至今為止，Martin Roesch仍然是所有針對(duì)Snort（Snort是Sourcefire公司的網(wǎng)絡(luò)檢測(cè)系統(tǒng)的核心）的改進(jìn)的背后的主導(dǎo)力量。雖然在商業(yè)壓力下每家公司的技術(shù)改進(jìn)都有可能發(fā)生變化，但是Snort的技術(shù)改進(jìn)仍由Roesch一手掌控。1998年Roesch創(chuàng)立了開源的入侵檢測(cè)系統(tǒng)Snort，2001年他開始與Sourcefire公司合作，售賣使用Snort引擎的應(yīng)用程序和軟件。在SearchSecurity.com的一次訪問中，Roesch談到，Snort的改進(jìn)主要是他的主意，再綜合用戶、其他的入侵檢測(cè)和防御引擎的開發(fā)人員和開源社區(qū)的建議完善而成。Sourcefire對(duì)它的系統(tǒng)做了許多改進(jìn)，比如增加了對(duì)on premise和虛擬云的支持，還有許多用于提高速度和擴(kuò)展保護(hù)能力方面的技術(shù)改進(jìn)。在這次訪問中，Roesch談到了Snort引擎里最重要的部分下一步的變化以及與漏洞管理服務(wù)供應(yīng)商Qualys的更進(jìn)一步的合作將如何更深入地分析網(wǎng)絡(luò)檢測(cè)系統(tǒng)存在的威脅。

您覺得未來的入侵防御系統(tǒng)是怎樣的呢？我了解到Snort現(xiàn)在不只在做入侵防御，是這樣嗎？

Martin Roesch：是的。從2004年開始，Snort被用作入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)。入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)的區(qū)別不只是功能，更多的是配置。我們的引擎在兩種系統(tǒng)下都表現(xiàn)的很好，并且采用同樣的代碼。我們也添加了其他的功能，如用于內(nèi)容檢測(cè)的DLP技術(shù)。我們一直朝著用戶希望的方向發(fā)展。我們與開源社區(qū)合作，與我們的用戶合作，傾聽他們的需求，按照需求將系統(tǒng)完善。我們不斷地增加新的功能，我想人人都能從中受益。

在去年的一次訪問中您提到，您想在平臺(tái)的頂層搭建網(wǎng)絡(luò)安全應(yīng)用程序。您當(dāng)時(shí)指的是SnortSP（Snort 安全平臺(tái)）。請(qǐng)問現(xiàn)在這個(gè)項(xiàng)目進(jìn)行到什么程度了呢？

Roesch：我們正在重新編寫SnortSP的代碼。從早期的性能測(cè)試我們發(fā)現(xiàn)了一些我們不希望看到的性能，于是我們重新編寫了SnortSP的代碼，希望得到一些我們樂意見到的性能。 SnortSP這個(gè)項(xiàng)目就是要為網(wǎng)絡(luò)流量分析應(yīng)用程序建立一個(gè)共同的平臺(tái)，這樣它們可以在同一個(gè)平臺(tái)、同一個(gè)存儲(chǔ)空間合作，共享他們所探測(cè)到的和需要防御的實(shí)時(shí)環(huán)境信息。不管是增加DLP、信譽(yù)過濾和客戶端檢測(cè)這樣的功能，還是其他面向網(wǎng)絡(luò)的程序，都與深層封包檢查有關(guān)。理論上來說，這和運(yùn)行一個(gè)Web防火墻程序或者一個(gè)漏洞掃瞄程序是一樣的。于是SnortSP的基本想法就是把它變?yōu)楝F(xiàn)實(shí)。

如果有一個(gè)組織想投資Sourcefire 3D和Snort，是不是意味著他們同時(shí)也需要投資另外一個(gè)人來管理它呢？

Roesch：是的。我想現(xiàn)在看來這不是什么令人驚訝的事。我們專注于網(wǎng)絡(luò)入侵檢測(cè)和防御領(lǐng)域16年。當(dāng)然需要至少一個(gè)人時(shí)不時(shí)的照顧它。我們一直在努力減少與技術(shù)無關(guān)的工作量。調(diào)整問題和誤報(bào)問題的根本就是要求用戶不斷更新他們的防御系統(tǒng)，實(shí)現(xiàn)和網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)同步。我們繪制了一幅綜合的網(wǎng)絡(luò)環(huán)境地圖，然后利用這個(gè)地圖我們可以調(diào)整檢測(cè)器，所以Sourcefire售賣的檢測(cè)器可以實(shí)現(xiàn)自動(dòng)調(diào)節(jié)。利用它我們還可以實(shí)現(xiàn)數(shù)據(jù)自動(dòng)分析功能。當(dāng)我們從Snort獲知一個(gè)事件時(shí)，我們會(huì)分析數(shù)據(jù)，然后明確目標(biāo)。我們會(huì)及時(shí)地對(duì)這個(gè)事件在用戶的系統(tǒng)環(huán)境的重要程度進(jìn)行評(píng)級(jí)和優(yōu)先級(jí)排序，這樣就不需要人們自己進(jìn)行調(diào)節(jié)。然后我們進(jìn)行影響評(píng)估，將對(duì)系統(tǒng)環(huán)境重要的數(shù)據(jù)保存下來。

您談到在一個(gè)全新的Snort檢測(cè)引擎上工作。有什么不一樣的，為什么Snort需要一個(gè)新的檢測(cè)引擎？

Roesch：這個(gè)有點(diǎn)難懂，但Snort正在使用的檢測(cè)引擎模型是用來緩沖交換類型和配套網(wǎng)絡(luò)協(xié)議流的本地化的，并且使用我們?cè)跀?shù)據(jù)流中發(fā)現(xiàn)的錨點(diǎn)來試圖探測(cè)攻擊。理想的模型是一個(gè)分層協(xié)議模型，它可以減少緩沖的消耗并且基本上不涉及協(xié)議分解，同時(shí)又不再利用我們的緩沖和我們已經(jīng)使用了10年的配對(duì)系統(tǒng)。這將大大減少存取記憶體。毫無疑問，我們相信利用這個(gè)新的引擎模型，將來的檢測(cè)能夠更迅速、更深入。

Snort的改變中有多少來至于Snort社區(qū)？又有多少是出于商業(yè)驅(qū)動(dòng)？

Roesch：其實(shí)都不是。這些都是為了推動(dòng)新的檢測(cè)引擎設(shè)計(jì)，主要是我認(rèn)為在Snort工作的10或12年里，對(duì)其發(fā)展我有點(diǎn)自己的想法，就是用“如果你有機(jī)會(huì)重來，你會(huì)有什么不同”這種方法來解決問題。它的設(shè)計(jì)反映出來的是我這方面的思想比任何其他方面都要成熟。社區(qū)從來沒有真正說過什么檢測(cè)模型可以使用，他們從來就沒有在結(jié)構(gòu)之類的事情發(fā)出過真正的聲音，如流水線裝配等等。這真的跟陷進(jìn)了雜草中一樣，大多數(shù)人都在與數(shù)據(jù)庫(kù)對(duì)話或者在現(xiàn)有的框架工程中獲得一個(gè)檢測(cè)插件這個(gè)層次上進(jìn)行操作。Snort 3概念和SnortSP真的融入了我的很多想法，以及很多我給社區(qū)中人分享的想法，包括開發(fā)入侵檢測(cè)/預(yù)防引擎行業(yè)和開源社區(qū)的其他人。

Sourcefire和QualysGuard在一年前宣布整合，今年又添加了一個(gè)連接件，使整合變得更加容易。如何提高Sourcefire的入侵檢測(cè)/預(yù)防引擎和安全漏洞數(shù)據(jù)結(jié)合在一起后的能力？

Roesch：我們的RNA技術(shù)發(fā)現(xiàn)了網(wǎng)絡(luò)并且繪制了用戶離開后的網(wǎng)絡(luò)地圖。其副產(chǎn)品之一是它建立了一個(gè)善于觀察的安全漏洞地圖。我們使用這個(gè)安全漏洞地圖自動(dòng)優(yōu)化Snort引擎和影響評(píng)估，著眼于未來的實(shí)時(shí)事件流進(jìn)我們的防御中心，并以此為事件提供實(shí)時(shí)的優(yōu)先次序。和QualysGuard的整合使我們能夠直接將Qualys發(fā)現(xiàn)的安全漏洞數(shù)據(jù)導(dǎo)入到地圖中，使我們對(duì)漏洞有一個(gè)正確的識(shí)別，而不僅僅是一個(gè)漏洞痕跡。這使我們能更準(zhǔn)確的優(yōu)化檢測(cè)引擎并改善影響評(píng)估能力。  

【編輯推薦】

1. Snort入侵檢測(cè)系統(tǒng)之我見
2. snort入侵檢測(cè)安裝及操作方法