体育竞技的主宰因素很多,如“身体基因”、“科学方法”、“群众基础”等。那么,在网络安全领域,在入侵防御这个细分的安全市场中,未来的入侵防御系统应该具备哪些因素才能主宰市场,摘取金牌呢?
当前的入侵防御系统在性能、功能多样性、易用性,以及服务方面都与用户需求有着不小的差距。未来的入侵防御系统只有在这几个方面都取得技术突破性进展,才有资格站上最高领奖台。在没有第三方机构提出未来入侵防御系统模型之前,天融信公司依托于自身在入侵防御领域的研究,以及对客户需求的了解,归纳总结出“未来入侵防御系统”的六大特性。
入侵防御系统要覆盖WEB防护能力
在云计算和Web 2.0时代,越来越多的应用以Web方式发布和提供交互接口,Web应用及其服务器群已经成为主要攻击目标和重点防护对象。一些专门设计的Web防护系统其实就是在入侵防御系统基础上做一些有针对性的裁剪和加强,当然还有一些Web防护系统使用代理技术,这样可以获得更多的分析信息和控制能力,但是仍然面临严重的性能瓶颈问题。有些Web防护系统提供Web漏洞扫描和网站防篡改功能,但这些其实是独立的,可以单独提供产品或者集成到其它产品之中,当然也包括入侵防御系统。
实际上,Web服务系统也是由服务器主机、操作系统、数据库及应用程序组成,攻击手段并无特殊性,对Web防护能力理应是入侵防御系统的重要功能之一,下一代入侵防御系统应能够覆盖这些能力,不再需要专用的Web防护系统。
目前,天融信新一代擎天万兆入侵防御系统TopIDP具有高速的数据并行检测处理和转发能力,应用层处理性能超10Gbps,具备了强大的Web防护能力。
入侵防御系统要依应用增加智能防御
近几年,随着硬件计算能力的提高和核心算法的改进,入侵防御系统的性能已经有了很大提高,但是相比网络扩容速度和网络设备的发展仍然无法满足用户要求。入侵检测需要对数据报文内容及其数据流进行逐一检查,没有快速捷径,还不能达到向防火墙一样的线速水平,这也是为什么大多数入侵防御系统在实际网络中部署都要配置“过载保护”的原因。
随着攻击手段的丰富,检测规则也在不断增加,但大多数入侵防御系统在实际运行时都将规则总数维持在3000条左右,因为更多的规则将导致系统计算资源的消耗和运行性能的下降。可见,检测性能仍然是制约入侵防御系统推广应用的主要因素。
未来的入侵防御系统应该是基于应用的防御系统,可根据不同的应用智能地采取不同的防御策略,比如对含有SQL语句的http请求进行深度检查,而对于视频下载进行简单放行,这样能够做到“有所为有所不为”,从而大幅度提高实际网络应用性能。
目前TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能实时检测和防御,具备了依应用增加智能防御的性能。
入侵防御系统要支持安全可视化
简单的日志和统计报表已经不能满足要求,用户希望通过入侵防御系统的稳定运行,能够感受到受保护网络的安全态势,甚至能够根据各种分析结果计算得到一个分值,再依据这个分值设置行动预案,这有点像现实生活中的极端天气橙色预警,以简单的几种颜色表明可能遭遇的危害程度,进而规定了特定颜色后面对应的必需采取的应对措施。
实际上简单呈现的背后是一套复杂的综合分析技术,需要建立评价模型,将事件、事件的风险程度、发生的频率、一段时间内的累积次数、危害程度以及受保护资产的价值进行综合计算分析,得到数字化的可比较可衡量的分值。给一个特定网络的安全状况打80分还是90分无疑是件很棘手的事情,但未来的入侵防御系统正在向这个目标努力。
入侵防御系统要支持云安全服务
每个用户都希望得到清晰和明确的警示,但网络系统异常复杂,面对大量繁杂的数据报文,入侵防御系统不可避免地或多或少地会产生漏报和误报,要准确地分析趋势和警备级别少不了专业安全服务人员的参与。下一代入侵防御系统应支持云安全服务,能够将自身产生的配置、运行状况及产生的事件信息自动上送云端,利用安全厂商提供的云安全服务进行统计分析,进而得出安全危害级别及其应对措施,从云端更新安全配置,或推送新的防护规则都是一种积极主动的防护行为。用户需要的是将安全设备和服务集成为统一的联动体系,更紧密地依赖专业防护技术,从而将更多的时间和精力投入到业务系统开发中去。
统一的云安全服务还可以达到“牵一发而动全身”的效果,当入侵者在网络体系中某一点的突破被感知后,事件会迅速上传到云端,再由云端发起对接入服务云的所有入侵防御系统进行策略更新,实现网络体系的整体防护增强,导致入侵者无法有效利用突破进行扩展,从而将危害降低到最低级别。
目前天融信的安全云服务中心通过云监控、云检测、云防护、云优化等多个服务系统,实现了安全服务从客户端向云端的迁移,实现了零部署、零维护的服务部署模式,可以无缝支持TopIDP的服务需求。
入侵防御系统要集成DDOS防御能力
据相关权威机构数据统计,DDOS攻击占到所有攻击事件的70%,是恶意攻击者最常使用同时也是危害性最大的攻击手段之一。现有入侵防御系统主要对可以用模式定义的攻击行为进行检测和防御,虽然有些也具有DDOS防御模块,但普遍功能较弱,性能较差。在DDOS攻击频发和安全性较高的网络环境中,往往需要额外配置独立的DDOS防护设备来弥补其不足,不仅增加了网络复杂性,也为用户带来了额外的成本付出。
由于DDOS攻击发生时会产生大量的并发请求,极大地消耗处理器资源,所以要求入侵防御系统能够在数据包到达的第一时间即模式匹配前进行检测和防御,这部分功能通常位于操作系统的内核态运行,并且采用快速的统计分析算法。
有研究表明将僵尸网络定义和引入IP信誉机制相结合能够有效防御DDOS攻击,不过目前技术上还不成熟,相信随着DDOS防御技术的不断发展,未来入侵防御系统应具备完整和较强的对DDOS攻击的检测和防御能力,在标称性能许可范围内能够抵御各种DDOS攻击行为,从而完整地进行攻击防御,不再需要独立的DDOS防护设备。
入侵防御系统要集成防病毒能力
现实网络中的病毒与攻击区分越来越模糊,木马和蠕虫既是一种病毒也是一种攻击手段,那种靠文件拷贝复制传播的年代已经成为过去,现今的病毒可以直接利用主机漏洞通过网络快速传播,这种主动发起的扩散方式也形成了对网络的攻击。如果仔细观察,我们会发现在入侵防御系统和病毒检测系统中都具有对木马、后门和蠕虫的检测规则,这说明这些威胁已经成为两者需要共同应对的问题。
传统的病毒检测系统设计思路是用网络处部署的防病毒网关来统一进行病毒检测和防御,以此替代每个客户端上的防病毒软件,所以防病毒网关一般都采用代理方式,先将网络中传输的报文还原为文件,然后针对文件进行病毒查杀,查杀方式与客户端上的防病毒软件并无不同,实际上相当于用一个防病毒网关替代无数的客户端上的防病毒软件,虽然有效,但最大的问题是性能提升空间非常有限,无法满足用户要求。
如果将攻击检测和病毒检测合二为一,就需要采用统一的检测引擎和核心算法。这样不仅提高了检测效率,还可以有效降低数据报文时延。所以从应用和系统的角度都需要将网络病毒的防御作为未来入侵防御系统的基本功能。
主宰取决于自己
关于未来入侵防御系统的概念定义目前已是众说纷纭,并且在很长一段时间内还将继续讨论下去,这里我们从现有系统存在的缺陷及用户期望和需求的角度进行分析,勾绘出一个概念轮廓,即未来的入侵防御系统应具有:覆盖WEB防护能力、依应用而定的智能防御、支持安全可视化、支持云安全服务、集成 DDOS防御能力、集成病毒防御能力这六大功能。拥有如此,才能主宰未来,才能成为入侵防御这个赛场上的金牌冠军。