文章来源:信息安全与通信保密
以IDS为代表的检测技术和以防火墙为代表的访问控制技术,从根本上来说是两种截然不同的技术行为。IDC技术自诞生以来发展非常迅速,大有逼近防火墙的态势。
然而一段时间以来,关于IDC的是非功过微词渐起。著名评估机构Gartner甚至指出,传统的IDS产生过多的误报,且不能检查出未知的威胁。它在高速环境中容易受到威胁,在连续模式匹配方案中也有困难。为此,Gartner建议用户放弃IDS,转而把资金投向防火墙等更好的策略上。Gartner认为,IDS实际上只是给用户增添了麻烦,因为它带来漏报和误报的问题,并且因要求不间断的监控,从而增加了系统负担。与之相应的是,IPS系统乘机泛起。
由此可见,传统IDS遭遇不满的根源在于,人们对IDS的“漏报”和“误报”,同时,也来自对IDS仅能报警而不能采取实际阻断攻击的措施的功能局限。于是,一些厂商推出了“防火墙+IDS”联动的模式,试图改变IDS的形象。然而,经过一段时间的实际应用,这种模式正在逐渐失去生命力:如果IDS的核心问题──“漏报”和“误报”不解决,联动只能增加网络管理员的新麻烦,引起网络的新故障,这是谁都不愿意面对的局面。
于是,IDS如何进行创新,就成为各厂商追逐的目标。
东软网络入侵检测系统NetEye IDS 2.2,以“网络安全问题是一个完整的过程,而不是一个孤立的事件”为核心设计思想,针对目前网络蠕虫病毒大规模泛滥、内部人员对网络资源滥用、网络故障引起的网络健康问题等情况,开始倡导“全面关注网络健康”的网络管理理念。这一全新的IDS产品去年5月推出,在性能上取得了很大突破,除了更加强大攻击检测功能外,还提供同类产品中少有的网络内容恢复、网络应用审计、网络实时监控、网络主动扫描等强大功能。其易用性、易维护性、可部署性以及降低用户总拥有成本等方面具有明显的优势。“过去,攻击检测是IDS功能的全部。而今天,它只是IDS的一个重要方面,而不是全部,IDS要实现全面关注网络健康问题,还应该能对检测的内容进行有效管理。我们赢得用户的心关键在于赢在为用户提供务实高效的应用上” 东软网络安全事业部IDS产品经理周阳表示。
事实上,经过一年多来在金融、电力、公安等行业推广应用,东软NetEye IDS已经得到了用户的广泛认可。根据国内外权威调研机构安全报告显示,2004年东软IDS市场占有率名列国内品牌前三位,使东软成为首家在防火墙和IDS两个领域都取得领先地位的中国唯一一家安全厂商。那么东软NetEye IDS玄机何在呢?
加强攻击检测
攻击检测依然是衡量一个IDS是否有效的关键指标。这一点对所有的IDS都是一样的,其关键点是减少IDS系统的顽症──“漏报”和“误报”。 NetEye IDS 2.2在2.1的基础上进行了进一步优化,利用独特的数据包截取技术对网络进行不间断的监控,采用基于网络数据流的实时智能分析技术,能轻松处理分片和乱序数据包,综合使用包括攻击模式匹配、统计分析、协议分析、行为分析等多种方法,来判断来自网络内部和外部的入侵企图,因此,可以检测1700种以上的攻击与入侵行为。
增加内容恢复和应用审计
过去,攻击检测是IDS功能的全部。而今天,东软网络入侵检测系统NetEye IDS 2.2突破了传统常规,它只是IDS的一个重要方面,而不是全部,IDS要实现全面关注网络健康问题,还应该能对检测的内容进行有效管理。
NetEye IDS 2.2新增加了内容恢复和应用审计功能。它能针对常用的多种应用协议,比如Http、Ftp、Smtp、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo MSG等进行内容恢复,能完全记录通信的全部过程与内容,并将其回放。此功能对于了解攻击者的攻击过程、监控内部网络中的用户是否滥用网络资源,发现未知的攻击具有很大的作用。例如,在恢复Http的通信内容时,可恢复文本、图形等。而应用内容的审计则可发现内部的攻击,了解哪些人员查看了哪些不该查看的内容。东软网络入侵检测系统NetEye IDS 2.2
的功能包括了目前的专业安全审计产品的大部分内容,用户购买了IDS后,可以完全不必再购买专业的审计产品。
融合网管
网络管理和网络安全二者殊途同归,都是为了保障用户网络的健康运转。为了方便网络管理人员,NetEye IDS 2.2的网络安全管理平台除了提供IDS的用户输入输出界面外,还集成了网管员最常用到的一部分管理功能。它可以收集网络用户信息,包括IP地址、MAC地址、用户名等,帮助网管员解决IP地址冲突等网络故障。它还可以收集网络中主机的操作系统版本号信息,帮助网管员确定网络中的补丁升级情况。NetEye IDS 2.2的网络安全管理平台集成了嗅探器和扫描器工具,免去了网管员想分析数据包时还要再启sniffer等等诸如此类的麻烦。此外,管理平台还可实时监控网络的当前流量状况,便于用户发现网络异常,定位网络故障。总之,通过集成这些网管功能,NetEye IDS 2.2将极大地提高网管员的工作效率。
对网络实时监控
对于像Sniffer这样的网络检测工具,一般的网络管理人员并不陌生,因为,它在检查网络故障方面,具有非常重要的作用。而实时监测网络流量异常,并及时发现攻击行为,应该是IDS基本特征,为此,东软特在NetEye IDS 2.2中增加了对网络实时监控和诊断的功能,能对全网络进行主动扫描,实时发现网络中的异常,并给出详细的检测报告。
增加了内容回放和网络实时监控的IDS已经完全超越了以往简单进行攻击检测的IDS概念,它增加的强大功能,无疑将使IDS成为全面的网络故障分析仪、网络安全探测仪。东软认为“IDS是一种主动发现网络隐患的安全技术。作为防火墙的合理补充,入侵检测技术应该能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力,包括安全审计、监视、攻击识别和响应,提高信息安全基础结构。因此,IDS应该能够识别黑客常用的入侵与攻击手段、监控网络的异常通信、鉴别对系统漏洞及后门的利用,完善网络安全管理。”
提供务实有效安全保障
东软用户之一杭州网监中心对NetEye IDS 2.2的使有着较深的体会。该中心陈华冠表示:“根据杭州网监中心前期统计数字,73%左右的网络安全问题都是由系统内部引起的。俗话说,日防夜防,家贼难防。内部人员对系统十分了解,也掌握一定技术,因此比外贼更厉害。且事实上,外部高手对于中国的网络系统其实是有着几分不屑的,认为缺乏难度和挑战度的网络现状不能让其获得成功攻破的满足感。”正是因此,杭州网监的监察工作自1993年开始以来就一直相当重视“内防”,比如人员管理、制度管理、监督检察等等,并在数据流上进行双向监控。采用了东软NetEye IDS 2.2以后,能够有效监控内部网络中的用户是否滥用了网络资源,并通过审计能够及时发现未知攻击,从而扩大了网络防御的纵深,构成了防火墙之后的第二道安全闸门。
作为信息安全的骨干企业,东软在技术方面的每一个新举措都不例外地受到人们的关注。东软NetEye IDS 2.2在此项技术上的创新,是对IDS发展的有益拓展,因为在相当一段时间,IDS还将在市场上有所作为。