IDS產(chǎn)品將如何“進(jìn)化”

1、5/5問題提出：入侵檢測(DS)是用來發(fā)現(xiàn)黑客入侵的特殊安全設(shè)備，早期的時(shí)候很簡單，就是一個(gè)日志分析器，大海撈針一樣從日志里提取黑客的來訪記錄;后來黑客學(xué)乖了,臨走時(shí)把自己的“污點(diǎn)”記錄統(tǒng)統(tǒng)抹掉;記錄沒了,日志分析就很難再發(fā)現(xiàn)黑客了(當(dāng)然一些菜鳥級黑客還沒有這個(gè)意識與能力）.現(xiàn)在，日志分析成為內(nèi)部人是否有違規(guī)行為的審計(jì)工具，面對堆積如山的日志信息,你可以想象審計(jì)人員的工作是如何辛苦,揪出一個(gè)“壞蛋,如同揀到一個(gè)金元寶一樣“高興”。為了發(fā)現(xiàn)黑客，IDS開始收集“原始”的網(wǎng)絡(luò)流量，自己進(jìn)行分析（流量是實(shí)時(shí)的,黑客也沒有辦法不產(chǎn)生流量).從此,IDS產(chǎn)品開始“分家，在計(jì)算機(jī)內(nèi)收集網(wǎng)卡流量進(jìn)行分析的稱

2、為主機(jī)IDS；從網(wǎng)絡(luò)交換機(jī)上，或者直接從物理鏈路上“復(fù)制流量的稱為網(wǎng)絡(luò)IDS；分析技術(shù)都是把原始數(shù)據(jù)還原為用戶訪問過程，分析訪問者的行為是否異常，發(fā)現(xiàn)黑客工具的指紋與特征，技術(shù)上稱為應(yīng)用協(xié)議解析(標(biāo)準(zhǔn)的協(xié)議如HTTP、lt等,新流行的應(yīng)用協(xié)議如PP、MS等）.檢測與躲避技術(shù)相較量的關(guān)鍵是ID的識別能力，I廠商收集黑客“指紋特征”與“行為模式”，把它們放在攻擊數(shù)據(jù)庫內(nèi)，并不斷地升級；看見貌似的就告警,“寧可報(bào)錯(cuò)，不可放過，從近十年以來的攻防拉鋸戰(zhàn)中看，攻擊數(shù)據(jù)庫越來越龐大,但黑客變換與偽裝速度更為快些，黑客開始使用程序自動(dòng)生成無數(shù)的新“特征”,快到每天新出現(xiàn)幾十萬個(gè)，不僅可以迷惑檢測者，而且讓防

3、護(hù)者還沒來得及升級就落伍了識別變得越來越困難，有些安全廠家推出所謂的主動(dòng)防御，就是在對攻擊者識別的同時(shí)，先對自己的應(yīng)用進(jìn)行過濾，自己的“家底是很容易清理的，不是我這里記錄允許的，就一定是外來的、可疑的，先隔離起來再說。面對互聯(lián)網(wǎng)上層出不窮的新創(chuàng)意，主動(dòng)防御保護(hù)自己的那一些老家底也有些“力不從心。入侵檢測產(chǎn)品在核心技術(shù)上出現(xiàn)了“瓶頸”，在易用性上出現(xiàn)“海量事件危機(jī)”,這個(gè)產(chǎn)品下一步究竟應(yīng)該如何進(jìn)化呢，是自然淘汰，還是“變異后重生?我們對付黑客的辦法：從戰(zhàn)略思想上來說,我們對付黑客的辦法就兩種:一是加裝“防盜門”，把一些“菜鳥”級攻擊擋在門外邊，我們常見的、PS、UM都是這種方式，這種辦法對付高級

4、黑客顯然是不行的，連門都進(jìn)不來，還談什么高手嗎?二是部署“攝像頭”，監(jiān)視“所有人”的行為，發(fā)現(xiàn)有靠近“金庫”的就警覺起來,符合“通緝者”特征的就“抓起來”，這就是我們說的I.這兩種方式還有一個(gè)技術(shù)上的差異:防盜門是必需攔在網(wǎng)絡(luò)路徑上的，所謂“一夫當(dāng)關(guān)，發(fā)現(xiàn)攻擊者立即阻斷，阻止其進(jìn)入大門,但串聯(lián)設(shè)備對性能要求很高，網(wǎng)絡(luò)流量在指數(shù)級逐年遞增,再說大門方式很難持續(xù)觀察一個(gè)訪問者；攝像頭是旁路監(jiān)控的，并聯(lián)處理，可以長時(shí)間跟蹤連接進(jìn)行分析，不影響業(yè)務(wù)本身，發(fā)現(xiàn)問題及時(shí)報(bào)警.雖然在兩種措施中都有對黑客特征的檢測識別,顯然后者更適合于長時(shí)間地跟蹤與關(guān)聯(lián)性分析，適合對行為的監(jiān)視，可以用來對付高級黑客，當(dāng)然也需

5、要產(chǎn)品使用者自身的能力強(qiáng)一些.然而近幾年，隨著黑客攻擊技術(shù)的進(jìn)步，網(wǎng)絡(luò)上需要分析的信息逐漸發(fā)生變化,主要有下面原因：黑客采用特殊信息通道(未知協(xié)議)去指揮他的“僵尸網(wǎng)絡(luò)”，或選擇多級跳板,再以其他人身份去探測與入侵,對這種方式探測用標(biāo)準(zhǔn)協(xié)議解析顯然是不夠的；P2P技術(shù)流行，通過標(biāo)準(zhǔn)協(xié)議承載私有協(xié)議的半加密連接非常普遍，讓“防盜門”的作用越來越小，安全對于攝像頭監(jiān)控的依賴性越來越大;通過“制造”虛假同類流量，掩蓋自己的真實(shí)目的。比如滿大街的人都突然穿一種服裝，或去做同一件事情，即使這個(gè)事情是違法的,但在法不責(zé)眾的大環(huán)境下,也很難注意到真正的黑客是哪個(gè).隨著這種環(huán)境的出現(xiàn)，網(wǎng)絡(luò)上檢測分析的設(shè)備種類

6、增多了，市場上影響較大的如異常流量監(jiān)測、蠕蟲木馬監(jiān)測、DOS攻擊監(jiān)測等.其中蠕蟲監(jiān)測是互聯(lián)網(wǎng)運(yùn)營商非常關(guān)注的，作為網(wǎng)絡(luò)承載商,不能直接阻斷用戶的數(shù)據(jù),但對網(wǎng)絡(luò)木馬、蠕蟲、病毒的動(dòng)態(tài)監(jiān)控,是為高端用戶提供安全保障的基礎(chǔ).這些新變化的共同點(diǎn)是：監(jiān)控大都是采用旁路復(fù)制流量的方式，后臺進(jìn)行數(shù)據(jù)分析。IS的進(jìn)化方向:要生存，就要進(jìn)化，物競天擇是自然規(guī)律.D也不例外,總地來說，IDS產(chǎn)品的進(jìn)化需求是來自兩個(gè)方向:1、從技術(shù)角度看：網(wǎng)絡(luò)內(nèi)部監(jiān)控分析類產(chǎn)品需要整合,因?yàn)檫@些產(chǎn)品都是復(fù)制流量后進(jìn)行分析,只是分析的方式與監(jiān)控的目標(biāo)不同而已，如異常流量、蠕蟲木馬、以及審計(jì)，這有些象北京道路上安裝的若干攝像頭，有查看

7、交通流量的，有查車輛違章的，有平安城市監(jiān)測安全的大家分屬不同部門,分開管理,重復(fù)建設(shè)，整合是必然的。整合的意思有兩層:一是把這些產(chǎn)品集成到一起，用一個(gè)產(chǎn)品解決所有問題，大家需要的基礎(chǔ)信息都一樣，隨著處理器能力的提高、多核硬件結(jié)構(gòu)的產(chǎn)品化,性能上是不必?fù)?dān)心的。二是把物理采集功能整合到一起，從原來的產(chǎn)品中分離出來,只進(jìn)行公共的、初步的分析,然后分別交給后臺不同的系統(tǒng)，分析的任務(wù)送給上層。整合的結(jié)果是物理部署的設(shè)備明顯減少，這不僅維護(hù)成本降低,也有利于硬件性能的提升。2、從用戶角度看，入侵、異常流量、蠕蟲木馬的監(jiān)控都是為了發(fā)現(xiàn)黑客入侵或黑客的攻擊行為，對用戶來說是一樣的，只不過是更為細(xì)分的技術(shù)手段而已；早期分開設(shè)計(jì),無非是技術(shù)專注廠家的不同造成的,隨著硬件性能的提高，技術(shù)的成熟，如同UM是FW、IP、V、VP的進(jìn)化趨勢一樣，S、異常流量、蠕蟲木馬也將進(jìn)化到一起,我們可以稱它為威脅檢測(TD）.但是這樣只解決了來自黑客方面的威脅，對于內(nèi)部來說，自己的漏洞就是黑客關(guān)注的目標(biāo),能及時(shí)發(fā)現(xiàn)自己的漏洞就能減少黑客入侵成功的可能，因此漏洞掃描也將成為威脅檢測的功能之一。威脅檢測是相對于用戶來說的,意思就是來自黑客