内容提要:public string SafeRequest(string ParaName,int ParaType) { string ParaValue=''; ParaValue=ParaName; if (ParaType==1) { if(!(IsNumeric(ParaValue))) { ParaValue='0'; …… |
Gartner在去年8月的一份研究报告中认为,如今的入侵检测系统(IDS)已经难以适应客户的需要。IDS不能提供附加层面的安全,相反增加了企业安全操作的复杂性。入侵检测系统朝入侵预防系统(IPS)方向发展已成必然。实际上,可将IDS与IPS视为两类功能互斥的分离技术:IPS注重接入控制,而IDS则进行网络监控;IPS基于策略实现,IDS则只能进行审核跟踪;IDS的职责不是保证网络安全,而是告知网络安全程度几何。
IPS不仅仅是IDS的演化,它具备一定程度的智能处理功能,能实时阻截攻击。传统的IDS只能被动监视通信,这是通过跟踪交换机端口的信息包来实现的;而IPS则能实现在线监控,主动阻截和转发信息包。通过在线配置,IPS能基于策略设置舍弃信息包或中止连接;传统的IDS响应机制有限,如重设TCP连接或请求变更防火墙规则都存在诸多不足。
IPS工作原理
真正的入侵预防与传统的入侵检测有两点关键区别:自动阻截和在线运行,两者缺一不可。预防工具(软/硬件方案)必须设置相关策略,以对攻击自动作出响应,而不仅仅是在恶意通信进入时向网络主管发出告警。要实现自动响应,系统就必须在线运行。
当黑客试图与目标服务器建立会话时,所有数据都会经过IPS传感器,传感器位于活动数据路径中。传感器检测数据流中的恶意代码,核对策略,在未转发到服务器之前将信息包或数据流阻截。由于是在线操作,因而能保证处理方法适当而且可预知。
与此类比,通常的IDS响应机制(如TCP重置)则大不相同。传统的IDS能检测到信息流中的恶意代码,但由于是被动处理通信,本身不能对数据流作任何处理。必须在数据流中嵌入TCP包,以重置目标服务器中的会话。然而,整个攻击信息包有可能先于TCP重置信息包到达服务器,这时系统才做出响应已经来不及了。重置防火墙规则也存在相同问题,处于被动工作状态的IDS能检测到恶意代码,并向防火墙发出请求阻截会话,但请求有可能到达太迟而无法防止攻击发生。
IPS检测机制
事实上,IDS和IPS中真正有价值的部分是检测引擎。IPS存在的最大隐患是有可能引发误操作,这种“主动性”误操作会阻塞合法的网络事件,造成数据丢失,最终影响到商务操作和客户信任度。
IDS和IPS对攻击的响应过程
为避免发生这种情况,一些IDS和IPS开发商在产品中采用了多检测方法,最大限度地正确判断已知和未知攻击。例如,Symantec的ManHunt IDS最初仅依赖于异常协议分析,后来升级版本可让网管写入Snort代码(Sourcefire公司开发的一种基于规则的开放源码语言环境,用于书写检测信号)增强异常检测功能。Cisco最近也对其IDS软件进行了升级,在信号检测系统中增加了协议和通信异常分析功能。NetScreen的硬件工具则包含了8类检测手段,包括状态信号、协议和通信异常状况以及后门检测。
值得一提的是,Snort系统采用的是基于规则的开放源代码方案,因而能方便识别恶意攻击信号。Snort信号系统为IDS运行环境提供了很大的灵活性,用户可依据自身网络运行情况书写IDS规则集,而不是采用通用检测方法。一些商业IDS信号系统还具备二进制代码检测功能。
减少主动性误操作
集成多类检测方法能增加IDS和IPS检测攻击的种类和数量,但仍无法避免误操作。主动性误操作是IPS应解决的首要问题,因为对合法通信的阻截会造成很多负面影响。
解决主动性误操作的有效方法是进行通信关联分析,也就是让IPS全方位识别网络环境,减少错误告警。这里的关键在于要将琐碎的防火墙日志记录、IDS数据、应用日志记录以及系统弱点评估状况收集到一起,合理推断出将发生哪些情况,并做出合适响应。
对网络运行环境的综合细致评估对发现致命攻击和查找潜在漏洞具有实质意义。目前,已有IDS开发商采用该项技术,它能帮助网络主管收集通信关联信息,从而提高IDS效率。Cisco声称其开发的Cisco威胁响应(CTR)技术能消除高达95%的错误告警。
CTR由Cisco旗下的Psionic软件公司开发。CTR安装于专用服务器中,该服务器位于IDS传感器与IDS管理控制平台之间,当传感器发出告警时,CTR便扫描目标主机,以确定触发告警的攻击是否会给系统带来不利影响。CTR能进行快速简单分析,如搜索开放端口、精确识别操作系统,或查找活动通信。更进一步的是,它还能扫描注册设置、事件日志记录和系统补丁工作状况,以确定目标主机是否易受攻击。如果CTR检测到主机易受攻击或攻击发生,便提升事件告警级别,向控制台发出最高优先级处理请求。
系统保护更受关注
如今很多IDS开发商更多地关注的是系统保护而不仅仅是检测功能。ISS认为,系统保护应同时包含预防和检测