【51CTO.com 綜合消息】入侵檢測系統(tǒng)（Intrusion Detection System，IDS）作為最常見的網(wǎng)絡(luò)安全產(chǎn)品之一，已經(jīng)得到了非常廣泛的應(yīng)用。但近年來隨著入侵防御系統(tǒng)（Intrusion Prevention System，IPS）的異軍突起，不斷有人認(rèn)為IPS是IDS的升級版本，甚至還有認(rèn)為IDS沒有用的言論出現(xiàn)。本文試從入侵檢測系統(tǒng)的起源、成長和未來發(fā)展的幾個角度出發(fā)進(jìn)行分析，來看看到底入侵檢測系統(tǒng)是“已死”還是“有發(fā)展”。

◆入侵檢測系統(tǒng)的起源

一般意義上，業(yè)界將James P. Anderson在1980年發(fā)布的那篇《Computer Security Threat Monitoring and Surveillance》作為入侵檢測概念的最早起源，在這篇文章里，不僅將威脅分為了外部滲透、內(nèi)部滲透和不法行為三種，還創(chuàng)造性的提出了將審計技術(shù)應(yīng)用到對威脅的檢測上來。沒錯，雖然不論廠商還是用戶，都是先開發(fā)/擁有入侵檢測產(chǎn)品，而后再考慮審計產(chǎn)品，但從單純的技術(shù)上來說，入侵檢測技術(shù)的確是起源于審計技術(shù)，所不同的是，入侵檢測更關(guān)注“壞”的事件，而審計產(chǎn)品則更多關(guān)注“好”事件。

但這只是一個概念的起步，一直到1986年Dorothy Denning等人才在其論文An Intrusion Detection Model中給出了一個入侵檢測的抽象模型IDES（入侵檢測專家系統(tǒng)），并在1988年開發(fā)出一個IDES系統(tǒng)：

圖1

在這個模型中，可以很清楚的看出Denning的二維檢測思想：基于專家系統(tǒng)的特征檢測以及基于統(tǒng)計異常模型的異常檢測。這一點也奠定了入侵檢測技術(shù)領(lǐng)域的兩大方向：濫用檢測（Misuse Detection）和異常檢測（Anomaly Detection）

在這個模型的基礎(chǔ)上，1990年Herberlein等人開發(fā)出了第一個真正意義上的入侵檢測系統(tǒng)NSM（Network Security Monitor），在這個實物模型中，第一次采用了網(wǎng)絡(luò)實時數(shù)據(jù)流而非歷史存檔信息作為檢測數(shù)據(jù)的來源，這為入侵檢測系統(tǒng)的產(chǎn)品化做出了巨大的貢獻(xiàn)：再也不需要將各式各樣的審計信息轉(zhuǎn)化為統(tǒng)一格式后才能分析了，入侵檢測開始逐步脫離“審計”的影子。誰也沒有想到，過了不到10年的時間，審計產(chǎn)品反過來開始學(xué)習(xí)入侵檢測產(chǎn)品的這種分析實時數(shù)據(jù)流的模式，這是另外一個話題，且按下不表。#p#

◆入侵檢測系統(tǒng)的成長

上世紀(jì)90年代中期，商業(yè)入侵檢測產(chǎn)品初現(xiàn)端倪，1994年出現(xiàn)了第一臺入侵檢測產(chǎn)品：ASIM。而到了1997年，Cisco將網(wǎng)絡(luò)入侵檢測集成到其路由器設(shè)備中，同年，ISS推出Realsecure，入侵檢測系統(tǒng)正式進(jìn)入主流網(wǎng)絡(luò)安全產(chǎn)品階段。

在這個時期，入侵檢測通常被視作防火墻的有益補充，這個階段用戶已經(jīng)能夠逐漸認(rèn)識到防火墻僅能對4層以下的攻擊進(jìn)行防御，而對那些基于數(shù)據(jù)驅(qū)動攻擊或者被稱為深層攻擊的威脅行為無能為力。廠商們用得比較多的例子就是大廈保安與閉路監(jiān)控系統(tǒng)的例子，防火墻相當(dāng)于保安，入侵檢測相當(dāng)于閉路監(jiān)控設(shè)備，那些繞過防火墻的攻擊行為將在“企圖作惡”時，被入侵檢測系統(tǒng)逮個正著。

而后，在20001～2003年之間，蠕蟲病毒大肆泛濫，紅色代碼、尼姆達(dá)、震蕩波、沖擊波此起彼伏。由于這些蠕蟲多是使用正常端口，除非明確不需要使用此端口的服務(wù)，防火墻是無法控制和發(fā)現(xiàn)蠕蟲傳播的，反倒是入侵檢測產(chǎn)品可以對這些蠕蟲病毒所利用的攻擊代碼進(jìn)行檢測（就是前面提到的濫用檢測，將針對漏洞的攻擊代碼結(jié)合病毒特征做成事件特征，當(dāng)發(fā)現(xiàn)有該類事件發(fā)生，就可判斷出現(xiàn)蠕蟲。），一時間入侵檢測名聲大振，和防火墻、防病毒一起并稱為“網(wǎng)絡(luò)安全三大件”。

正當(dāng)入侵檢測概念如日中天之際，2003年GARTNER的一篇《入侵檢測已死》的文章，帶來了一個新的概念：入侵防御。在此之前，防火墻產(chǎn)品之所以不能做4層以上的分析，有一個原因就是分析性能跟不上，入侵檢測產(chǎn)品由于采用旁路部署方式，對數(shù)據(jù)實時性的要求不是很高。當(dāng)硬件發(fā)展和軟件算法都足以支撐串行設(shè)備進(jìn)行深層分析的時候，串接在網(wǎng)絡(luò)中，對應(yīng)用層的威脅行為也能發(fā)現(xiàn)并防御的產(chǎn)品需求就呼之欲出了。一時間，入侵防御產(chǎn)品是入侵檢測產(chǎn)品的升級版本，入侵檢測產(chǎn)品沒有用的言論甚囂塵上。入侵檢測產(chǎn)品是不是已經(jīng)走到了產(chǎn)品生命周期的盡頭，是不是已經(jīng)沒有人需要用入侵檢測產(chǎn)品了呢？#p#

◆入侵檢測系統(tǒng)的發(fā)展

入侵檢測產(chǎn)品真的只是防火墻的補充么？如果是這樣的話，那么當(dāng)網(wǎng)關(guān)類產(chǎn)品實現(xiàn)了對深層威脅行為的防御之后，入侵檢測產(chǎn)品真的就壽終正寢了，這也是GARTNER認(rèn)為入侵檢測已死的最重要的原因：已經(jīng)有了對應(yīng)用層攻擊進(jìn)行防護(hù)的產(chǎn)品了，這種只能檢測的產(chǎn)品——入侵檢測，已經(jīng)走了盡頭。

其實不然，在入侵檢測產(chǎn)品被廣泛應(yīng)用的過程中，“發(fā)現(xiàn)應(yīng)用層攻擊行為”已經(jīng)不是入侵檢測產(chǎn)品功能的全部了。旁路部署的入侵檢測有一個最大的天然優(yōu)勢就是可以從全局的角度查看網(wǎng)絡(luò)數(shù)據(jù)：不論是進(jìn)出網(wǎng)絡(luò)的，還是網(wǎng)絡(luò)內(nèi)部的。這使得入侵檢測擁有了成為管理手段，而非使用工具的機會。

和入侵防御產(chǎn)品不同，入侵檢測產(chǎn)品關(guān)注網(wǎng)絡(luò)中的所有事件，而不僅僅是值得阻斷的威脅事件。因為通過對歷史數(shù)據(jù)的分析和對比，入侵檢測可以實現(xiàn)其更高的管理價值：提供安全建設(shè)建議和評估網(wǎng)絡(luò)安全建設(shè)效果。

提供安全建設(shè)建議

很少有安全產(chǎn)品像入侵檢測產(chǎn)品那樣需要加入大量的人工分析，這往往是那些“IDS無用論”擁躉們的武器：入侵檢測不能“即插即用”，還需要加入分析，很不好。但這恰恰是入侵檢測產(chǎn)品最有價值的地方：它能告訴用戶，什么地方存在什么樣的威脅，需要如何處理。比如說熊貓燒香病毒，可以利用網(wǎng)絡(luò)共享、U盤等方式進(jìn)行傳播，網(wǎng)關(guān)級的安全設(shè)備對這種“自內(nèi)而外”的傳播方式無能為力，防病毒軟件則因為該病毒中有自動停止防病毒軟件進(jìn)程，修改防病毒軟件注冊表鍵值等手段而束手無策，只有入侵檢測產(chǎn)品這種旁路監(jiān)聽的產(chǎn)品，可以及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常，明確找出病毒根源并提出解決對策：隔離受感染主機、在防火墻等安全設(shè)備上增加安全策略、為服務(wù)器等重要資產(chǎn)劃分獨立區(qū)域、增加適當(dāng)網(wǎng)絡(luò)安全設(shè)備（如防病毒、防火墻）、完善計算機安全管理制度（不允許使用未經(jīng)檢驗的移動存儲設(shè)備等）。

評估網(wǎng)絡(luò)安全建設(shè)效果

正是由于入侵檢測產(chǎn)品需要人工分析，所以報表、日志數(shù)據(jù)庫就一直作為入侵檢測產(chǎn)品的重要組成部分，而正是有了這些歷史數(shù)據(jù)的積累，才有了入侵檢測的另外一個管理作用：評估安全建設(shè)效果。

我們來設(shè)想一個場景，怎樣才能評估網(wǎng)絡(luò)安全建設(shè)的效果呢？新購置的防火墻產(chǎn)品是否有用？放置的位置是不是最佳的選擇？

沒錯，需要評估某事、某物的效果，不外乎調(diào)查和對比，收集此前、此后的相關(guān)數(shù)據(jù)并進(jìn)行對照，有無效果一目了然。入侵檢測產(chǎn)品就是這樣一個可以協(xié)助效果評估的管理工具：它擁有最完善的網(wǎng)絡(luò)歷史和實時數(shù)據(jù)，網(wǎng)絡(luò)過去的狀況和現(xiàn)在的狀況應(yīng)有盡有。某用戶初次部署入侵檢測產(chǎn)品，發(fā)現(xiàn)一天中服務(wù)器遭受內(nèi)外部威脅次數(shù)是100次，而整個網(wǎng)絡(luò)事件次數(shù)為1000次，在經(jīng)過增加其他安全產(chǎn)品，調(diào)整網(wǎng)絡(luò)布局配置后，發(fā)現(xiàn)一天中服務(wù)器遭受威脅次數(shù)降低到了8次，整個網(wǎng)絡(luò)事件次數(shù)為32次，這就說明安全建設(shè)（增加產(chǎn)品、調(diào)整配置等）是有效果的。

最后，我們用一個實際案例來說明入侵檢測產(chǎn)品的效果。

圖2

圖3