IDS(入侵检测)与IPS(入侵防御)的争议自去年开始就甚嚣尘上,很多厂商坚持声称IDS即将灭亡,而很多厂商坚持IDS依然具有旺盛的生命力,并声称,IDS在新形势下,其内涵也在发生变化。近日,东软集团推出的NetEye IDS 2.2版增加了许多新的功能,极大地扩展了IDS的实用性。
IDS变化的驱动力来自人们对IDS的“漏报”和“误报”的不满,同时,也来自对IDS仅能报警而不能采取实际阻断攻击的措施的功能局限。于是,一些厂商推出了“防火墙+IDS”联动的模式,试图改变IDS的形象。然而,经过一段时间的实用,这种模式正在逐渐失去生命力:如果IDS的核心问题——“漏报”和“误报”不解决,联动只能增加网络管理员的新麻烦,引起网络的新故障,这是谁都不愿意面对的局面。
于是,IDS如何进行创新,就成为各厂商追逐的目标。
东软集团最近在上海发布了最新版的网络入侵检测系统NetEye IDS 2.2,以“网络安全问题是一个完整的过程,而不是一个孤立的事件”为核心设计思想,针对目前网络蠕虫病毒大规模泛滥、内部人员对网络资源滥用、网络故障引起的网络健康问题等情况,开始倡导“全面关注网络健康”的网络管理理念。
加强攻击检测
攻击检测依然是衡量一个IDS是否有效的关键指标。这一点对所有的IDS都是一样的,其关键点是减少IDS系统的顽症——“漏报”和“误报”。 NetEye IDS 2.2在2.1的基础上进行了进一步优化,利用独特的数据包截取技术对网络进行不间断的监控,采用基于网络数据流的实时智能分析技术,能轻松处理分片和乱序数据包,综合使用包括攻击模式匹配、统计分析、协议分析、行为分析等多种方法,来判断来自网络内部和外部的入侵企图,因此,可以检测1700种以上的攻击与入侵行为。
增加内容恢复和应用审计
“过去,攻击检测是IDS功能的全部。而今天,它只是IDS的一个重要方面,而不是全部,IDS要实现全面关注网络健康问题,还应该能对检测的内容进行有效管理。”东软集团网络安全事业部总经理曹斌博士说。
为此,NetEye IDS 2.2新增加了内容恢复和应用审计功能。
它能针对常用的多种应用协议,比如Http、Ftp、Smtp、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo MSG等进行内容恢复,能完全记录通信的全部过程与内容,并将其回放。此功能对于了解攻击者的攻击过程、监控内部网络中的用户是否滥用网络资源,发现未知的攻击具有很大的作用。例如,在恢复Http的通信内容时,可恢复文本、图形等。而应用内容的审计则可发现内部的攻击,了解哪些人员查看了哪些不该查看的内容。
“事实上,IDS的功能包括了目前的专业安全审计产品的大部分内容,用户购买了IDS后,可以完全不必再购买专业的审计产品。”曹斌博士说。
对网络实时监控
对于像Sniffer这样的网络检测工具,一般的网络管理人员并不陌生,因为,它在检查网络故障方面,具有非常重要的作用。而实时监测网络流量异常,并及时发现攻击行为,应该是IDS基本特征,为此,东软特在NetEye IDS 2.2中增加了对网络实时监控和诊断的功能,能对全网络进行主动扫描,实时发现网络中的异常,并给出详细的检测报告。
增加了内容回放和网络实时监控的IDS已经完全超越了以往简单进行攻击检测的IDS概念,它增加的强大功能,无疑将使IDS成为全面的网络故障分析仪、网络安全探测仪。当记者询问,这是否是IDS产品未来的发展方向时,曹斌博士回答,一定是这样。他说:“IDS是一种主动发现网络隐患的安全技术。作为防火墙的合理补充,入侵检测技术应该能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力,包括安全审计、监视、攻击识别和响应,提高信息安全基础结构。因此,IDS应该能够识别黑客常用的入侵与攻击手段、监控网络的异常通信、鉴别对系统漏洞及后门的利用,完善网络安全管理。”