从被动应战到主动防御

　　大约在两年前，IPS（入侵防护）的概念被推到了台前。由于IPS增加了对入侵的主动阻断功能，一时间IPS取代IDS（入侵检测）的呼声日渐高涨，而Gartner发表的“IDS将死、IPS获胜”言论更是让这两种技术的争斗达到了白热化。如今，距离“IDS灭亡论”发表已经有一年多时间了，那么IDS和IPS的现状又是如何？接下来，就让我们来逐一看个究竟。 近期，我们在《网络世界》网站（www.cnw.com.cn）上，围绕目前用户对IDS和IPS的应用及需求状况进行了调查，收到的大量读者反馈反映了人们对IDS和IPS的关注程度。我们从中选出100份有效问卷，根据问卷分析发现，59%的用户部署了IDS，27%的用户将IDS列入购买计划，62%用户在关注IPS，并且7%的用户有意向购买IPS，IDS和IPS在国内都呈现出繁荣发展的热闹景象。

　　IDS功过自有公论　

　　在国内，IDS没有受到“灭亡论”的太大影响，尤其是近年来，IDS在网络中的应用逐渐增多起来。在很多对安全等级要求很高的证券、金融以及电信的网络中，我们都能发现IDS的身影。一位证券公司的IT主管告诉记者，随着企业网络结构的不断扩大和日益复杂，由内部员工违规引起的安全问题变得突出起来，防火墙、防病毒等常规的安全手段只能对付外部入侵，而对于内部违规行为却无能为力，而IDS可以审计跟踪内部违反安全策略的行为。另一位汽车销售网的IT工程师认为，IDS可以记录、报警各种安全事件，有利于进行安全审计和事后追踪，对于追溯和阻止拒绝服务攻击能够提供有价值的线索。像证券公司IT主管和汽车销售网的IT工程师这样认为IDS的贡献大于麻烦的用户占53%。

　　联想信息安全的CTO刘科全告诉记者，促使IDS得到广泛应用的另一个因素是，Slammer、冲击波等针对系统漏洞的攻击不断增多，新的软件漏洞不断被发现，一些分析系统缺陷、编写攻击程序或制作蠕虫病毒的简单工具也在不断发展之中，从发现缺陷到释放出蠕虫病毒的时间间隔也在进一步缩短，用户需要一种可以检测攻击的有效工具，IDS就是其中的一种。

　　我们同时也看到，也有很多用户反应IDS带来的麻烦大于贡献。某经济研究院的信息中心刘主任告诉记者，IDS的误报率太高，只要一开机，便响个不停，在每天发出的上万条的报警信息中，真正有价值的信息却寥寥无几，而从上万条信息中挖掘出有用信息费时又费力，通常需要设立专人负责管理IDS，这在缺乏IT人才的企业中是很不现实的。刘主任的观点很具代表性，47%的用户持这种观点。

　　IDS的困惑

　　调查显示，误报和漏报严重、海量信息难以分析、难以与其他设备进行联动、难以部署、存在安全隐患是始终不离IDS左右的老问题（见图一）。其中，前两者是用户反应最为强烈的问题，各式各样的IDS设备都存在不同程度的误报和漏报现象。即使认为IDS贡献大的用户也同样遭遇误报和漏报的困扰，只不过在权衡误报、漏报以及检测入侵方面，这些用户更看重后者。海量信息难以分析也影响了用户对IDS的使用，36%的用户认为IDS存在少量信息难以分析。

　　对于误报和漏报，刘科全认为，这主要是与IDS检测机制的缺乏有关。综合运用多种检测机制，包括特征对比、协议异常分析等技术，可以显著降低IDS的误报和漏报，IDS同时需要引入数据挖掘技术、神经网络、专家分析系统等技术以提高信息分析能力。

　　除了上述不足之外，许多用户还对主机型IDS的安全性提出了置疑。目前的IDS可以分为主机型、网络型、混合型三种。混合型IDS已经不多见，已逐渐淡出市场。网络型IDS的原理是识别反映已知进攻，对异常行为模式进行统计分析，进行事后审计追踪，对安全事件发出报警。主机型IDS的原理是监视分析用户及系统活动，评估重要系统和数据文件的完整性，识别用户违反安全策略的行为，进行系统配置和弱点审计。在选择主机型产品还是网络型产品方面，92%的用户选择网络型的产品。由于主机型产品是以软件形式部署在服务器上，用户担心主机型IDS存在后门，会影响关键服务器的安全水平，同时会降低服务器的运行效率。

　　IDS需要提高

　　85%的用户不满足于IDS的现有功能，认为IDS仍有必要进一步改进功能。用户希望IDS能够按紧急程度不同发出报警、生成详细报告、分析攻击事件、真正实现与安全设备的联动（见图二）。中科院软件所的研究员冯登国认为，未来的IDS还需要面向宽带高速实时的网络环境，引入数据挖掘、分布式部署、免疫和神经网络技术，并且适应IPv6的技术要求。

　　IDS厂商并没有忽视用户需求，对IDS一直进行着改进。例如，启明星辰在天阗入侵检测与管理系统v6.0中，利用流量监控发现异常技术，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间的对应关系，给出入侵威胁和资产脆弱性之间的风险分析结果，能够有效管理安全事件并进行及时处理和响应。从功能上来看，天阗入侵检测与管理系统v6.0已不再是单纯的入侵检测系统，而体现了管理入侵的思想。赛门铁克将蜜罐诱捕技术引入IDS当中，增加IDS应对未知攻击的防护能力。

　　IPS主动保护脆弱系统

　　我们注意到，18%的用户希望IDS能够增加主动阻断攻击的能力，在危害出现时能够直接将其阻断。用户的这种希望并不是空穴来风，而是与当前的安全形势息息相关。系统漏洞屡屡被攻击，主动防御和应用安全的压力从来没有如此凸显过。一方面系统的复杂性在不断提高，几乎每周都会有系统缺陷被发现；另一方面利用高危缺陷进行入侵和传播的攻击技术也在快速发展，用户需要一种能够实时阻断攻击的安全技术。

　　从工作原理上来看，IDS技术属于被动式的反应式技术，这种技术在安全威胁传播速度较慢时并没有显现出太大问题，随着威胁传播速度的加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，这给IPS提供了市场机会。

　　从技术的同源性上来看，IPS和IDS之间有着千丝万缕的必然联系，IPS可以被视作是增加了主动阻断功能的IDS。例如McAfee的IntruShield以在线方式接入网络时就是一台IPS，而以旁路方式接入网络时就是一台IDS。但是，IPS绝不仅仅是增加了主动阻断的功能，而是在性能和数据包的分析能力方面都比IDS有了质的提升。

　　提升性能和检测准确率

　　厂商首先对于IPS的性能进行了精心打造，主要是借助ASIC芯片技术和软件加速技术来实现高性能，目前市场上IPS的性能可以达到千兆以上。

　　由于增加了主动阻断能力，检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。

　　据Juniper的工程师介绍，Juniper在IDP（Juniper将自己的入侵防护产品命名为IDP)中使用包括状态签名、协议异常、后门检测、流量异常、网络蜜罐、哄骗检测、第二层攻击检测、同步泛洪检测、混合式攻击检测在内的“多重检测技术”，以提高检测和阻断的准确程度。Juniper还在不断增加IDP能够解析的协议数量，最近将支持50种协议增加到60多种，不断为防止新型攻击开发新的检测方法。

　　除了检测机制外，IPS的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的，而对于另外的用户来说就是正常流量，这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段，以提高检测准确率。McAfee、Juniper、ISS同时都在IPS中提供了调优机制，使IPS通过自学习提高检测的准确性。

　　引入弱点保护技术

　　引入弱点分析技术是IPS的另一个亮点。IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征，使IPS能够主动保护脆弱系统。

　　由于软件漏洞是不法分子的主要攻击目标，所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee也于日前收购了从事漏洞研究的Foundstone公司，致力于把漏洞分析技术与入侵防护技术结合起来，使关键资源得到主动防护。Juniper设有一个专门的安全小组，密切关注新的系统弱点和蠕虫，每周都会发布攻击签名和基于严重等级的紧急签名更新，Juniper提供的攻击签名是基于弱点和安全漏洞，而不仅仅是黑客已经使用并且造成破坏的安全弱点。

　　McAfee公司北亚区技术总监陈联告诉记者，目前严重的安全事件大多数是由缓冲区溢出所导致，McAfee在自己的实验里加强了对溢出型漏洞的研究和跟踪，并且把针对溢出型攻击的相应防范手段推送到IPS设备的策略库中。这项缓冲区溢出分析技术使得McAfee的IPS设备能够检测七层的数据包，实现对应用的主动保护。

　　无独有偶，赛门铁克在IPS设备中采用了漏洞阻截技术。通过研究漏洞特征，将其加入到漏洞签名库中，IPS就可以发现符合漏洞特征的所有攻击流量。冲击波及其变种都利用了RPC（微软操作系统的一个漏洞）漏洞。赛门铁克通过研究并提取RPC漏洞的特征，组成特征签名并将其推送给IPS设备。在公布漏洞和病毒爆发的一段间隔里，用户只需将漏洞特征签名自动下载，就可以在冲击波及其变种大规模爆发时，直接将其阻断，从而赢得打补丁的关键时间。

　　网络型产品受偏爱

　　与IDS的分类相似，IPS可以分为主机型和网络型两种。在主机型IPS与网络型IPS的选择方面， 92%的用户倾向于选择基于网络的IPS，只有8%的用户打算选择主机型的IPS。

　　基于主机的入侵防护是一种软件，位于一台服务器上，能够阻止网络攻击，保护操作系统和应用。这种技术可以采用基于事先确定的规则或者自学习的行为分析策略，来阻挡恶意服务器或PC行为，阻止攻击者进行缓存溢出攻击、修改注册表，改写动态链接库或者通过其他方法获得操作系统的控制权。

　　主机型IPS可以作为截取应用和底层操作系统之间通信的软件“过滤器”。主机型IPS的这一特点是把双刃剑，使得用户在选择这类产品时格外慎重。一位电信研究院的信息主管告诉记者，关键服务器上通常运行着重要应用，主机型的IPS通常能够具有操作系统级的文件控制权，这会给关键服务器带来新的安全隐患，这使得企业在部署主机型的IPS时小心翼翼。

　　陈联解释说，主机型IPS能够防止服务器的弱点被利用，不过因为服务器平台已经运行了包括防病毒软件在内的多种安全应用，所以主机型IPS的普及速度比不上网络型IPS。

　　作为一种主动、积极的入侵阻断系统，网络型IPS部署在网络的进出口，预先对入侵活动和攻击性流量进行拦截，避免其造成任何损失。网络型IPS是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将网络流量传送到内部系统中。这样一来，有问题的数据包以及所有来自同一数据流的后续数据包，都能够在网络型IPS设备中被清除掉。由于网络型IPS能够在线实时去除恶意流量，具有状态检测的功能，综合检测多种入侵攻击，同时不需要设立IP地址就可以透明地连接到网络上，不会对用户网络和系统造成影响，因而受到用户的青睐。

　　如何选择IPS

　　市场上既有独立的IPS设备，如ISS的Proventa系列、McAfee的IntruShield系列、Juniper的IDP系列，也有安全厂商将入侵防护的功能集成到安全设备当中，例如赛门铁克、WatchGuard、SonicWall等都将入侵防护作为一个功能模块集中到自己的安全网关设备当中。独立的设备和集合式的网关各有优点和不足。

　　陈联认为，独立的设备在性能方面有保障，还有助于进一步进行功能扩展。McAfee计划在IPS设备中添加ACL等功能，使其主动阻止入侵的特点更加鲜明，而Juniper也打算将防火墙、VPN、IDP集成为一个产品。

　　在面对集成形式的IPS时，用户通常会有三种疑虑：一是当多种安全功能整合在一起时，每台设备会增加开销；二是当多种安全功能组合在一起时，设备管理变得更加困难；三是设备的性能会受到影响。赛门铁克的技术经理郭训平认为，集成产品不是简单的堆砌，而是深度整合，所以在功能上不但不会损失反而还会加强，而适当开启和关闭某些功能模块可以使这种集成产品保持出色的性能。

　　除了考虑IPS的实现形式外，陈联建议用户从性能、检测准确性以及稳定性三方面入手选择IPS。首先，由于IPS是以在线方式接入网络的，这就要求IPS必须具有一定的性能，不会拦截合法流量，不会过度影响网络或主机的性能。如果IPS的性能对合法流量产生了瓶颈作用，那么就不是一款合格的产品。其次，检测的准确度反映了IPS 是否会拦截合法流量以及是否能够对多数常见攻击进行检测和拦截，如果一个 IPS设备会拦截合法流量的话，就不能称为一个合格的嵌入式IPS设备。面对多种常见的逃避技术时，IPS是否依然能够检测和拦截基本的攻击，这对用户具有重要意义。对于IPS设备来说，设备故障可能导致网络崩溃，因此IPS的稳定性对于保护网络的正常运行至关重要。

　　Juniper的工程师认为，延时和响应时间也是考察IPS的一项重要指标。不同IPS的延时和响应时间是不同的，进而所起的保护作用也是有区别的，用户需要弄清自己所能接受的IPS的最高延迟时间。

　　某证券机构在几个月前，通过天刚数码购买了Juniper IDP设备。该证券公司的IT主管夏先生认为一个出色入侵防护的系统应该符合三项标准：一是不阻碍日常流量，网络型IPS不应影响到网络性能和产生延迟效应，主机型IPS则不得占用10%以上的系统资源；二是应当采用多种算法，不能局限于提供类似于防病毒功能的阻断方式；三是最好能够分辨攻击事件和正常事件，能够提醒管理人员可疑事件，以便做进一步调查。

　　IPS的五大作用

　　◆阻断利用系统漏洞进行传播的病毒和蠕虫

　　◆ 阻止拒绝服务攻击

　　◆ 对付试探扫描

　　◆ 对付未知攻击和“零日攻击”

　　◆ 保护在线应用

　　编看编想

　　IPS只是主动防护的一部分

　　◆ 宋丽娜

　　当国外用户在为选择哪种品牌的IPS而发愁时，大多数国内用户还在IDS和IPS之间难以抉择。不过，国内高端用户（如电信、金融等）对IPS的接受之快还是出乎从事IPS研究的厂商意料之外。IPS市场的启动与主动防御理论的接受程度息息相关，在国外，IPS已被广泛接受，而在国内，IPS的市场仍在教育和培养之中。

　　在采访中，有专家认为，入侵防护应该是由多种安全设备组成的安全体系共同来实现，而不是由IPS这种设备单独来完成，IPS只是主动防护的一部分，而不是主动防护的全部。东软信息安全的曹斌博士就持这种观点。持这种观点的专家指出，主动防护系统还需要加入应用级防火墙与应用级IDS，应用级的IDS产品能够重组信息流，跟踪应用会话过程，并准确描述和识别攻击，而应用级的防火墙能够阻断向应用层发起的攻击，保护Web应用。其实，上述这种观点是有渊源的。早在2001年，Check Point、天融信等厂商所提倡的防火墙和IDS的联动，就是希望通过不同设备的分工配合实现主动防护的功效，只是这种联动实现起来还存在一定困难，需要厂商找到提高联动效率和协同准确性的有效途径。

　　在这里仍有必要为饱受争议的IDS再说几句公道话，在主动防御渐入人心之时，担当网络警卫的IDS的报警作用更加重要。尽管IDS功过参半，但是IDS的报警功能仍是主动防御系统所必需的，也许IDS的产品形式会消失，但是IDS的检测功能并不会因形式的消失而消失，只是逐渐被转化和吸纳到其他的安全设备当中。