Internet的飞速发展,为信息的传播和利用带来了极大的方便,同时也使人类社会面临着信息安全的巨大挑战。为了应对日益严重的信息安全问题,防火墙、入侵检测、安全审计、流量监控等安全产品逐步得到推广和应用。这些安全产品从一定程度上缓解了日益紧迫的安全问题,但如何集成各个产品的优点,更好地发挥安全产品的作用,是网络管理人员面临的新问题。
概括起来,在目前的网络安全管理中存在以下问题:
1.各安全设备往往是孤立运行的,其报警信息之间难以关联,使得管理员缺乏对网络整体安全状况的认识。
2.安全事件发生后,无法快速确定安全事件的根源,网络业务恢复时间长。
3.对某些特定安全事件缺乏准确有效的检测方法,如DDoS攻击,蠕虫病毒等。
4.多种网络设备之间的串接,或者在交换机上进行多重镜像实现包捕获,会造成网络运行性能下降。
将入侵检测、安全审计、异常流量三大功能进行集成,采用一体化安全检测(Unified Detection System ,简称UDS)技术,能够有效地解决上述问题,与分别采用各类技术相比,具有七大方面的优势。
提高管理员安全决策的准确性
多种检测手段的集成,可以使用户从不同方面更加全面地了解网络安全状况。不同的旁路检测产品审查的重点不相同,当发生安全违规事件时,通过三种工具之间的相互印证和关联分析,可以提高管理员决策的准确性。例如:流量显示网络中突然产生很高的TCP流量,通过IDS报警可以看出,是P2P软件下载造成的,通过审计系统则可以看到更详细的信息,比如下载的文件名,文件类型,大小等等。有利于管理员监控网络资源是否被合法使用。
实现攻击源和攻击目标的快速定位
以Internet蠕虫传播为例,被蠕虫感染的主机的网络行为会不同于正常主机,这时利用审计功能可以快速发现异常主机,结合IDS的攻击报警即可确定感染源。例如:对于超长数据的缓冲区溢出,IDS可以进行预警,管理员再通过审计模块察看具体的超长数据内容,可以准确判断一次报警是否为攻击,更可以为追踪入侵者提供有力证据。
实现对特定安全事件的全面检测
对DDoS攻击和未知蠕虫,IDS往往难以实现有效检测,但二者均会引起网络流量的显著异常。UDS由于在IDS的基础上集成了流量检测功能,弥补了IDS的先天不足,带来了更全面的检测能力。例如:一次DDoS或蠕虫攻击,会让流量检测模块显示某一协议以及某一应用产生大量的流量,而结合IDS模块则可以看到流量类型等更具体的攻击信息。流量模块提供了攻击所产生的网络流量,管理员依此来评估具体损失,IDS模块可以确定具体的攻击类型,并且进行 IP定位,用来查找网络安全隐患。
提高用户的投资性价比
在一次包捕获的基础上完成多重分析,与同时采用多台设备相比,提高了处理的效率,减少了设备串连时发生故障的可能,也降低了多重镜像对网络性能的影响。此外,当用一种综合产品取代多种分离产品,在满足功能和性能要求的同时,其价格优势是非常明显的,可有效的提高用户的投资性价比。
方便部署
将旁路检测功能统一到一个设备上来实现,有利于产品的安装实施和部署。旁路产品通常的接入方式是通过交换机配置镜像或利用串接TAP接入,需要在交换机上设置多个镜像端口或者串接多个TAP。不但会有多重镜像造成交换机性能下降的情况出现,而且还会面临部分交换机不支持多重镜像的尴尬,并且串接多个 TAP,也容易造成单点故障。
集中管理,综合分析
旁路检测的典型流程是将网络上的数据报文进行全面捕获,在保证不丢包的状态下对数据报文进行分析,根据不同的预定义规则形成安全事件、告警或统计数据。因此在保持底层技术上统一、上层实现多样化的UDS检测系统则有效的扩展了检测范围,可以实现多样化的综合检测需求。同时,在未来的产品架构上也具有很好的扩展性。例如:系统对多种检测的结果进行交叉关联,集中检测可以安全事件为单位进行报警,从而为管理员提供一个清晰的层次。一次DDoS攻击事件中,异常流量模块将划分出时间范围,IDS模块提供详细的攻击类型信息,流量模块统计所产生的网络流量,不但可以计算此次安全事件的攻击强度,还可以为日后计算损失提供依据,而审计模块可以记录该攻击行为所影响的具体的应用服务,可以为日后追踪攻击源头提供证据。
对安全事件深入分析、取证记录,可追踪溯源
异常流量会话录播。通过异常流量的检测结果分析,当发现某种协议类型的流量异常时,启动UDS的会话录播功能,可方便安全管理人员对异常流量的审计。例如:对于未知蠕虫攻击,异常流量系统可以预警,但是因为此蠕虫为突发,异常流量系统就在第一时间内预警,所以还尚无机构为此命名,UDS系统也无法报警出具体的蠕虫名字,这样管理员可以通过系统自动记录下会话数据流,日后再确认具体蠕虫名称。
IDS日志与安全审计日志、异常流量报警日志的交叉报表功能。被蠕虫感染或远程控制的主机,其流量分布、行为表现会不同于正常主机。通过审计或异常流量的日志发现异常主机,可以使管理员在处理IDS模块的报警时更加关注那些异常主机,提高分析的准确性。例如:对于一次安全事件,如蠕虫攻击,交叉报表可以给管理员提供一个很清晰的层次,可以通过异常流量模块来确认一次安全事件,IDS模块则提供了安全事件的具体攻击类型、蠕虫名称,流量模块可以提供安全事件产生的数据量,审计模块为确认并追踪攻击源以及受害系统提供了依据。
IDS与主机资源信息的关联。在各种安全设备上报的攻击事件中,并非每次攻击都会对目标网络的安全构成威胁。以一次典型的针对IIS的缓冲区溢出攻击为例,如果目标主机不可达,或者其操作系统不是Windows系统、没有运行IIS服务、不存在相关的漏洞,都会导致攻击不成功。为此可以将IDS的报警与主机资源信息进行关联,判断该报警的真实性,降低IDS的误报率。UDS的精确报警功能从一定程度上解决了该类问题,如果能进一步关联漏洞扫描的结果,将会进一步增强报警的准确性。例如:入侵者对一台Linux系统发动一次unicode攻击,其实这个攻击是针对于Windows平台的,这次攻击并不能成功,如果运行环境中数据流量较大,报警较多,管理员则可以通过降低策略中的报警强度,过滤掉这些入侵企图,而记录真正有效的、有威胁的攻击。
基于以上七大优势可以预计,一体化安全检测技术和产品将得到越来越多的关注和应用。