● RE---IDS技术处于十字路口 zz (转载)[转载] - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: jjk (oo~), 信区: Security
标  题: RE---IDS技术处于十字路口 zz (转载)[转载]
发信站: 荔园晨风BBS站 (Tue Dec 23 13:52:19 2003), 站内信件

【以下文字转载自 FreeBSD 讨论区】
【原文由 hoopdream@smth.org 所发表】
发信人: hoopdream (大叻街角的女孩), 信区: Security
标  题: RE---IDS技术处于十字路口 zz
发信站: BBS 水木清华站 (Tue Dec 23 10:43:25 2003), 转信

http://www.cnns.net/news/db/2885.htm

IDS技术处于十字路口
《信息安全杂志》全球IDS厂商专家访谈
CNNS注：IDS技术是安全业界富有争议的一个话题。虽然这个技术不成熟，也不好用，但
它是一个流行的概念。当国内安全厂商随国外潮流亦步亦趋，一哄而上开发IDS(入侵检
测系统)时，较早从事IDS技术研究的安络科技，却控制了IDS产品的推广，而转入了冷静
的思考。IDS技术的实用性在业界高层是存在争议的。可能很少有用户知道，全世界几乎
没有入侵检测产品真正发挥了人们期待的功能。只有少数专家知道，真正的入侵检测太
复杂，也太难了，需要很复杂的智能分析算法，需要很好的数学模型做基础。但现在业
界还没有找出很好的数学模型和智能分析算法。但是，一个叫PDR的经典现代安全模型却
把IDS技术奉为核心，号称所谓的"动态检测技术"。这个以一个简单数学公式作为支撑的
安全模型似乎深入人心，于是大量用户投资购买了IDS产品，但应用到今天，收效甚微。
很多用户不满频繁的误报警，干脆把入侵检测报警的设置全部关掉了。公正地，可以毫
不夸张地说，面对新的黑客攻击手段、大规模程序化攻击，以及智能程度较高的手工入
侵，即使采用最昂贵和最领先的IDS产品,也不过是个摆设。甚至是个麻烦。 Cisco、IS
S、NFR作为世界领先的IDS产品提供商，被《信息安全杂志》(ISM)请来讨论有关IDS技术
发展方向的问题。在对未来IDS发展问题上，四家公司有不同的看法，但他们都面临一个
同样很难解决的问题，那就是误报问题。这几家大公司的CTO/CEO面对有关误报的提问，
同样显得是那么无奈。
我国用户到底有没有必要斥巨资购买IDS？我国厂商需不需要在IDS技术上投入大量资源
？看了这五位业界精英的访谈后，您或者会有答案。
Infomation Security magazine请来了五位专家：
ROBERT GLEICHAUF (bobg@cisco.com)
是Cisco公司VPN和安全商务事业部的CTO。在任期间，他负责开发了公司的入侵检测产品
并负责将安全特性移植到Cisco's Catalyst 6000产品线
CHRISTOPHER W. KLAUS (cklaus@iss.net)
是Internet Security Systems (ISS)的创始人和CTO, 麻省理工的《Technology Revie
w》杂志将他列入1999年全球Top 100年轻创业者.
MARCUS J. RANUM (mjr@ranum.com)
是NFR Security的创始人和安全顾问，他领导开发了第一个商业网络防火墙产品，他在
Trusted Information Systems公司期间,为总统建立了邮件服务器。
MARTIN ROESCH (roesch@sourcefire.com)
是Sourcefire公司的总裁和CEO.他也是开放源码IDS工具Snort的作者，Snort是 Source
fire's 的支柱产品.
Moderator PETE LINDSTROM (plindstrom@hurwitz.com)
一个叫 Hurwitz Group的安全市场研究公司，负责研究安全策略。
以下是访谈内容：
ISM:
入侵检测概念已经深入很多人的脑袋。如今这个技术怎样发展？
KLAUS:
现在IDS技术面临解决一个严重的问题。那就是类似蠕虫的技术。在过去，信息安全面临
两种不同地下组织的威胁：病毒作者和黑客(入侵者)组织。但我们现在看到，这两者正
在结合。现在的病毒作者大量使用黑客入侵技术并将其植入后门和蠕虫程序中。传统的
病毒已经演化为混合性威胁。
现在很多的安全威胁技术已经不再是被动的邮件附件形式了，而演变为多类型的后门和
病毒程序。现在这类最新攻击技术已经用在点对点通信和直连网络技术上。
RANUM:
以后这两年，"mass rooter"(大型推土机，这里指广发自动攻击程序，指那些向多个互
联网主机进行扫描并自动入侵的攻击代码:CNNS注)也是非常厉害的威胁，而且越来越先
进有效。一个叫Teso的黑客组织编写了一个"mass rooter"，是面向wuftp 2.6~2.7软件
的(wuftp是华盛顿大学开发的一个广泛流传的ftp服务器软件:CNNS注)。大量装有wuftp
的互联网主机在数分钟甚至是几十秒内被会这个程序侵入和控制。
GLEICHAUF:
是的，这些攻击发展很快，而且一旦"中标"，很难清除。有人修复主机并且打了补丁以
后就以为没事了，殊不知这些程序可能潜伏起来，在一个月后重新爆发。
ROESCH:
这些具有自动繁殖能力和自动入侵能力的工具，一旦在互联网上爆发，很少有攻击者能
再控制它们。这将出大问题。漏洞被披露到相关的自动攻击工具开发出来并广为传播的
时间差越来越短，这样，对于相关的厂商和管理员来说，给他们的响应时间也将越来越
短。
ISM:
要应付这样的威胁，IDS技术将如何发展？
GLEICHAUF:
有一点，就是整合多个组件。你可能已经有基于主机类型的IDS系统，也有基于网络的，
或者还有防止分布式D.o.S服务的工具。把这些技术结合起来是能提高安全效率的。
RANUM:
另一方面，对于"大型推土机"和自动扫描技术对于当前的IDS产品来说是个灾难。很少有
IDS能够智能地处理非法入侵行为并有效地报警，由于大型推土机有大量攻击线程，IDS
和安全管理中心会很容易地被大量报警信息所"淹没"。因此，以后的IDS产品，必须具有
更多的智能特点，对于已经打过补丁的系统，不会受该漏洞侵袭的服务器，IDS就不应该
报警。IDS应该更关注那些危及商业应用安全的攻击。
ROESCH:
我们将看到很多研发项目将针对入侵检测传感后端数据关联技术，它们将全面集成入侵
检测技术，将多个代理传送到管理器的数据整合起来，经过智能处理，将小比例的多个
事件整合形成一个放大的全面事件图。
KLAUS:下一代的IDS将是一整个管理系统。很多安全技术组织专注于研究如何管理入侵事
件并且将它们关联起来。这不是纯粹的IDS了。这实际上集成了入侵检测和弱点评估技术
。对于一个特定的漏洞和攻击方法，上述的IDS需要先分析系统是否会因为这个缺陷而被
入侵，然后再考虑与入侵检测的关联(报警)。有些人认为IDS纯粹是基于网络应用的，实
际上，IDS技术和概念还可以深入到服务器、桌面和应用程序这一层上。
ISM:
我们能做到有多智能呢？
RANUM:
我们面临一个重要问题，那就是缺乏相关的标准。这是可以理解的，因为这个领域发展
太快。我们有很多的IDS产品，这些产品差别不大。对于IDS由于缺乏行业标准，有人只
好拿NFR、ISS、Snort和Cisco的IDS反复比较(毕竟这四家是领先者)，这本身是个大问题
。标准的制定和商业利益驱动是不是有关系呢？
ISM:
对于终端用户来说，集成报警信息有多重要？
特别重要。这是现在不同的IDS厂商正在共享IDS数据和规格化IDS参数的原因。我们面临
的最大挑战谁能开发出好的数据模型。不同应用的网络会产生相当不同的通信数据。模
型化并分类这些信息，以及最小化无用信息是一件很难的事情。
ISM:
你谈到开发一个好的数据模型。对数据自身有什么要求？
GLEICHAUF:
情况是变化的。视乎用户如何设置他们的设备。如果这些设备和安全产品协调得好的话
就好办，否则，如果把所有的设置都打开，用户会被大量数据"淹没"，这样就很难了。

MARCUS RANUM：
关于异常检测有一个问题，即使是当前最好的系统，也只有75%的正确率。即误报率经常
是25%以上。因此，很少有用户能理解他的网络发生了什么事情。如果让用户觉得你提供
的数据不可靠的话，他们会全部放弃。
KLAUS:
用户最大的反应是检测错误率(false positives)，我们作为厂商，经常向用户解释检测
错误率和误报警的区别。我们说的检测错误率，是程序开发过程中的错误，是产品的问
题，即对于一个信号和数据，我们采用了错误的识别方法。这种情况是不多见的。而80
%的用户所说的"false positives"，实际上是指误报警。这个问题不是厂商能解决的。

(CNNS注：避免错误检测的算法和检测的实现，毫无疑问是对厂商的基本要求，无需赘言
，如果说捕获到信息都不能正确识别和检测，那就一点用处都没有了。
误报警与错误的规则设置有关。而厂商主要是提供规则库的构成功能和识别方法，正确
的规则有赖于用户设置，把自己的责任推得一干二净，如果用户有能力设置一套正确并
有良好效果的规则，那还买RealSecure干什么，使用Open Soure的free的IDS的效果可能
更好。)
GLEICHAUF:
要解决这个问题，必须把基于异常的检测技术和传统的基于信号的检测技术结合起来。

KLAUS:
在有关不同类型和不同方式的检测攻击课题中，我们把协议分析、规则匹配和统计分析
等技术结合起来，以确定究竟发生了何种攻击。对于厂商来说的任务是，定义用户的输
入，以确保规则运行效果。
ISM:
你的主要异议是不是说以后的IDS管理要定义更多的数据级别？
RANUM:
不仅仅需要更多的数据级别，还有数据变化率。将来的IDS软件要具备这样的智能："现
在有些信息，你没有告诉我是否该引起你的关注，现在我提醒你注意，你该告诉我以后
我该怎么做。"
ROESCH:
我对于力推智能化的观点不大赞同，尤其是Marcus说的超越传感器的层次。让传感器决
定哪些东西是人们需要的不是很必要。我觉得传感器的
工作就是收集可疑的信息，而管理系统的工作是为用户定制这些信息。
RANUM:
我说的是概念。在传感器和管理器之间的互动细节会在用户面前隐藏起来。
ISM:
Chris，你提到false positives和false alarms的区别，这是不是用户不满的典型情况
？
KLAUS:
典型的情况是，用户第一次运行IDS的时候，他们很可能是设置所有的检测参数，让IDS
告诉自己一切。他们会为他们看到的感到吃惊。也许他们因此抓到了干坏事的家伙。但
一两个礼拜后，他们可能会说："嗨，我的眼睛被这些信息淹没了，我无法做出反应了"
。这时有关"false positive"的抱怨就来了。但很多情况下，这些是误报警。这种把ID
S丢到任何环境，期待它们自动调整，并且让你看到你真的想看的信息的期待是不现实的
。我们还有很长的一段路要走。
ISM: 有没有关于Christmas puppy(免费工具)的案例？
我想用户经常会这样做，然后他们会受经历教育。早期，作为产品的一部分，厂商都会
提供一些免费的工具给用户，当他们大面积推广的时候，发现已经砍不掉这些免费工具
了。
ISM:我们如何让用户确信IDS的价值？
RANUM:
公正地说，我们正在这样做了。当用户买了IDS，他们为自己的网络状况感到震惊，或沮
丧。随后，用户说，你看吧，这是我讨厌IDS的原因，尽是误报(尽管并不是false posi
tive)。大量的误报警说明这个系统被错误地配置。
GLEICHAUF:
有一点是集成安全服务。所以，你发现现在很多IDS与firewall开始联动，就象VPN和fi
rewall联动一样。如果这些服务捆在一起，IDS可以自动地告诉防火墙执行一个安全策略
。但是，我们必须降低误报.
ISM:
不错的应用。firewall与IDS究竟是优是敌？
KLAUS:
以后，我们将会继续看到防火墙会有更多的IDS功能。它们将在更高层次执行更细致的防
护，设置安全策略，哪些允许进，那些允许出你的网络。任何IDS都可以检测什么可以进
入网络，并且制止潜在的攻击。
ISM: 让我们讨论一下有关IDS的标准。
RANUM:
实际上，厂商和标准制订者是耗不起的。在1992年前我就在搞防火墙，我要把防火墙和
VPN结合，当时我是第一个这样做的厂商，但我如果等IETF的IPsec标准出来，这样我要
等三年，我的竞争者就追上来了。
GLEICHAUF:
是的，当厂商参与IETF，我们很难统一意见。
RANUM:
如果有一个关于IDS检测能力的合理基准出台当然是好事情了，但这很难，我们看到很多
实验室在关于IDS基准的项目上惨败，在实验室里是很好的结果，但是到了用户的网络上
却根本经不起推敲。
GLEICHAUF:
关于IDS领域的基准问题，我比较倾向与管理服务提供公司合作，他们的工作很有成效，
他们能在不同的客户和不同的领域做得很好。
ISM:
我们如何防御网络入侵？
KLAUS:
误报是要解决的关键问题。很明显，如果我们老是老是把合法的通信当成是攻击，这样
会极大地影响正常的业务，以后用户将不会再安装我们的产品。
作为一项使命，我们必须投入大量的资源和时间，改进我们的算法，使用户使用我们的
产品不会有太多的误报。
RANUM:
我觉得将来的趋势是集中决策支持系统。我猜测，将来我们在入侵管理方面下的功夫会
比入侵防御多。我们有必要建立一个决策支持系统，让我们经常了解一个特定企业系统
弱点的整个系统状态。
ISM: 今天的IDS和五年前相比怎么样？
RANUM:
1997年的时候，我想为用户收集信息，并且让用户知道他们的网络状况非常有用。我们
产品最初设计成为了一个智能的监听软件，后来我们进入了入侵检测领域，因为只要做
适当的功能增进，监听软件也能检测入侵行为。我想，用户需要了解发生了什么事情的
很多信息，但他们实际上不想了解发生了什么，而是需要被告知这些会带来什么影响。
这个想法让我们的产品完全转向，使用户买一个IDS可以了解到他们处于什么样的攻击之
下，除非用户是研究人员，否则他不需要了解数据包的内容。

"Now that IDS has evolved to a certain point, clearly the next level is the
whole management piece. More organizations are focusing on managing these ev
ents, correlating them. It's not a pure IDS. It's convergence not only from
an IDS perspective, but also vulnerability assessment. The IDS needs to dete
rmine whether the system is vulnerable and whether to relate to it."
-CHRIS KLAUS, Internet Security Systems
"One of the problems with anomaly detection is that even the current best re
search systems have something like a 75 percent success rate. So few custome
rs have the ability to even understand what's going on in their networks. If
you start giving them something that's giving unreliable data, they're goin
g to just throw it all out."
-MARCUS RANUM
"The real challenge is for people who can write good models for the data tha
t comes out. The problem we have is that different enterprise networks creat
e quite different traffic. Trying to model it and pull out interesting patte
rns with it while minimizing false positives and things like that, is very d
ifficult."
-BOB GLEICHAUF, Cisco Systems
"The time delta between when a vulnerability is discovered and when an auto-
attack tool is developed and put into wide distribution will get shorter and
shorter, so there's going to be less and less response time from the vendor
and admin community to get patches out."
-MARTIN ROESCH, Sourcefire
相关连接：CNNS网络安全工程高级保障体系
----------------------------------------------------------------------------
----

【在 SofarSogood (笑面每一天的肥) 的大作中提到: 】
: boss要俺做这个方向，但是似乎目前很难做，特别是理论上
: 请各位高手指教

--
自由是孩子的梦想
                     梦想象风一样行走

※ 来源:·BBS 水木清华站 smth.org·[FROM: 218.68.217.208]
--
※ 转载:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店