许多人认为,入侵检测系统(IDS)就像当年的寻呼机一样已经过时。这个观点很大程度上与入侵检测系统已经被入侵防御系统(IPS)所兼并有关,而IPS也已经被第二代防火墙和UTM兼并。
这种看法已经从IDS/IPS厂商那里得到验证,这些致力于提高他们的IPS性能的厂商已经把IDS作为IPS组合产品中的其中一项部署。
“你想检测入侵吗?那么,只要部署我们的IPS(out-of-band)就可以了!”
显而易见,入侵检测系统和入侵防御系统不仅仅是简单的同一种技术的两种部署选项,它们实际上是有着不同需求,目标和不同角色的两种概念。
时间和地点
现代IDS和IPS最明显的差别在于它们位于攻击的不同阶段。入侵防御是一切关于通过实时检测病毒感染和计算机妥协将危险挡在网络外的技术。IPS检测成千上万个计算机漏洞、已知恶意域名和攻击信号。
相反,入侵检测系统将注意力放在计算机感染病毒后的入侵阶段。入侵的出现意味着计算机已经妥协,需要寻找不同的东西检测入侵。
IDS并不是搜索恶意程序,它的工作已经转移到内部检测。恶意软件在内部传播是用户凭证或者数据已被盗取的标志。作为现代入侵检测系统,至少要检测与IPS不同的信息。
这些信息出现在不同的地方,排除威胁的工作使IPS很好的适应了位于内部网络和互联网边界的位置。然而如果边界设在防御逻辑层,攻击的长尾效果还是能在内部网络发挥作用的。
偷窥,传播和盗取都是在内部完成,因此这就是IDS应该部署的地方。尽管IDS通常在内部网络的深层部署,但是确保它在正确的地方和针对正确的威胁非常重要。如果在任何情况下发生了检测失败的案例,说明你没有将它部署在正确的地方。
速度为王 慢速要命
除了正确的时间和地点,IDS急需一个新的大脑。当IPS已经越来越快并且依赖多类型签名的时候,核心的检测技术却保持停滞。
几十年来,签名一直是检测技术的主导方法,因为它们可以快速并适配寻找多种恶意指示器。用短字符和字符串签名能发现漏洞,恶意域名,IP地址,非法用户代理和无数的其他恶意负荷。
但签名的弱点也广为人知,因此必须保持IPS的基本优势—速度。如果你想防止威胁,你就必须能够快速做出决定。
随着IPS集成到UTM和防火墙中,关于恶意文件的判定就是必须快速,给予IPS思考的时间很少。签名必须快速而且占用很少的内存,为上下文环境留出空间。
现代入侵检测系统对于这些类型的限制没有任何作用,它不执行网络设备的指令,而是执行最佳检测威胁方案的指令。
如今的网络攻击是长时间的、多步骤的,并随着时间和各种设备的发展而进化。在时间性的网络环境下,哪怕是良性的孤立事件也会被判定为恶意。
这就需要新的检测技术和方法。尽管没有一劳永逸的方法,但一个有效的IDS必须具备弹性以发展和使用多种检测方法,而不是只与一种方法结合。
“下一代”这个词在行业中已经用烂,很显然IDS必须迈出巨大的一步。IDS不能只是“没有牙”(指无攻击性)的IPS,IDS必须成为一切检测技术的扩展集合,此为壮大IPS的唯一道路。