本文讲的是 重振入侵检测系统许多人认为入侵检测系统IDS就像当年的寻呼机一样已经过时。这个观点很大程度上与入侵检测系统已经被入侵防御系统IPS所兼并有关而IPS也已经被第二代防火墙和UTM兼并。
这种看法已经从IDS/IPS厂商那里得到验证这些致力于提高他们的IPS性能的厂商已经把IDS作为IPS组合产品中的其中一项部署。
“你想检测入侵吗那么只要部署我们的IPSout-of-band就可以了”
显而易见入侵检测系统和入侵防御系统不仅仅是简单的同一种技术的两种部署选项它们实际上是有着不同需求目标和不同角色的两种概念。
时间和地点
现代IDS和IPS最明显的差别在于它们位于攻击的不同阶段。入侵防御是一切关于通过实时检测病毒感染和计算机妥协将危险挡在网络外的技术。IPS检测成千上万个计算机漏洞、已知恶意域名和攻击信号。
相反入侵检测系统将注意力放在计算机感染病毒后的入侵阶段。入侵的出现意味着计算机已经妥协需要寻找不同的东西检测入侵。
IDS并不是搜索恶意程序它的工作已经转移到内部检测。恶意软件在内部传播是用户凭证或者数据已被盗取的标志。作为现代入侵检测系统至少要检测与IPS不同的信息。
这些信息出现在不同的地方排除威胁的工作使IPS很好的适应了位于内部网络和互联网边界的位置。然而如果边界设在防御逻辑层攻击的长尾效果还是能在内部网络发挥作用的。
偷窥传播和盗取都是在内部完成因此这就是IDS应该部署的地方。尽管IDS通常在内部网络的深层部署但是确保它在正确的地方和针对正确的威胁非常重要。如果在任何情况下发生了检测失败的案例说明你没有将它部署在正确的地方。
速度为王 慢速要命
除了正确的时间和地点IDS急需一个新的大脑。当IPS已经越来越快并且依赖多类型签名的时候核心的检测技术却保持停滞。
几十年来签名一直是检测技术的主导方法因为它们可以快速并适配寻找多种恶意指示器。用短字符和字符串签名能发现漏洞恶意域名IP地址非法用户代理和无数的其他恶意负荷。
但签名的弱点也广为人知因此必须保持IPS的基本优势—速度。如果你想防止威胁你就必须能够快速做出决定。
随着IPS集成到UTM和防火墙中关于恶意文件的判定就是必须快速给予IPS思考的时间很少。签名必须快速而且占用很少的内存为上下文环境留出空间。
现代入侵检测系统对于这些类型的限制没有任何作用它不执行网络设备的指令而是执行最佳检测威胁方案的指令。
如今的网络攻击是长时间的、多步骤的并随着时间和各种设备的发展而进化。在时间性的网络环境下哪怕是良性的孤立事件也会被判定为恶意。
这就需要新的检测技术和方法。尽管没有一劳永逸的方法但一个有效的IDS必须具备弹性以发展和使用多种检测方法而不是只与一种方法结合。
“下一代”这个词在行业中已经用烂很显然IDS必须迈出巨大的一步。IDS不能只是“没有牙”指无攻击性的IPSIDS必须成为一切检测技术的扩展集合此为壮大IPS的唯一道路。
原文发布时间为十一月 16, 2015
本文作者Recco
本文来自云栖社区合作伙伴安全牛了解相关信息可以关注安全牛。
原文链接http://www.aqniu.com/learn/11806.html
