UTM/IDS/IPS

为了提高IDS的响应能力，目前国外比较成熟的做法是，用户将这项工作委托给其它专业的安全服务商。在国内还有一个对外包服务商的信任认知过程，而且要确保有一个与外界网络联系的实时畅通的渠道。因此，安全服务委托外包的方式，在国内还需时日。

作为国内最早成立的专业安全厂商，启明星辰一直以高于行业平均增长速度的态势领跑整个信息安全产业，并不断结合用户需求进行产品技术创新。其天清入侵防御系统一经发布，就引发了一场IDS与IPS的大讨论，最终，启明星辰提出的“以深层分析，精确阻断作为IPS产品核心价值，用于已知的风险控制；以全面检测，有效呈现作为IDS产品的核心价值，用于全面的风险管理”这一理念获得了用户的高度认可。这一明晰的产品理念，也确保了启明星辰公司在IDS和IPS两大市场上的优异表现。

IDS 在等级保护中的应用，我觉得有以下几点应该考虑，第一，一些规避IDS的入侵方法。目前，有专门针对IDS检测过程中技术环节缺陷的攻击手法，如多态缓冲溢出攻击等，等级保护中IDS的应用应该注意这方面的问题；第二，现在IPS的说法很流行，它可以在入侵成功的情况下对攻击及时进行阻断，因此在一些国家重要部门的信息系统应该强制要求具备这种能力；第三，当入侵行为发生之后，事后应该通过信息记录作为电子证据查处入侵行为，因此，入侵行为的取证也要达到一定的要求；第四，是否具有特殊环境下对加密数据流进行检测的功能，因为国家重要部门的很多应用都是加密的，这种情况下如何进行入侵的检测是一个比较重要的问题；第五，安全是一个综合性的复杂行为，有一些入侵从单点或个别信息角度很难准确确定攻击行为，要通过多点或多种安全产品信息的采集和过滤才能够更进行准确的判断，所以IDS对分布式的部署能力有很高的要求。今后，IDS越来越多的是充当管理平台的角色，因此，是否具备大规模分布式的部署能力以及信息处理和集中管理能力至关重要。 等级保护要解决的一个重要问题是从哪个角度分级，分级的目的是规范产品功能还是性能，

为避免发生这种情况，一些IDS和IPS开发商在产品中采用了多检测方法，最大限度地正确判断已知和未知攻击。例如，Symantec的ManHunt IDS最初仅依赖于异常协议分析，后来升级版本可让网管写入Snort代码（Sourcefire公司开发的一种基于规则的开放源码语言环境，用于书写检测信号）增强异常检测功能。Cisco最近也对其IDS软件进行了升级，在信号检测系统中增加了协议和通信异常分析功能。NetScreen的硬件工具则包含了8类检测手段，包括状态信号、协议和通信异常状况以及后门检测。

当有攻击表现的信息包数量超过IDS的处理能力的话，IDS会陷入拒绝服务状态。针对诸如：stick、snot等反IDS 的攻击，海信“眼镜蛇”IDS 采用了TCP状态跟踪技术来避开这种攻击。TCP状态跟踪技术主要是记录所监控网络的有效TCP 连接，入侵检测系统会根据这些记录来判断一个待检测的TCP数据包是否处在一个有效的TCP连接之中。这种技术能减少入侵检测系统的误报率。当入侵检测系统遭受到诸如stick、snot等这些专门针对入侵检测系统的攻击时，入侵检测系统不会出现误报。海信IDS 防止反IDS的黑客软件的攻击，更高强度地加固了系统自身的安全性。

国内信息安全的领导厂商启明星辰认为，任何产品的开发应该围绕着核心产品价值展开，产品的各种能力都应该为核心产品价值服务。因此IDS必须能够全面检测网络中各类安全事件，也就是说检测的全面性是考量IDS产品优劣的主要标准；而IPS必须能精确阻断关键网络威胁，对关键网络威胁的防御能力以及防御的准确性是考量IPS产品优劣的主要标准。

DNS服务漏洞攻击名单邮件漏洞攻击名单FTP服务漏洞攻击Finger服务漏洞攻击Linux系统漏洞攻击NFS服务漏洞攻击口令攻击攻击协议漏洞攻击路由/交换漏洞攻击RPC服务漏洞攻击扫描攻击攻击监听攻击攻击木马攻击攻击Unix系统攻击攻击Web攻击攻击Windows系统漏洞攻击

前两种改进方法的目标是提高IDS检测的精度和速度。检测系统“诊断”的速度和精确性不断提高，渐渐具备了防御功能，进而又演进为一种集中式的决策支持系统。今后IDS将淡化防御职能，强化管理职能，淡化入侵防御，强化入侵管理。我们需要建立一个不断掌握企业总体安全漏洞状况的决策支持系统。

IDS能够查找在某一个特定时段内一个主机和另一个主机之间的连接次数(例如，在10秒钟之内同一个IP地址的主机发出10次以上的连接请求)。这种方法是DNS服务器经常被误认为是端口扫描主机的一个原因。ns1.securitysage.com网站称，当你的计算机使用一个DNS服务器的时候，它将随机地从高的端口到低的53端口连接ns1.securitysage.com网站，ns1.securitysage.com网站通常用53端口对这同一个连接进行应答。对于IDS来说，这就像ns1.securitysage.com网站正在对另一个主机进行端口扫描一样 ，在几秒钟之内发出几个查询。

这几年有关入侵检测的产品发展比较快，现在比较流行的入侵检测系统（IDS）也比较多，其中Intruder Alert and Netprowler、Centrax 2.2和Realsecure 3.2采用了集成化的检测方法。

会话阻止的机制可以被攻击者所绕过，绕过这一机制的很多方法都是依靠时间选择方式。 如果攻击不需要一个交互式的会话过程，则攻击者可以通过简单设置TCP/IP数据包的PUSH堆栈来实现时间选择。TCP/IP堆栈一般不会立即将收到的大块数据送给应用程序处理。绝大多数时候，这样将造成应用程序花费比较高的系统中断调用和内容交换的代价来提高对小数据包的处理能力，堆栈将所有数据放在一个缓冲区中，当缓冲区满了以后，堆栈才将堆栈中所有的数据一次性提交给应用层的程序。在上面的例子中，所有的51字节的数据全部收到以后才会被一次性提交给应用层。

传统的处理网络数据包的方式由于网卡驱动程序运行在内核空间，当网卡收到包以后，包会存放在内核空间内，由于上层应用运行在用户空间，无法直接访问内核空间，因此要通过系统调用往上层应用系统送，这时候会发生一次复制过程。同时这个过程常常还伴随着一次从抓包库到检测引擎的复制过程。如果对于一般应用来说，很少的操作来处理网络通

　IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的，而对于另外的用户来说就是正常流量，这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段，以提高检测准确率。McAfee、Juniper、ISS、冰峰网络等公司同时都在IPS中提供了调优机制，使IPS通过自学习提高检测的准确性。

如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头，分析和监视网络层（L3）和协议层（L4），基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。

由于需要具备主动阻断能力，检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍，Juniper产品中使用包括状态签名、协议异常、后门检测、流量异常、混合式攻击检测在内的“多重检测技术”，以提高检测和阻断的准确程度。McAfee 公司则在自己的实验室里加强了对溢出型漏洞的研究和跟踪，把针对溢出型攻击的相应防范手段推送到IPS 设备的策略库中。国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术，通过研究漏洞特征，将其加入到过滤规则中，IPS就可以发现符合漏洞特征的所有攻击流量，在冲击波及其变种大规模爆发时，直接将其阻断，从而赢得打补丁的关键时间。

前两种改进方法的目标是提高IDS检测的精度和速度。检测系统“诊断”的速度和精确性不断提高，渐渐具备了防御功能，进而又演进为一种集中式的决策支持系统。今后IDS将淡化防御职能，强化管理职能，淡化入侵防御，强化入侵管理。我们需要建立一个不断掌握企业总体安全漏洞状况的决策支持系统。

基于模式匹配技术的IDS的根本问题在于它把数据包作为一系列随机变换的字节流，它假设数据包的结构不可知。当模式匹配被用来从大量随机变化数据，如一个数据影像或一个音频流中搜索特征模式时，可以说是一个正确明智的方法。模式匹配软件最初就是为分析数据影像和音频信息而开发的。但很明显，分析数据影像和分析网络通信协议是截然不同的。模式匹配软件可以在入侵检测系统中使用，但它绝不是理想的，因为它本身就不是被设计来完成这种任务的。

只有全面掌握安全风险才能有效进行安全管理，入侵检测系统（IDS）在安全风险可见性上具有天然优势，而这种优势必须通过可视化的管理手段才能发挥出来。管理可视化主要体现在安全

IPS本身的内涵在不同的厂商、不同的产品中均存在不同的定义。作为系统安全管理员，首先不能被IPS的概念弄晕了头脑，而一定要仔细了解其中的深刻含义，然后再作出正确的判断。

将收集来的海量数据按照所属的信息资产进行分类。能够实现这一步的前提条件是企业网已经进行过信息资产分类。这一点很重要，可以大幅度提高数据的可利用性、减小误报引起的人力浪费，将管理员宝贵的精力放到关键的信息资产上去。当前专门的信息安全顾问服务可以帮助企业进行信息资产分类。