傳播的��,反倒是入侵檢測產(chǎn)品可以對這些蠕蟲病毒所利用的攻擊代碼進行檢測(就是前面提到的濫用檢測���,將針對漏洞的攻擊代碼結(jié)合病毒特征做成事件特征��,當發(fā)現(xiàn)有該類事件發(fā)生���,就可判斷出現(xiàn)蠕蟲����。)���,一時間入侵檢測名聲大振����,和防火墻、防病毒一起并稱為"網(wǎng)絡(luò)安全三大件"�。
正當入侵檢測概念如日中天之際,2003年GARTNER的一篇《入侵檢測已死》的文章����,帶來了一個新的概念:入侵防御。在此之前�����,防火墻產(chǎn)品之所以不能做4層以上的分析��,有一個原因就是分析性能跟不上����,入侵檢測產(chǎn)品由于采用旁路部署方式,對數(shù)據(jù)實時性的要求不是很高���。當硬件發(fā)展和軟件算法都足以支撐串行設(shè)備進行深層分析的時候���,串接在網(wǎng)絡(luò)中�����,對應(yīng)用層的威脅行為也能發(fā)現(xiàn)并防御的產(chǎn)品需求就呼之欲出了����。一時間��,入侵防御產(chǎn)品是入侵檢測產(chǎn)品的升級版本����,入侵檢測產(chǎn)品沒有用的言論甚囂塵上。入侵檢測產(chǎn)品是不是已經(jīng)走到了產(chǎn)品生命周期的盡頭��,是不是已經(jīng)沒有人需要用入侵檢測產(chǎn)品了呢����?
【入侵檢測系統(tǒng)的發(fā)展】
入侵檢測產(chǎn)品真的只是防火墻的補充么?如果是這樣的話����,那么當網(wǎng)關(guān)類產(chǎn)品實現(xiàn)了對深層威脅行為的防御之后�����,入侵檢測產(chǎn)品真的就壽終正寢了,這也是GARTNER認為入侵檢測已死的最重要的原因:已經(jīng)有了對應(yīng)用層攻擊進行防護的產(chǎn)品了��,這種只能檢測的產(chǎn)品–入侵檢測��,已經(jīng)走了盡頭����。
其實不然,在入侵檢測產(chǎn)品被廣泛應(yīng)用的過程中��,"發(fā)現(xiàn)應(yīng)用層攻擊行為"已經(jīng)不是入侵檢測產(chǎn)品功能的全部了���。旁路部署的入侵檢測有一個最大的天然優(yōu)勢就是可以從全局的角度查看網(wǎng)絡(luò)數(shù)據(jù):不論是進出網(wǎng)絡(luò)的�����,還是網(wǎng)絡(luò)內(nèi)部的��。這使得入侵檢測擁有了成為管理手段���,而非使用工具的機會。
和入侵防御產(chǎn)品不同��,入侵檢測產(chǎn)品關(guān)注網(wǎng)絡(luò)中的所有事件,而不僅僅是值得阻斷的威脅事件�。因為通過對歷史數(shù)據(jù)的分析和對比,入侵檢測可以實現(xiàn)其更高的管理價值:提供安全建設(shè)建議和評估網(wǎng)絡(luò)安全建設(shè)效果����。
提供安全建設(shè)建議
很少有安全產(chǎn)品像入侵檢測產(chǎn)品那樣需要加入大量的人工分析,這往往是那些"IDS無用論"擁躉們的武器:入侵檢測不能"即插即用"���,還需要加入分析����,很不好��。但這恰恰是入侵檢測產(chǎn)品最有價值的地方:它能告訴用戶���,什么地方存在什么樣的威脅�����,需要如何處理�。比如說熊貓燒香病毒����,可以利用網(wǎng)絡(luò)共享����、U盤等方式進行傳播���,網(wǎng)關(guān)級的安全設(shè)備對這種"自內(nèi)而外"的傳播方式無能為力,防病毒軟件則因為該病毒中有自動停止防病毒軟件進程�����,修改防病毒軟件注冊表鍵值等手段而束手無策��,只有入侵檢測產(chǎn)品這種旁路監(jiān)聽的產(chǎn)品����,可以及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常,明確找出病毒根源并提出解決對策:隔離受感染主機���、在防火墻等安全設(shè)備上增加安全策略�、為服務(wù)器等重要資產(chǎn)劃分獨立區(qū)域�、增加適當網(wǎng)絡(luò)安全設(shè)備(如防病毒、防火墻)��、完善計算機安全管理制度(不允許使用未經(jīng)檢驗的移動存儲設(shè)備等)�。
評估網(wǎng)絡(luò)安全建設(shè)效果
正是由于入侵檢測產(chǎn)品需要人工分析,所以報表、日志數(shù)據(jù)庫就一直作為入侵檢測產(chǎn)品的重要組成部分���,而正是有了這些歷史數(shù)據(jù)的積累���,才有了入侵檢測的另外一個管理作用:評估安全建設(shè)效果。
我們來設(shè)想一個場景��,怎樣才能評估網(wǎng)絡(luò)安全建設(shè)的效果呢����?新購置的防火墻產(chǎn)品是否有用?放置的位置是不是最佳的選擇�����?
沒錯��,需要評估某事�、某物的效果,不外乎調(diào)查和對比����,收集此前、此后的相關(guān)數(shù)據(jù)并進行對照�����,有無效果一目了然。入侵檢測產(chǎn)品就是這樣一個可以協(xié)助效果評估的管理工具:它擁有最完善的網(wǎng)絡(luò)歷史和實時數(shù)據(jù)�����,網(wǎng)絡(luò)過去的狀況和現(xiàn)在的狀況應(yīng)有盡有�����。某用戶初次部署入侵檢測產(chǎn)品�����,發(fā)現(xiàn)一天中服務(wù)器遭受內(nèi)外部威脅次數(shù)是100次����,而整個網(wǎng)絡(luò)事件次數(shù)為1000次�����,在經(jīng)過增加其他安全產(chǎn)品���,調(diào)整網(wǎng)絡(luò)布局配置后��,發(fā)現(xiàn)一天中服務(wù)器遭受威脅次數(shù)降低到了8次����,整個網(wǎng)絡(luò)事件次數(shù)為32次,這就說明安全建設(shè)(增加產(chǎn)品�����、調(diào)整配置等)是有效果的�����。
最后�,我們用一個實際案例來說明入侵檢測產(chǎn)品的效果。
