在网络黑客攻击频频发生、病毒变种惊人、网络威胁日益严重的环境下,安全防护问题备受关注。安全防护系统是一个多层次的保护机制,没有任何一种设备或者方法可以完全解决所有的网络安全问题。正确的解决方案就是进行深度防御,也就是通过增加保护层面各种各样的网络安全解决方案,如防火墙、网络入侵检测/保护系统以及防病毒软件等等,基于网络安全架构的各种领域,在一定程度上增强网络安全,实现一定深度的防御。
对于黑客的入侵和攻击,入侵检测系统是有效的方式,并且能在解决网络安全难题中起到重要角色,它在公司网络安全领域中有“最后一道防线”之称。当有人设法绕过所有设定的安全措施进入禁区时,入侵系统会提供警告。一直以来,IDS入侵检测系统充当了安全防护系统的重要角色。IDS技术是通过从网络上得到数据包进行分析,从而检测和识别出系统中的未授权或异常现象。IDS注重的是网络监控、审核跟踪,告知网络是否安全,发现异常行为时,本身不能进行处理,而是通过与防火墙等安全设备联动的方式进行防护。
但是在当前的实际网络环境下,传统的IDS存在几个明显缺陷: 一是事后报警。IDS是在威胁出现后报警,当看到报警信息时,入侵已经发生甚至结束了,只是在备份中可以查找到病毒或侵犯的根源。对于检测出的威胁也无法进行处理。这是典型的被动防御。二是当网络环境变得复杂时,IDS检测能力会表现得 “弱智”一些。IDS监测不到复杂的数据包或被精心处理的发包,于是这些数据包顺利地进入用户内部网络。三是误动(即错误的告警,即没有任何攻击的情况下产生的告警)量大,影响网络检测人员的工作效率。此外,无法实现现今网络访问的高吞吐量和高可靠性需求;对于分布式企业网络环境的管理非常困难并且价格昂贵等都显示出IDS的不足。
实际的安全防护过程中对入侵检测的需求很大,加之IDS的缺陷,于是孕育了IPS(入侵防护系统)在这两年的快速发展。IPS技术能够对网络进行多层、深层、真正的防护,不仅能够发现恶意代码,而且还能够主动阻止恶意代码的攻击,以有效保证用户的网络安全。记者日前走访国家信息化专家咨询委员会常务委员、中国航天科技集团第701研究所总工曲成义教授时,他对当前中国网络安全的发展趋势给出多种预测。中国用户网络安全防护需求的变化由“被动式防御”转向“主动式防御”,而且这个变化在2007年会更加明显。具体体现在入侵检测方面时,IDS将被IPS取代。IPS符合了网络安全“主动式防御”的需求,成为当前安全市场的一大热点。IPS的出现可谓是企业网络安全的革命性创新。
现实中,我们的网络系统尽管采取了很多措施,但对于一些安全事件有时却无法阻止。最为理想而关键的就是要及时精准监测,主动防护,在攻击产生损坏之前阻止一切的发生。现代的IPS,在检测并识别到攻击时,应该通过使用预先定义的自动反应阻止攻击。自动反应的有效性主要依赖于检测精度。
用最高的精度,尽快获知任何意外的、异常的、或者一些简单的攻击事件的监测,是传统的入侵检测系统一直炫耀但最终总是失败的地方。如前说述,IDS系统的主要问题就是他们能产生大量的告警(某个IDS用户曾经说过他们的系统每个月会产生180万个告警),而要处理这个巨量的告警本身就成为一个问题,更不必说真实的告警会被淹没在巨量的告警中。于是产生很多“误动”或“拒动”(即当攻击产生时没有相应的告警)。典型的误动是因为过分倚赖于单一的检测方法,无法提供任何方式的事件关联而导致。为了解决这个问题,现代的IPS(如:StoneGate IPS)组合了许多强大的检测方法,有系统管理员定义的规则,有事件智能关联分析。此外,还改进了一些检测方法,譬如上下文敏感,基于指纹的正则表达,以及可配置的协议检视模块。这样,对于真实的攻击威胁可以很容易的采取相关动作,几乎没有任何手工劳动会浪费在分析那些错误的告警上。StoneGate IPS 分析器将检测提高到了一个全新的水平。
入侵检测系统在追求主动防御的效果时,也必须紧跟不断增长的带宽发展需求,确保速度和高可靠性。尽管企业网的Internet连接还远远低于千兆级别,但内部网的数据流容量也还是很高的。在某个典型的地点,譬如某个Switch的端口聚集的数据流可能就会到达千兆,那些无法处理这种数据流容量的系统就会开始丢包,从而导致产生拒动;换句话说,一些攻击可能就没有被检测出来。另外,系统也可能因为错误的发现了很多协议冲突而产生过度的误动。现代的IPS(如:StoneGate IPS)采用了针对千兆比特环境的、嵌入式的传感器集群以及负载均衡技术,每个单一的传感器不必处理所有的数据流。传感器拥有的集成的操作系统,使其内部架构具有很高的性能。在绝大多数苛刻和复杂的网络环境下,StoneGate IPS都表现出高的系统吞吐量以及高可靠性。
妨碍很多IPS部署的另外一个问题就是缺少可用性。而现代化的StoneGate IPS入侵检测和反应系统所具有的智能分析,在成功实现了传统入侵检测系统所不能完成的精度要求、主动响应要求、速度和高可靠性要求的挑战之外,还很好地解决了高可用性。在一个单个的管理系统中完成对防火墙,IPS,VPN的集中管理,显著地节省了运行、维护以及培训的成本. 消除了潜在的各种不同系统之间的兼容性问题。Stonesoft 的灵活部署方式可以使得用户对于部署的扩展性提供很好的保障。IPS的组件可以分布式部署,传感器和分析器也可以分别部署以及组合部署,在高可用要求很高的环境中还可以部署集群模式和混合模式。对于这种管理中心(SMC),传感器(Sensor)以及分析器(Analyzer)的分布式部署,是IPS一种最优的方式也是未来发展的方向,这就使得用户减少TCO,提高效率。Stonesoft是这个领域的专家,也是积极的推动者。
StoneGate IPS对这些挑战问题的解决,使得主动防御成为可能并且高效。StoneGate IPS已成为现代网络用户安全需要的贴心卫士。
