(青海廣播電視大學(xué)青海西寧810008)

摘要網(wǎng)絡(luò)安全需要多層次系統(tǒng)的管理，網(wǎng)絡(luò)安全的目標(biāo)是保護(hù)核心資產(chǎn)完整性，將可能發(fā)生的損失減到最小，投資回報(bào)率最大化，確保業(yè)務(wù)的連續(xù)運(yùn)行。從IPS到IMS，增加了管理的概念，可以幫助用戶建立一個(gè)動(dòng)態(tài)的縱深防御體系，從整體上把握網(wǎng)絡(luò)安全。

關(guān)鍵詞IDS；IPS；IMS；網(wǎng)絡(luò)安全管理

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高，曾經(jīng)作為最主要安全防范手段的防火墻，已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。IDS(入侵檢測(cè)系統(tǒng))是一種網(wǎng)絡(luò)安全系統(tǒng)，當(dāng)有惡意用戶試圖通過(guò)Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)，IDS能夠檢測(cè)出來(lái)，并進(jìn)行報(bào)警，通知網(wǎng)絡(luò)該采取措施進(jìn)行響應(yīng)。專業(yè)上講IDS就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。我們做一個(gè)形象的比喻：假如防火墻是一幢大樓的門(mén)鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。不同于防火墻的是：IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽(tīng)設(shè)備，沒(méi)有跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。

一、入侵檢測(cè)系統(tǒng)(IDS)概念

入侵檢測(cè)的定義為：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體(如“黑客”)或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問(wèn)系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測(cè)任務(wù)的程序即是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。入侵檢測(cè)一般分為三個(gè)步驟：信息收集、數(shù)據(jù)分析、響應(yīng)。

二、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的發(fā)展

網(wǎng)絡(luò)入侵檢測(cè)技術(shù)發(fā)展大致經(jīng)歷了三個(gè)階段：

第一階段：入侵檢測(cè)系統(tǒng)(IDS)能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。但是IDS只能被動(dòng)地檢測(cè)攻擊，而不能主動(dòng)地把變化莫測(cè)的威脅阻止在網(wǎng)絡(luò)之外。

第二階段：入侵防御系統(tǒng)(IPS)，相對(duì)與IDS比較成熟的技術(shù)，IPS還處于發(fā)展階段，IPS綜合了防火墻、IDS、漏洞掃描與評(píng)估等安全技術(shù)，可以主動(dòng)的、積極的防范、阻止系統(tǒng)入侵，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，這樣攻擊包將無(wú)法到達(dá)目標(biāo)，從而可以從根本上避免攻擊。

第三階段：入侵管理系統(tǒng)(IMS)，IMS技術(shù)實(shí)際上包含了IDS、IPS的功能，并通過(guò)一個(gè)統(tǒng)一的平臺(tái)進(jìn)行統(tǒng)一管理，從系統(tǒng)的層次來(lái)解決入侵行為。

IDS作為網(wǎng)絡(luò)安全架構(gòu)中的重要一環(huán)，其重要地位有目共睹。隨著技術(shù)的不斷完善和更新，IDS正呈現(xiàn)出新的發(fā)展態(tài)勢(shì)，IPS(入侵防御系統(tǒng))和IMS(入侵管理系統(tǒng))就是在IDS的基礎(chǔ)上發(fā)展起來(lái)的新技術(shù)。

三、IDS的功能與缺陷

IDS本質(zhì)上是一種監(jiān)聽(tīng)系統(tǒng)，它依照一定的安全策略，對(duì)網(wǎng)絡(luò)與系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)測(cè)，盡可能發(fā)現(xiàn)、報(bào)告、記錄各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證信息系統(tǒng)的機(jī)密性、完整性和可用性。

1、IDS的傳統(tǒng)優(yōu)勢(shì)

(1)整體部署，實(shí)時(shí)檢測(cè)，可根據(jù)用戶的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型，對(duì)用戶當(dāng)前的操作進(jìn)行判斷，及時(shí)發(fā)現(xiàn)入侵事件。

(2)對(duì)于入侵與異常不必做出阻斷通信的決定，能夠從容提供大量的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)，有利于在事后入侵分析中評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。

(3)獨(dú)立于所檢測(cè)的網(wǎng)絡(luò)，黑客難于消除入侵證據(jù)，便于入侵追蹤與網(wǎng)絡(luò)犯罪取證。

(4)同一網(wǎng)段或者一臺(tái)主機(jī)上一般只需部署一個(gè)監(jiān)測(cè)點(diǎn)就近監(jiān)測(cè)，速度快，擁有成本低。

2、IDS的缺陷

(1)被動(dòng)防御的監(jiān)聽(tīng)方式限制阻斷。目前IDS只能靠發(fā)阻斷數(shù)據(jù)包來(lái)阻斷建立在TCP基礎(chǔ)上的攻擊，對(duì)于建立在UDP基礎(chǔ)之上的入侵則無(wú)能為力。

(2)基于特征的入侵檢測(cè)技術(shù)落伍。由于缺少信息管理，難于抵擋一些欺騙工具的攻擊和滲透。

(3)誤報(bào)與漏報(bào)率高。有些IDS產(chǎn)品每天會(huì)產(chǎn)生大量的異常報(bào)告，其中絕大多數(shù)屬于非攻擊行為，需要具有相當(dāng)專業(yè)水準(zhǔn)的網(wǎng)絡(luò)安全管理員進(jìn)行甄別。

四、IPS研究與分析

IPS是針對(duì)IDS不能提供主動(dòng)拒絕的特點(diǎn)而提出的一種新的安全技術(shù)，主要具有以下優(yōu)點(diǎn)：

1、主動(dòng)、實(shí)時(shí)預(yù)防攻擊。

IPS提供對(duì)攻擊的實(shí)時(shí)預(yù)防和分析，能夠在任何未授權(quán)活動(dòng)開(kāi)始前找出攻擊，并防止它進(jìn)入重要的服務(wù)器資源。

2、保護(hù)每個(gè)重要的服務(wù)器。

通過(guò)配置IPS，可以設(shè)定對(duì)服務(wù)器的專門(mén)保護(hù)方案，從而為企業(yè)的重要的資源提供深層防護(hù)。

3、誤報(bào)和漏報(bào)率低。

雖然仍然無(wú)法做到完全不誤報(bào)漏報(bào)，但是相對(duì)于IDS已經(jīng)提高了一大步。

4、深層防護(hù)。

IPS可進(jìn)行深層防護(hù)。

5、可管理性。

IPS可使安全設(shè)置和政策被各種應(yīng)用程序、用戶組和代理程序利用。

雖然IPS相對(duì)與IDS的優(yōu)勢(shì)明顯，但是它與IDS一樣，需要解決網(wǎng)絡(luò)性能、安全精確度和安全效率問(wèn)題。首先，IPS系統(tǒng)需要考慮性能，即需要考慮發(fā)現(xiàn)入侵和做出響應(yīng)的時(shí)間。IPS設(shè)備以在線方式直接部署在網(wǎng)絡(luò)中，無(wú)疑會(huì)給網(wǎng)絡(luò)增加負(fù)荷，給數(shù)據(jù)傳輸帶來(lái)延時(shí)。因此，IPS系統(tǒng)必須具有迅速處理數(shù)據(jù)的能力，能夠提供與2層或者3層交換機(jī)相同的速度，而這一點(diǎn)取決于IPS的軟件和硬件加速裝置。除了網(wǎng)絡(luò)性能之外，IPS還需要考慮安全性，盡可能多地過(guò)濾掉惡意攻擊，這就使IPS同樣面臨誤報(bào)和漏報(bào)問(wèn)題。一旦IPS做出錯(cuò)誤判斷，IPS就會(huì)放過(guò)真正的攻擊而阻斷合法的事務(wù)處理，從而造成損失。另外IPS還存在一些其它的弊端：IPS比較適合于阻止大范圍的、針對(duì)性不是很強(qiáng)的攻擊，但對(duì)單獨(dú)目標(biāo)的攻擊阻截有可能失效，自動(dòng)預(yù)防系統(tǒng)也無(wú)法阻止專門(mén)的惡意攻擊者的操作；IPS還不具備足夠智能識(shí)別所有對(duì)數(shù)據(jù)庫(kù)應(yīng)用的攻擊。

五、網(wǎng)絡(luò)安全的發(fā)展方向——IMS

IMS技術(shù)實(shí)際上包含了IDS、IPS的功能，并通過(guò)一個(gè)統(tǒng)一的平臺(tái)進(jìn)行統(tǒng)一管理，從系統(tǒng)的層次來(lái)解決入侵行為。IMS技術(shù)是一個(gè)過(guò)程，在行為未發(fā)生前要考慮網(wǎng)絡(luò)中有什么漏洞，判斷有可能會(huì)形成什么攻擊行為和面臨的入侵危險(xiǎn)；在行為發(fā)生時(shí)或即將發(fā)生時(shí)，不僅要檢測(cè)出入侵行為，還要主動(dòng)阻斷，終止入侵行為；在入侵行為發(fā)生后，還要深層次分析入侵行為，通過(guò)關(guān)聯(lián)分析，來(lái)判斷是否還會(huì)出現(xiàn)下一個(gè)攻擊行為。

IMS具有大規(guī)模部署、入侵預(yù)警、精確定位以及監(jiān)管結(jié)合四大典型特征，這些特征本身具有一個(gè)明確的層次關(guān)系。首先，大規(guī)模部署是實(shí)施入侵管理的基礎(chǔ)條件，一個(gè)有組織的完整系統(tǒng)通過(guò)規(guī)模部署的作用，要遠(yuǎn)遠(yuǎn)大于單點(diǎn)系統(tǒng)簡(jiǎn)單的疊加，IMS對(duì)于網(wǎng)絡(luò)安全監(jiān)控有著同樣的效用，可以實(shí)現(xiàn)從宏觀的安全趨勢(shì)分析到微觀的事件控制。第二、入侵預(yù)警。檢測(cè)和預(yù)警的最終目標(biāo)就是一個(gè)“快”，要和攻擊者比時(shí)間。只有減小這個(gè)時(shí)間差，才能使損失降低到最小。要實(shí)現(xiàn)這個(gè)“快”字，入侵預(yù)警必須具有全面的檢測(cè)途徑，并以先進(jìn)的檢測(cè)技術(shù)來(lái)實(shí)現(xiàn)高準(zhǔn)確和高性能。入侵預(yù)警是IMS進(jìn)行規(guī)模部署后的直接作用，也是升華IMS的一個(gè)非常重要的功能。第三、精確定位。入侵預(yù)警之后就需要進(jìn)行精確定位，這是從發(fā)現(xiàn)問(wèn)題到解決問(wèn)題的必然途徑。精確定位的可視化可以幫助管理人員及時(shí)定位問(wèn)題區(qū)域，IMS要求做到對(duì)外定位到邊界，對(duì)內(nèi)定位到設(shè)備。第四、監(jiān)管結(jié)合。監(jiān)管結(jié)合就是把檢測(cè)提升到管理，形成全面的保障體系。監(jiān)管結(jié)合最重要的是落實(shí)到對(duì)資產(chǎn)安全管理，通過(guò)IMS可以實(shí)現(xiàn)對(duì)資產(chǎn)風(fēng)險(xiǎn)的評(píng)估和管理。

綜上所述，網(wǎng)絡(luò)安全需要多層次系統(tǒng)的管理，網(wǎng)絡(luò)安全的目標(biāo)是保護(hù)核心資產(chǎn)完整性，將可能發(fā)生的損失減到最小，投資回報(bào)率最大化，確保業(yè)務(wù)的連續(xù)運(yùn)行。從IPS到IMS，增加了管理的概念，可以幫助用戶建立一個(gè)動(dòng)態(tài)的縱深防御體系，從整體上把握網(wǎng)絡(luò)安全，這也正是網(wǎng)絡(luò)安全的發(fā)展方向。

參考文獻(xiàn)

[1]曾昭蘇，王鋒波，基于數(shù)據(jù)開(kāi)采技術(shù)的入侵檢測(cè)系統(tǒng)[J]，自動(dòng)化博覽，2002，8：29-31．

[2]張杰，戴英俠，入侵檢測(cè)系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢(shì)[J]，計(jì)算機(jī)與通信，2002．6：28-32．

[3]宋獻(xiàn)濤，紀(jì)勇．網(wǎng)絡(luò)防護(hù)：網(wǎng)絡(luò)防護(hù)：從IDS到IPS．計(jì)算機(jī)安全，2003．11：26-28．

作者簡(jiǎn)介

張海燕(1975-)，河南省焦作人，大學(xué)本科，講師．