網(wǎng)絡(luò)防火墻作為企業(yè)互聯(lián)網(wǎng)安全的首選產(chǎn)品已經(jīng)不能應(yīng)對(duì)如今的網(wǎng)絡(luò)安全威脅了，企業(yè)對(duì)網(wǎng)絡(luò)安全性的要求越高，那么所需要采取的防范措施就越嚴(yán)密。選用優(yōu)秀的IDS產(chǎn)品已經(jīng)被許多公司提上了網(wǎng)絡(luò)安全的議案。那么如何判斷IDS產(chǎn)品是否能夠應(yīng)對(duì)企業(yè)標(biāo)準(zhǔn)呢？下文就主要講述了企業(yè)測(cè)試IDS的的四條重要標(biāo)準(zhǔn)。

一、檢測(cè)入侵

IDS最主要的功能是檢測(cè)非法入侵。能夠智能地報(bào)告入侵者的非法行為是檢驗(yàn)IDS性能優(yōu)劣的首要條件。用戶安裝上IDS后，在缺省情況下，應(yīng)該對(duì)各個(gè)服務(wù)可能遇到的攻擊進(jìn)行告警檢測(cè)。我們可以選擇一些破壞性比較大的攻擊，比如遠(yuǎn)程溢出攻擊(只要攻擊成功，即可全面控制計(jì)算機(jī)系統(tǒng))，這不為企業(yè)測(cè)試IDS的一種方式。面對(duì)這種攻擊，如果IDS產(chǎn)品沒(méi)有反應(yīng)，那么附加功能再多，也是一個(gè)檢測(cè)非法入侵能力低下的產(chǎn)品。

二、遠(yuǎn)程管理

IDS的機(jī)制是監(jiān)視網(wǎng)絡(luò)上的流量，如果所要監(jiān)視的網(wǎng)絡(luò)不止一個(gè)Hub或交換機(jī)，就要在每個(gè)Hub或交換機(jī)上安裝網(wǎng)絡(luò)引擎。這樣我們就需要一個(gè)控制臺(tái)和日志分析程序來(lái)管理和分析多個(gè)網(wǎng)絡(luò)引擎及它們產(chǎn)生的告警。用戶有時(shí)希望坐在辦公室中實(shí)時(shí)查看和管理機(jī)房里的IDS，作為產(chǎn)品提供商，應(yīng)該滿足用戶的這種需求，為用戶提供遠(yuǎn)程管理功能，只是需要注意把這個(gè)功能和IDS的另一個(gè)功能(即遠(yuǎn)程告警)區(qū)分開。事實(shí)上，IDS還應(yīng)該能夠支持各種各樣的遠(yuǎn)程告警方式，像打電話、發(fā)郵件等等。不過(guò)這種交流是單向的，用戶只能被動(dòng)地得到信息，而不能主動(dòng)控制遠(yuǎn)程的網(wǎng)絡(luò)引擎。

三、抗欺騙能力

IDS的目的是抵制入侵者，然而入侵者會(huì)想方設(shè)法逃避它。逃避IDS的方法很多，總結(jié)起來(lái)可以分成兩大類: 讓IDS漏報(bào)和讓IDS誤報(bào)。

1.IDS誤報(bào)

所謂IDS誤報(bào)是指: 明明沒(méi)有這個(gè)攻擊，但是入侵者讓IDS拼命告警，使不斷增長(zhǎng)的告警日志塞滿硬盤，以致翻滾的告警屏幕把管理者搞得眼花繚亂。這樣，真正的攻擊就可以?shī)A雜在數(shù)不清的虛假告警中蒙混過(guò)關(guān)了。

2001年3月，國(guó)外網(wǎng)絡(luò)安全產(chǎn)品評(píng)測(cè)人員Coretez Giovanni發(fā)現(xiàn)另外一種讓IDS誤報(bào)的入侵: 快速地產(chǎn)生告警信息，抑制IDS的反應(yīng)速度，以致使IDS失去反應(yīng)能力，甚至讓系統(tǒng)出現(xiàn)死機(jī)現(xiàn)象。當(dāng)時(shí)，Coretez寫了一個(gè)名為Stick的程序，作為IDS產(chǎn)品的測(cè)試用例。它的作用是: 可以讀入Snort(一種免費(fèi)的IDS ，其下載網(wǎng)址為http://www.snort.org)的規(guī)則,然后按照Snort的規(guī)則組包。由于Snort的規(guī)則涵蓋了絕大多數(shù)的攻擊種類，所以IDS一旦匹配了按Snort規(guī)則產(chǎn)生的攻擊報(bào)文，即可發(fā)出告警信息。對(duì)于比較有名的IDS像ISS Realscur和Snort，Stick都能給它們?cè)斐?0s以上的停頓。所以，對(duì)于新出現(xiàn)的IDS及其造成的危害，用戶絕不能忽視。另悉，ISS針對(duì)新型IDS誤報(bào)入侵已發(fā)布了補(bǔ)丁程序，詳見 http://www.iss.net/db_data/xpu/RSNS%202.2.php。

在發(fā)現(xiàn)新型IDS誤報(bào)入侵方面，Stick功不可沒(méi)。為了更好地測(cè)試用戶選用的IDS產(chǎn)品，用戶不妨從http://www.securityfocus.com/frames/?content=/templates/tools.html%3Fid%3D1974上下載Stick，其編譯起來(lái)并不麻煩，只需查看幫助即可。需要指出的是，絕大多數(shù)的IDS都是從Snort得到眾多借鑒的，在企業(yè)測(cè)試IDS的過(guò)程中建議用戶試用一下Stick。

2.IDS漏報(bào)

和IDS誤報(bào)相比，漏報(bào)其實(shí)更危險(xiǎn)。采用IDS技術(shù)就是為了在發(fā)現(xiàn)入侵時(shí)給出告警信息。如果入侵者入侵成功而IDS尚未告警，IDS便失去存在的意義。筆者從國(guó)外網(wǎng)站上看到一篇文章，它對(duì)利用TCP連接特點(diǎn)讓IDS做漏報(bào)進(jìn)行了詳細(xì)的描述，同時(shí)還給出一些實(shí)現(xiàn)漏報(bào)的辦法，給筆者提供了一種新思路: IDS想要防止欺騙，就要盡可能地模仿TCP/IP棧的實(shí)現(xiàn)。但是從效率和實(shí)現(xiàn)的復(fù)雜性考慮，IDS并不能很容易地做到這一點(diǎn)。

這種方法比較適合智能化的IDS，好的IDS一般為了減少誤報(bào)，會(huì)像現(xiàn)在一些高端的防火墻一樣基于狀態(tài)進(jìn)行判斷，而不是根據(jù)單個(gè)的報(bào)文進(jìn)行判斷。這樣上面談到的Stick對(duì)這種IDS一般不起作用。但是用戶應(yīng)該注意到，這種簡(jiǎn)單的IDS只是字符串匹配，一旦匹配成功，即可報(bào)警。

2001年4月，又出了一個(gè)讓IDS漏報(bào)的程序ADMmutate，據(jù)說(shuō)它可以動(dòng)態(tài)改變Shellcode。本來(lái)IDS依靠提取公開的溢出程序的特征碼來(lái)報(bào)警，特征碼變了以后，IDS就報(bào)不出來(lái)了。但是程序還一樣起作用，服務(wù)器一樣被黑。這個(gè)程序的作者是ktwo(http://www.ktwo.ca)，我們可以從http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz上下載該程序。用戶不妨也試試它，以檢測(cè)自己的IDS產(chǎn)品性能。不過(guò)，ADMmutate只能對(duì)依靠檢查字符串匹配告警的IDS起作用，如果IDS還依靠長(zhǎng)度和可打印字符等綜合指標(biāo)，則ADMmutate將很容易被IDS監(jiān)控到。

IDS的實(shí)現(xiàn)總是在漏報(bào)和誤報(bào)中徘徊，漏報(bào)率降低了，誤報(bào)率就會(huì)提高; 同樣誤報(bào)率降低了，漏報(bào)率就會(huì)提高。一般地，IDS產(chǎn)品會(huì)在兩者中取一個(gè)折衷，并且能夠進(jìn)行調(diào)整，以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境。

四、自身安全性

毫無(wú)疑問(wèn)，IDS程序本身的健壯性是衡量IDS系統(tǒng)好壞的另一個(gè)指標(biāo)。如上所述，Stick程序能讓IDS停止響應(yīng)，該IDS的健壯性就值得懷疑。

企業(yè)測(cè)試IDS的健壯性主要體現(xiàn)在兩個(gè)方面: 一是程序本身在各種網(wǎng)絡(luò)環(huán)境下都能正常工作; 二是程序各個(gè)模塊之間的通信能夠不被破壞，不可仿冒。IDS用于各個(gè)模塊間遠(yuǎn)程通信和控制，如果通信被假冒，比如假冒一個(gè)停止遠(yuǎn)程探測(cè)器的命令或者假冒告警信息，都是釜底抽薪的狠招。這就需要用戶在模塊間的通信過(guò)程中引入加密和認(rèn)證的機(jī)制，并且這個(gè)加密和認(rèn)證的機(jī)制的健壯性要經(jīng)受過(guò)考驗(yàn)。如果模塊間的通信被切斷，則需要良好的恢復(fù)重傳機(jī)制。告警信息暫時(shí)沒(méi)有發(fā)送出去，并不是丟棄，而是要本地保存，在適當(dāng)?shù)臅r(shí)候再發(fā)送。

從上面的描述中我們可以看到，沒(méi)有IDS的安全防護(hù)體系是不完善的。希望本文可以幫助大家了解IDS，在網(wǎng)絡(luò)安全體系中使用IDS增強(qiáng)網(wǎng)絡(luò)的堅(jiān)固性，并為用戶選購(gòu)IDS產(chǎn)品提供參考。
 

【編輯推薦】

1. 通過(guò)網(wǎng)絡(luò)監(jiān)控檢測(cè)內(nèi)核入侵攻擊
2. 交換機(jī)的無(wú)線與有線入侵檢測(cè)
3. 如何在Linux下實(shí)現(xiàn)入侵檢測(cè)IDS
4. 假想案例談?wù)揑PS系統(tǒng)部署
5. 如何實(shí)現(xiàn)IPS系統(tǒng)深度檢測(cè)