作者：譚崇暢 發文時間：2005.01.20

　　入侵檢測系統往往被認為是保護網路系統的“最後一道安全防線”。今天的網路駭客已經學會將真正的攻擊動作隱藏在大量虛假報警之中，這使得用戶質疑。

　　近年來，針對網路系統發起的攻擊技術大有水漲船高之勢，入侵檢測系統的開發者正在面臨一個兩難選擇：發現異常現象時，是報警，還是不報警？不報警，擔心有漏網之魚；報警，則有可能正中攻擊者的圈套。

　　入侵監測統存在的三個問題

　　根據國外權威機構近來發佈的入侵檢測產品評測報告，目前主流的入侵檢測系統大都存在三個問題：一、存在過多的報警資訊，即使在沒有直接針對入侵檢測系統本身的惡意攻擊時，入侵檢測系統也會發出大量報警。二、入侵檢測系統自身的抗強力攻擊能力差。我們知道，入侵檢測系統的智慧分析能力越強，處理越複雜，抗強力攻擊的能力就越差。目前入侵檢測系統的設計趨勢是，越來越多地追蹤和分析網路資料流程狀態，使系統的智慧分析能力得到提高，但由此引起的弊端是系統的健壯性被削弱，並且，對高帶寬網路的適應能力有所下降。三是缺乏檢測高水準攻擊者的有效手段。現有的入侵檢測系統一般都設置了閥值，只要攻擊者將網路探測、攻擊速度和頻率控制在閥值之下，入侵檢測系統就不會報警。鑒於以上三點，許多用戶質疑：按照入侵檢測系統目前的技術現狀，它值得投資部署嗎？

　　IDS需要技術創新

　　這種質疑不是沒有道理。一個配置合理的防火牆加上完善的網路安全管理策略，完全可以對付低水準的攻擊行為。人們費盡心機構建的“最後的防線” ——入侵檢測系統，必須能夠有效防範“高手”攻擊。但是，如果沒有一個全新的設計思路，目前的入侵檢測系統是不能完全勝任此項重任的。究其原因，主要在於以下三點。

　　首先，現有的入侵檢測系統依賴於一個攻擊特徵庫來識別已知攻擊。從這個角度來看，它並不比一般的病毒檢測方法高明多少。基於攻擊特徵庫的設計有著兩個明顯的缺點。其一，很難發現新的攻擊手段；其二，攻擊者同樣可以利用Internet上公佈的攻擊特徵庫，在一分鐘之內，使一個入侵檢測系統產生上千條報警。

　　第二，在網路安全體系結構的設計上，入侵檢測系統通常被部署於防火牆之內。這並不是擔心入侵檢測系統會受到直接攻擊，真正原因是，現有的網路攻擊已經非常頻繁，一個放置於防火牆之外的入侵檢測系統會讓安全管理者沒有片刻的安寧。但這卻是一個設計失誤——被防火牆系統阻攔住的外部攻擊包對於入侵檢測系統進行有效網路攻擊智慧分析具有非常重要的價值。實際上，缺乏有效的資訊源是現有的入侵檢測系統表現“低能”的根本原因。

　　第三，網路中上演的攻擊和反攻擊與人類戰爭有相似之處，都是攻與防的較量，如果防守者不採取積極防禦措施，永遠只能處於被動挨打局面。具體到入侵檢測系統，積極防禦並不是在發現攻擊者時發送警告，甚至回敬幾個攻擊包“打死”對方，而是一種“欺騙戰術”，其基本思想是，建立一個完整的資訊保護體系，使各種虛假資訊和真實資訊混於一體，從而達到資訊保護的目的。就網路入侵檢測而言，當一個攻擊者在全面摸清了目標網路的詳細情況之後，人們要想防止其進攻幾乎是不可能的。一個攻擊高手往往會用很長時間去探查一個網路，在進行一番詳細偵察之後，攻擊者只須靜待一個新的系統漏洞的出現。例如，如果攻擊者獲悉了Windows 2000伺服器存在的一個堆疊溢位漏洞，他就可能在一分鐘之內，佔領目標主機，並在另外一分鐘之內，控制整個目標網路。

　　從積極防禦的角度看，保護一個網路必須從兩方面入手。一是在入侵者早期網路偵察時及時發現對方，二是通過回應欺騙資訊給窺探者，並在隨後發生的實際攻擊時準確判定入侵者的身份。以上兩點是相輔相成的。需要指出的是，這種基於欺騙戰術的積極防禦，不同于傳統的陷阱系統設計，大多數安全專家認為，一個配置有誤的陷阱系統無疑是一扇敞開的大門，而且一個被攻佔的陷阱系統會給用戶帶來法律上的麻煩，他們不贊成使用。

　　積極防禦是有益的嘗試

　　ActiveDefense（積極防禦）技術是由廣州前衛資訊安全技術有限公司自主研發的技術，它應用在其eDefence 2000入侵檢測系統之中，可以使一個實際網路變得真假難辨。部署於防火牆之外的eDefence 2000系統能夠即時檢測網路攻擊，同時還能夠在入侵者前來窺探時施放各種“煙幕彈”。

　　該系統另一個與眾不同的設計是，它將檢測系統分為前後兩台機器，後臺系統不再是一個簡單的管理終端，而是一個有著豐富知識庫的專家系統。利用專家系統提供的面向分析推理的規則語言，只須編寫幾條規則，而後存入知識庫，就可以一眼看出入侵者的真面目。一前一後的雙機設計從根本上改善了整個入侵檢測系統的抗攻擊能力。

　　在網路世界中上演的的攻防戰爭將永遠是一場沒有盡頭、“魔高一尺，道高一丈”的鬥爭。

http://tech.ccidnet.com/pub/article...a206563_p1.html