摘 要 随着计算机网络的飞速发展,网络安全越来越受到人们的重视。本文从入侵检测技术的发展入手,研究和分析了IPS及IMS技术,最后提出了网络安全技术的发展方向――网络安全管理。
关键词 IDS;IPS;IMS;网络安全;管理
1 引言
随着计算机网络的飞速发展,网络安全风险系数不断提高,曾经作为最主要安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。
IDS作为网络安全架构中的重要一环,其重要地位有目共睹。随着技术的不断完善和更新,IDS正呈现出新的发展态势,IPS(入侵防御系统)和IMS(入侵管理系统)就是在IDS的基础上发展起来的新技术。
2 网络入侵检测技术的发展
网络入侵检测技术发展到现在大致经历了三个阶段:
第一阶段:入侵检测系统(IDS),IDS能够帮助网络系统快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。但是IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻止在网络之外。
第二阶段:入侵防御系统(IPS),相对与IDS比较成熟的技术,IPS还处于发展阶段,IPS综合了防火墙、IDS、漏洞扫描与评估等安全技术,可以主动的、积极的防范、阻止系统入侵,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断,这样攻击包将无法到达目标,从而可以从根本上避免攻击。
第三阶段:入侵管理系统(IMS),IMS技术实际上包含了IDS、IPS的功能,并通过一个统一的平台进行统一管理,从系统的层次来解决入侵行为。
3 IPS研究与分析
IPS是针对IDS的不足而提出的,因此从概念上就优于IDS。IPS相对与IDS的进步具体体现在:
(1)在IDS阻断功能的基础上增加了必要的防御功能,以减轻检测系统的压力;
(2)增加了更多的管理功能,如处理大量信息和可疑事件,确认攻击行为,组织防御措施等;
(3)在IDS监测的功能上增加了主动响应的功能,一旦发现有攻击行为,立即响应,主动切断连接;
(4)IPS以串联的方式取代IDS的并联方式接入网络中,通过直接嵌入到网络流量中提供主动防护,预先对入侵活动和攻击性网络流量进行拦截。
3.1 IPS关键技术研究
IPS通常由探测器和管理器组成。探测器包括流量分析器、检测引擎、响应模块、流量调整器等主要部件,如图1所示:
由于IPS采用串连工作方式,流量分析器需要完成三个基本的功能:
(1)截获网络数据包并处理异常情况。异常数据包不一定是恶意攻击,但通过合适的方式处理掉,就可以为检测引擎省去一些不必要的处理工作。例如,流量分析器丢弃校验和出错的数据包,以后检测引擎就不必要处理这样的坏包。
(2)剔除基于数据包异常的规避攻击。例如,分析器可以根据它对目标系统的了解,进行数据包的分片重组,还可以处理协议分析或校正异常等,从而识别规避攻击。
(3)执行类似防火墙的访问控制,根据端口号IP地址阻断非法数据流。
检测引擎是IPS中最有价值的部分,一般都基于异常检测模型和滥用检测模型,识别不同属性的攻击。IPS存在的最大隐患是有可能引发误操作,这种“主动性”误操作会阻塞合法的网络事件,造成数据丢失,最终影响到商务操作和客户信任度。为避免发生这种情况,IPS中采用了多种检测方法,最大限度地正确判断已知和未知攻击。有些IPS检测引擎的模块则已细化到针对缓冲区溢出、DDoS/DoS、网络蠕虫的检测。
响应模块需要根据不同的攻击类型制定不同的响应策略,如丢弃数据包、中止会话、修改防火墙规则、报警、日志等。
流量调整器主要完成两个功能:数据包分类和流量管理。目前,大部分IPS根据协议进行数据包分类,未来将提供具体到根据用户或应用程序进行数据包分流的功能,通过对数据包设置不同的优先级,优化数据流的处理。
图2反映了IPS对攻击响应的过程:
当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2 (介质访问控制层)至Layer 7(应用层)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,而包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。
3.2 IPS的优势与局限性
IPS是针对IDS不能提供主动拒绝的特点而提出的一种新的安全技术,主要具有以下优点:
(1)主动、实时预防攻击。IPS提供对攻击的实时预防和分析,能够在任何未授权活动开始前找出攻击,并防止它进入重要的服务器资源。
(2)保护每个重要的服务器。通过配置IPS,可以设定对服务器的专门保护方案,从而为企业的重要的资源提供深层防护。
(3)误报和漏报率低。虽然仍然无法做到完全不误报漏报,但是相对于IDS已经提高了一大步。
(4)深层防护。IPS可进行深层防护。
(5)可管理性。IPS可使安全设置和政策被各种应用程序、用户组和代理程序利用。
虽然IPS相对与IDS的优势明显,但是它与IDS一样,需要解决网络性能、安全精确度和安全效率问题。首先,IPS系统需要考虑性能,即需要考虑发现入侵和作出响应的时间。IPS设备以在线方式直接部署在网络中,无疑会给网络增加负荷,给数据传输带来延时。为避免成为瓶颈,IPS系统必须具有线速处理数据的能力,能够提供与2层或者3层交换机相同的速度,而这一点取决于IPS的软件和硬件加速装置。除了网络性能之外,IPS还需要考虑安全性,尽可能多得过滤掉恶意攻击,这就使IPS同样面临误报和漏报问题。在提高准确性方面,IPS面临的压力更大。一旦IPS做出错误判断,IPS就会放过真正的攻击而阻断合法的事务处理,从而造成损失。另外IPS还存在一些其它的弊端:IPS比较适合于阻止大范围的、针对性不是很强的攻击,但对单独目标的攻击阻截有可能失效,自动预防系统也无法阻止专门的恶意攻击者的操作;IPS还不具备足够智能识别所有对数据库应用的攻击。
4 网络安全的发展方向——IMS
IMS技术实际上包含了IDS、IPS的功能,并通过一个统一的平台进行统一管理,从系统的层次来解决入侵行为。IMS技术是一个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。
IMS具有大规模部署、入侵预警、精确定位以及监管结合四大典型特,这些特征本身具有一个明确的层次关系。首先,大规模部署是实施入侵管理的基础条件,一个有组织的完整系统通过规模部署的作用,要远远大于单点系统简单的叠加,IMS对于网络安全监控有着同样的效用,可以实现从宏观的安全趋势分析到微观的事件控制。第二、入侵预警。检测和预警的最终目标就是一个“快”,要和攻击者比时间。只有减小这个时间差,才能使损失降低到最小。要实现这个“快”字,入侵预警必须具有全面的检测途径,并以先进的检测技术来实现高准确和高性能。入侵预警是IMS进行规模部署后的直接作用,也是升华IMS的一个非常重要的功能。第三、精确定位。入侵预警之后就需要进行精确定位,这是从发现问题到解决问题的必然途径。精确定位的可视化可以帮助管理人员及时定位问题区域,良好的定位还可以通过联运接口和其它安全设备进行合作抑制攻击的继续。IMS要求做到对外定位到边界,对内定位到设备。第四、监管结合。监管结合就是把检测提升到管理,形成自改善的全面保障体系。监管结合最重要的是落实到对资产安全管理,通过IMS可以实现对资产风险的评估和管理。监管结合是要通过人来实现但并不意味着大量的人力投入,IMS具备良好的集中管理手段来保证人员的高效,同时具备全面的知识库和培训服务,能够有效提高管理人员知识和经验,保证应急体系的高效执行。
网络安全防护技术发展到IMS阶段,已经不再局限于某类简单的产品了,它是一个网络整体动态防御的体系,对于入侵行为的管理体现在检测、防御、协调、管理等各个方面,通过技术整合,可以实现“可视+可控+可管”,形成综合的入侵管理系统。它的分析技术将以协议分析为核心,以模式匹配为必备,以异常检测为补充。要求不仅仅对于入侵检测的数学模型、数据挖掘了如指掌,更重要的对于数据理解、数据认知等方面也必须深入发展。图3分析了入侵管理的过程:
网络安全不是目标而是过程,网络安全的本质是“风险管理”。“入侵管理(IMS)”概念的提出与相应的产品与服务出现,则可以帮助用户建立一个动态的纵深防御体系,把握整体网络安全全局。
5 结束语
从IPS到IMS,增加了管理的概念,这也正是网络安全的发展方向。在这个网络安全问题越来越严重的社会,网络安全需要多层次系统的管理,网络安全的目标是保护核心资产完整性,将可能发生的损失减到最小,投资回报率最大化,确保业务的连续运行。现在所说的安全已经不是单独一个产品所能解决的问题,需要多种安全工具的协同合作,IMS概念的提出与相应产品及服务的出现,可以帮助用户建立一个动态的纵深防御体系,从整体上把握网络安全。
参考文献
[1] [美]Chris Brenton,Cameron Hunt.网络安全积极防御从入门到精通.北京:电子工业出版社,2004 .
宋献涛,纪勇.网络防护:网络防护:从IDS到IPS.计算机安全,2003.11:26~28.
李学勇,屠全良.网络入侵防御系统介绍.太原大学学报,2003.9:30~34.
刘恒.网络呼唤IMS.计算机安全,2003.12.03:24~25.