IDS产品将如何“进化”

1、5/5问题提出：入侵检测(DS)是用来发现黑客入侵的特殊安全设备，早期的时候很简单，就是一个日志分析器，大海捞针一样从日志里提取黑客的来访记录;后来黑客学乖了,临走时把自己的“污点”记录统统抹掉;记录没了,日志分析就很难再发现黑客了(当然一些菜鸟级黑客还没有这个意识与能力）.现在，日志分析成为内部人是否有违规行为的审计工具，面对堆积如山的日志信息,你可以想象审计人员的工作是如何辛苦,揪出一个“坏蛋,如同拣到一个金元宝一样“高兴”。为了发现黑客，IDS开始收集“原始”的网络流量，自己进行分析（流量是实时的,黑客也没有办法不产生流量).从此,IDS产品开始“分家，在计算机内收集网卡流量进行分析的称

2、为主机IDS；从网络交换机上，或者直接从物理链路上“复制流量的称为网络IDS；分析技术都是把原始数据还原为用户访问过程，分析访问者的行为是否异常，发现黑客工具的指纹与特征，技术上称为应用协议解析(标准的协议如HTTP、lt等,新流行的应用协议如PP、MS等）.检测与躲避技术相较量的关键是ID的识别能力，I厂商收集黑客“指纹特征”与“行为模式”，把它们放在攻击数据库内，并不断地升级；看见貌似的就告警,“宁可报错，不可放过，从近十年以来的攻防拉锯战中看，攻击数据库越来越庞大,但黑客变换与伪装速度更为快些，黑客开始使用程序自动生成无数的新“特征”,快到每天新出现几十万个，不仅可以迷惑检测者，而且让防

3、护者还没来得及升级就落伍了识别变得越来越困难，有些安全厂家推出所谓的主动防御，就是在对攻击者识别的同时，先对自己的应用进行过滤，自己的“家底是很容易清理的，不是我这里记录允许的，就一定是外来的、可疑的，先隔离起来再说。面对互联网上层出不穷的新创意，主动防御保护自己的那一些老家底也有些“力不从心。入侵检测产品在核心技术上出现了“瓶颈”，在易用性上出现“海量事件危机”,这个产品下一步究竟应该如何进化呢，是自然淘汰，还是“变异后重生?我们对付黑客的办法：从战略思想上来说,我们对付黑客的办法就两种:一是加装“防盗门”，把一些“菜鸟”级攻击挡在门外边，我们常见的、PS、UM都是这种方式，这种办法对付高级

4、黑客显然是不行的，连门都进不来，还谈什么高手吗?二是部署“摄像头”，监视“所有人”的行为，发现有靠近“金库”的就警觉起来,符合“通缉者”特征的就“抓起来”，这就是我们说的I.这两种方式还有一个技术上的差异:防盗门是必需拦在网络路径上的，所谓“一夫当关，发现攻击者立即阻断，阻止其进入大门,但串联设备对性能要求很高，网络流量在指数级逐年递增,再说大门方式很难持续观察一个访问者；摄像头是旁路监控的，并联处理，可以长时间跟踪连接进行分析，不影响业务本身，发现问题及时报警.虽然在两种措施中都有对黑客特征的检测识别,显然后者更适合于长时间地跟踪与关联性分析，适合对行为的监视，可以用来对付高级黑客，当然也需

5、要产品使用者自身的能力强一些.然而近几年，随着黑客攻击技术的进步，网络上需要分析的信息逐渐发生变化,主要有下面原因：黑客采用特殊信息通道(未知协议)去指挥他的“僵尸网络”，或选择多级跳板,再以其他人身份去探测与入侵,对这种方式探测用标准协议解析显然是不够的；P2P技术流行，通过标准协议承载私有协议的半加密连接非常普遍，让“防盗门”的作用越来越小，安全对于摄像头监控的依赖性越来越大;通过“制造”虚假同类流量，掩盖自己的真实目的。比如满大街的人都突然穿一种服装，或去做同一件事情，即使这个事情是违法的,但在法不责众的大环境下,也很难注意到真正的黑客是哪个.随着这种环境的出现，网络上检测分析的设备种类

6、增多了，市场上影响较大的如异常流量监测、蠕虫木马监测、DOS攻击监测等.其中蠕虫监测是互联网运营商非常关注的，作为网络承载商,不能直接阻断用户的数据,但对网络木马、蠕虫、病毒的动态监控,是为高端用户提供安全保障的基础.这些新变化的共同点是：监控大都是采用旁路复制流量的方式，后台进行数据分析。IS的进化方向:要生存，就要进化，物竞天择是自然规律.D也不例外,总地来说，IDS产品的进化需求是来自两个方向:1、从技术角度看：网络内部监控分析类产品需要整合,因为这些产品都是复制流量后进行分析,只是分析的方式与监控的目标不同而已，如异常流量、蠕虫木马、以及审计，这有些象北京道路上安装的若干摄像头，有查看

7、交通流量的，有查车辆违章的，有平安城市监测安全的大家分属不同部门,分开管理,重复建设，整合是必然的。整合的意思有两层:一是把这些产品集成到一起，用一个产品解决所有问题，大家需要的基础信息都一样，随着处理器能力的提高、多核硬件结构的产品化,性能上是不必担心的。二是把物理采集功能整合到一起，从原来的产品中分离出来,只进行公共的、初步的分析,然后分别交给后台不同的系统，分析的任务送给上层。整合的结果是物理部署的设备明显减少，这不仅维护成本降低,也有利于硬件性能的提升。2、从用户角度看，入侵、异常流量、蠕虫木马的监控都是为了发现黑客入侵或黑客的攻击行为，对用户来说是一样的，只不过是更为细分的技术手段而已；早期分开设计,无非是技术专注厂家的不同造成的,随着硬件性能的提高，技术的成熟，如同UM是FW、IP、V、VP的进化趋势一样，S、异常流量、蠕虫木马也将进化到一起,我们可以称它为威胁检测(TD）.但是这样只解决了来自黑客方面的威胁，对于内部来说，自己的漏洞就是黑客关注的目标,能及时发现自己的漏洞就能减少黑客入侵成功的可能，因此漏洞扫描也将成为威胁检测的功能之一。威胁检测是相对于用户来说的,意思就是来自黑客