网络安全:重新认识IDS防范网络入侵行为

在网络入侵频繁的今天，防范的办法是综合使用防火墙、IDS和IPS。
传统的状态检测防火墙作为第一道防线，可以防止网络层攻击，但无法防止蠕虫等针对应用层的攻击(这些攻击都使用80、443等开放端口)。入侵检测系统使用被动安装在网络上的传感器来监控网络通信并寻找任何恶意访问的迹象。传感器可以检测针对应用层的攻击，但无法阻止它们。当网络管理员收到IDS发来的告警信息并采取相应措施时，往往为时已晚。
IDS的麻烦
IDS会带来很多虚警。有用户认为IDS经常发出报警信息，结果多为虚警，报警信息不合逻辑。处理IDS的报警信息是一件很头疼的事情，通常用户需要花20个小时去调查分析两个小时的报警信息。有站长抱怨道，“我每天都要花很多时间查看IDS记录，即使是在假期。那些IDS记录简直成了我每天必读的红宝书。”
Gartner建议用户对有缺陷的IDS使用IPS(入侵防御系统)而不是传统的IDS。ISS、NetScreen、NAI、TippingPoint、StillSecure、Top Layer都可以提供IPS设备。与IDS不同，IDS只是监视并发出警报，IPS只能通过保持在线来阻止攻击。Entercept(现为NAI的一部分)、Okena(现为Cisco的一部分)等公司的基于主机的IPS软件可以直接部署在应用服务器上，拦截系统调用，监控关键系统文件的修改、文件权限的变更等攻击迹象。
IDS真的像Gartner说的那样死了吗？IPS可以随时取代IDS吗？大多数分析师、IDS厂商甚至IPS厂商都不这么认为。至少到目前为止，认为IDS在安全审计和事后跟踪方面仍然是不可替代的。其实IDS和IPS使用的是同样的检测技术，两者都会被检测精度所困扰。由于担心对IPS的错误判断可能会影响正常的网络服务，大部分用户都是以IDS(仅用于监控)模式将IPS连接到企业网络。
IDS连同IPS 9
IDS和IPS厂商正在自动配置和智能分析方面进行更多的尝试。比如TippingPoint公司的UnityOne，几分钟就能配置好。包括Cisco、Symantec和ISS在内的IDS厂商也可以提供系统审计功能，删除无关的告警信息。
与IDS产品相比，IPS设备价格昂贵。IPS在保护外围设备、DMZ区域和一个或两个关键子网方面非常有用，但是在具有400个子网的大型网络中，用户可能没有财力为所有子网部署IPS。
其实IPS和IDS配合使用可以各有优势。IPS在防止蠕虫等针对应用层的攻击的同时，还可以减少内部IDS产生的告警数量，让用户可以用IDS监控子网，安心改进企业安全策略。例如，用户使用顶层的攻击缓解器IPS来保护网关和数据中心，并打开每个过滤程序，以确保不会阻止任何合法的业务流程。攻击缓解器IPS部署在防火墙之外，用于阻止DoS攻击。同时，这个用户使用IDS在网络内部进行监控，所以检查IDS记录并不需要花费太多时间。无独有偶，另一个用户在网络外围使用TippingPoint UnityOne IPS设备，在网络内部大量使用基于行为检测技术的StealthWatch IDS来替代原来的Snort IDS设备。在IPS的阻断作用下，IDS报警消息数量下降了99%。以前这个用户需要整天查看IDS记录，现在不用了。
总结
除了IPS，另一种专门用于保护Web服务器和DMZ应用程序的技术是Web应用程序防火墙。这类产品主要防止Web应用盗用，尤其是防火墙和IPS遗漏的Web应用的窃取攻击。此外，基于主机的入侵防御软件可以为Web应用程序和内部关键服务器提供额外的保护。Check Point和NetScreen为防火墙产品增加了深度检测功能。与依赖硬件实现深度检测功能的IPS和Web应用防火墙不同，Check Point和NetScreen应用防火墙是基于软件实现的。
面对当前的安全挑战，大多数分析师和厂商一致认为，通过设置层层防御，充分发挥防火墙、IPS和IDS的优势，是目前保护企业网络的手段。
希望这篇文章能让读者重新认识IDS，利用他们的配合来防止网络入侵。