Snort仍然是网络检测系统发展的指引者

至今为止,Martin Roesch仍然是所有针对Snort(Snort是Sourcefire公司的网络检测系统的核心)的改进的背后的主导力量。虽然在商业压力下每家公司的技术改进都有可能发生变化,但是Snort的技术改进仍由Roesch一手掌控。1998年Roesch创立了开源的入侵检测系统Snort,2001年他开始与Sourcefire公司合作,售卖使用Snort引擎的应用程序和软件。在SearchSecurity.com的一次访问中,Roesch谈到,Snort的改进主要是他的主意,再综合用户、其他的入侵检测和防御引擎的开发人员和开源社区的建议完善而成。Sourcefire对它的系统做了许多改进,比如增加了对on premise和虚拟云的支持,还有许多用于提高速度和扩展保护能力方面的技术改进。在这次访问中,Roesch谈到了Snort引擎里最重要的部分下一步的变化以及与漏洞管理服务供应商Qualys的更进一步的合作将如何更深入地分析网络检测系统存在的威胁。

您觉得未来的入侵防御系统是怎样的呢?我了解到Snort现在不只在做入侵防御,是这样吗?

Martin Roesch:是的。从2004年开始,Snort被用作入侵检测系统/入侵防御系统。入侵检测系统和入侵防御系统的区别不只是功能,更多的是配置。我们的引擎在两种系统下都表现的很好,并且采用同样的代码。我们也添加了其他的功能,如用于内容检测的DLP技术。我们一直朝着用户希望的方向发展。我们与开源社区合作,与我们的用户合作,倾听他们的需求,按照需求将系统完善。我们不断地增加新的功能,我想人人都能从中受益。

在去年的一次访问中您提到,您想在平台的顶层搭建网络安全应用程序。您当时指的是SnortSP(Snort 安全平台)。请问现在这个项目进行到什么程度了呢?

Roesch:我们正在重新编写SnortSP的代码。从早期的性能测试我们发现了一些我们不希望看到的性能,于是我们重新编写了SnortSP的代码,希望得到一些我们乐意见到的性能。 SnortSP这个项目就是要为网络流量分析应用程序建立一个共同的平台,这样它们可以在同一个平台、同一个存储空间合作,共享他们所探测到的和需要防御的实时环境信息。不管是增加DLP、信誉过滤和客户端检测这样的功能,还是其他面向网络的程序,都与深层封包检查有关。理论上来说,这和运行一个Web防火墙程序或者一个漏洞扫瞄程序是一样的。于是SnortSP的基本想法就是把它变为现实。

如果有一个组织想投资Sourcefire 3D和Snort,是不是意味着他们同时也需要投资另外一个人来管理它呢?

Roesch:是的。我想现在看来这不是什么令人惊讶的事。我们专注于网络入侵检测和防御领域16年。当然需要至少一个人时不时的照顾它。我们一直在努力减少与技术无关的工作量。调整问题和误报问题的根本就是要求用户不断更新他们的防御系统,实现和网络环境的实时同步。我们绘制了一幅综合的网络环境地图,然后利用这个地图我们可以调整检测器,所以Sourcefire售卖的检测器可以实现自动调节。利用它我们还可以实现数据自动分析功能。当我们从Snort获知一个事件时,我们会分析数据,然后明确目标。我们会及时地对这个事件在用户的系统环境的重要程度进行评级和优先级排序,这样就不需要人们自己进行调节。然后我们进行影响评估,将对系统环境重要的数据保存下来。

您谈到在一个全新的Snort检测引擎上工作。有什么不一样的,为什么Snort需要一个新的检测引擎?

Roesch:这个有点难懂,但Snort正在使用的检测引擎模型是用来缓冲交换类型和配套网络协议流的本地化的,并且使用我们在数据流中发现的锚点来试图探测攻击。理想的模型是一个分层协议模型,它可以减少缓冲的消耗并且基本上不涉及协议分解,同时又不再利用我们的缓冲和我们已经使用了10年的配对系统。这将大大减少存取记忆体。毫无疑问,我们相信利用这个新的引擎模型,将来的检测能够更迅速、更深入。

Snort的改变中有多少来至于Snort社区?又有多少是出于商业驱动?

Roesch:其实都不是。这些都是为了推动新的检测引擎设计,主要是我认为在Snort工作的10或12年里,对其发展我有点自己的想法,就是用“如果你有机会重来,你会有什么不同”这种方法来解决问题。它的设计反映出来的是我这方面的思想比任何其他方面都要成熟。社区从来没有真正说过什么检测模型可以使用,他们从来就没有在结构之类的事情发出过真正的声音,如流水线装配等等。这真的跟陷进了杂草中一样,大多数人都在与数据库对话或者在现有的框架工程中获得一个检测插件这个层次上进行操作。Snort 3概念和SnortSP真的融入了我的很多想法,以及很多我给社区中人分享的想法,包括开发入侵检测/预防引擎行业和开源社区的其他人。

Sourcefire和QualysGuard在一年前宣布整合,今年又添加了一个连接件,使整合变得更加容易。如何提高Sourcefire的入侵检测/预防引擎和安全漏洞数据结合在一起后的能力?

Roesch:我们的RNA技术发现了网络并且绘制了用户离开后的网络地图。其副产品之一是它建立了一个善于观察的安全漏洞地图。我们使用这个安全漏洞地图自动优化Snort引擎和影响评估,着眼于未来的实时事件流进我们的防御中心,并以此为事件提供实时的优先次序。和QualysGuard的整合使我们能够直接将Qualys发现的安全漏洞数据导入到地图中,使我们对漏洞有一个正确的识别,而不仅仅是一个漏洞痕迹。这使我们能更准确的优化检测引擎并改善影响评估能力。