从检测到预防IDS的演化与革命

会计考友

　IPS工作原理
　　真正的入侵预防与传统的入侵检测有两点关键区别：自动阻截和在线运行，两者缺一不可。预防工具（软/硬件方案）必须设置相关策略，以对攻击自动作出响应，而不仅仅是在恶意通信进入时向网络主管发出告警。要实现自动响应，系统就必须在线运行。
8 ?' A1 u6 v$ e" |3 O- Y( ~' j　　当黑客试图与目标服务器建立会话时，所有数据都会经过IPS传感器，传感器位于活动数据路径中。传感器检测数据流中的恶意代码，核对策略，在未转发到服务器之前将信息包或数据流阻截。由于是在线操作，因而能保证处理方法适当而且可预知。
　　与此类比，通常的IDS响应机制（如TCP重置）则大不相同。传统的IDS能检测到信息流中的恶意代码，但由于是被动处理通信，本身不能对数据流作任何处理。必须在数据流中嵌入TCP包，以重置目标服务器中的会话。然而，整个攻击信息包有可能先于TCP重置信息包到达服务器，这时系统才做出响应已经来不及了。重置防火墙规则也存在相同问题，处于被动工作状态的IDS能检测到恶意代码，并向防火墙发出请求阻截会话，但请求有可能到达太迟而无法防止攻击发生。
　　IPS检测机制
　　事实上，IDS和IPS中真正有价值的部分是检测引擎。IPS存在的最大隐患是有可能引发误操作，这种“主动性”误操作会阻塞合法的网络事件，造成数据丢失，最终影响到商务操作和客户信任度。　　
　　IDS和IPS对攻击的响应过程
( M' r* Y2 `0 _- Z9 o& U　　为避免发生这种情况，一些IDS和IPS开发商在产品中采用了多检测方法，最大限度地正确判断已知和未知攻击。例如，Symantec的ManHunt IDS最初仅依赖于异常协议分析，后来升级版本可让网管写入Snort代码（Sourcefire公司开发的一种基于规则的开放源码语言环境，用于书写检测信号）增强异常检测功能。Cisco最近也对其IDS软件进行了升级，在信号检测系统中增加了协议和通信异常分析功能。NetScreen的硬件工具则包含了8类检测手段，包括状态信号、协议和通信异常状况以及后门检测。 　　值得一提的是，Snort系统采用的是基于规则的开放源代码方案，因而能方便识别恶意攻击信号。Snort信号系统为IDS运行环境提供了很大的灵活性，用户可依据自身网络运行情况书写IDS规则集，而不是采用通用检测方法。一些商业IDS信号系统还具备二进制代码检测功能。