一體化安全檢測（UDS）引領安全之道

2013-10-21 11:04:33 eNet硅谷動力　點擊量：評論 (0)

Internet的飛速發(fā)展，為信息的傳播和利用帶來了極大的方便，同時也使人類社會面臨著信息安全的巨大挑戰(zhàn)。為了應對日益嚴重的信息安全問題，防火墻、入侵檢測、安全審計、流量監(jiān)控等安全產品逐步得到推廣和應

Internet的飛速發(fā)展，為信息的傳播和利用帶來了極大的方便，同時也使人類社會面臨著信息安全的巨大挑戰(zhàn)。為了應對日益嚴重的信息安全問題，防火墻、入侵檢測、安全審計、流量監(jiān)控等安全產品逐步得到推廣和應用。這些安全產品從一定程度上緩解了日益緊迫的安全問題，但如何集成各個產品的優(yōu)點，更好地發(fā)揮安全產品的作用，是網絡管理人員面臨的新問題。

　　概括起來，在目前的網絡安全管理中存在以下問題：

　　1．各安全設備往往是孤立運行的，其報警信息之間難以關聯(lián)，使得管理員缺乏對網絡整體安全狀況的認識。

　　2．安全事件發(fā)生后，無法快速確定安全事件的根源，網絡業(yè)務恢復時間長。

　　3．對某些特定安全事件缺乏準確有效的檢測方法，如DDoS攻擊，蠕蟲病毒等。

　　4．多種網絡設備之間的串接，或者在交換機上進行多重鏡像實現(xiàn)包捕獲，會造成網絡運行性能下降。

　　將入侵檢測、安全審計、異常流量三大功能進行集成，采用一體化安全檢測（Unified Detection System ，簡稱UDS）技術，能夠有效地解決上述問題，與分別采用各類技術相比，具有七大方面的優(yōu)勢。

　　提高管理員安全決策的準確性

　　多種檢測手段的集成，可以使用戶從不同方面更加全面地了解網絡安全狀況。不同的旁路檢測產品審查的重點不相同，當發(fā)生安全違規(guī)事件時，通過三種工具之間的相互印證和關聯(lián)分析，可以提高管理員決策的準確性。例如：流量顯示網絡中突然產生很高的TCP流量，通過IDS報警可以看出，是P2P軟件下載造成的，通過審計系統(tǒng)則可以看到更詳細的信息，比如下載的文件名，文件類型，大小等等。有利于管理員監(jiān)控網絡資源是否被合法使用。
　　
　　實現(xiàn)攻擊源和攻擊目標的快速定位

　　以Internet蠕蟲傳播為例，被蠕蟲感染的主機的網絡行為會不同于正常主機，這時利用審計功能可以快速發(fā)現(xiàn)異常主機，結合IDS的攻擊報警即可確定感染源。例如：對于超長數(shù)據(jù)的緩沖區(qū)溢出，IDS可以進行預警，管理員再通過審計模塊察看具體的超長數(shù)據(jù)內容，可以準確判斷一次報警是否為攻擊，更可以為追蹤入侵者提供有力證據(jù)。

　　實現(xiàn)對特定安全事件的全面檢測

　　對DDoS攻擊和未知蠕蟲，IDS往往難以實現(xiàn)有效檢測，但二者均會引起網絡流量的顯著異常。UDS由于在IDS的基礎上集成了流量檢測功能，彌補了IDS的先天不足，帶來了更全面的檢測能力。例如：一次DDoS或蠕蟲攻擊，會讓流量檢測模塊顯示某一協(xié)議以及某一應用產生大量的流量，而結合IDS模塊則可以看到流量類型等更具體的攻擊信息。流量模塊提供了攻擊所產生的網絡流量，管理員依此來評估具體損失，IDS模塊可以確定具體的攻擊類型，并且進行IP定位，用來查找網絡安全隱患。

　　提高用戶的投資性價比

　　在一次包捕獲的基礎上完成多重分析，與同時采用多臺設備相比，提高了處理的效率，減少了設備串連時發(fā)生故障的可能，也降低了多重鏡像對網絡性能的影響。此外，當用一種綜合產品取代多種分離產品，在滿足功能和性能要求的同時，其價格優(yōu)勢是非常明顯的，可有效的提高用戶的投資性價比。

　　方便部署

　　將旁路檢測功能統(tǒng)一到一個設備上來實現(xiàn)，有利于產品的安裝實施和部署。旁路產品通常的接入方式是通過交換機配置鏡像或利用串接TAP接入，需要在交換機上設置多個鏡像端口或者串接多個TAP。不但會有多重鏡像造成交換機性能下降的情況出現(xiàn)，而且還會面臨部分交換機不支持多重鏡像的尷尬，并且串接多個TAP，也容易造成單點故障。

　　集中管理，綜合分析

　　旁路檢測的典型流程是將網絡上的數(shù)據(jù)報文進行全面捕獲，在保證不丟包的狀態(tài)下對數(shù)據(jù)報文進行分析，根據(jù)不同的預定義規(guī)則形成安全事件、告警或統(tǒng)計數(shù)據(jù)。因此在保持底層技術上統(tǒng)一、上層實現(xiàn)多樣化的UDS檢測系統(tǒng)則有效的擴展了檢測范圍，可以實現(xiàn)多樣化的綜合檢測需求。同時，在未來的產品架構上也具有很好的擴展性。例如：系統(tǒng)對多種檢測的結果進行交叉關聯(lián)，集中檢測可以安全事件為單位進行報警，從而為管理員提供一個清晰的層次。一次DDoS攻擊事件中，異常流量模塊將劃分出時間范圍，IDS模塊提供詳細的攻擊類型信息，流量模塊統(tǒng)計所產生的網絡流量，不但可以計算此次安全事件的攻擊強度，還可以為日后計算損失提供依據(jù)，而審計模塊可以記錄該攻擊行為所影響的具體的應用服務，可以為日后追蹤攻擊源頭提供證據(jù)。

　　對安全事件深入分析、取證記錄，可追蹤溯源

　　異常流量會話錄播。通過異常流量的檢測結果分析，當發(fā)現(xiàn)某種協(xié)議類型的流量異常時，啟動UDS的會話錄播功能，可方便安全管理人員對異常流量的審計。例如：對于未知蠕蟲攻擊，異常流量系統(tǒng)可以預警，但是因為此蠕蟲為突發(fā)，異常流量系統(tǒng)就在第一時間內預警，所以還尚無機構為此命名，UDS系統(tǒng)也無法報警出具體的蠕蟲名字，這樣管理員可以通過系統(tǒng)自動記錄下會話數(shù)據(jù)流，日后再確認具體蠕蟲名稱。

　　IDS日志與安全審計日志、異常流量報警日志的交叉報表功能。被蠕蟲感染或遠程控制的主機，其流量分布、行為表現(xiàn)會不同于正常主機。通過審計或異常流量的日志發(fā)現(xiàn)異常主機，可以使管理員在處理IDS模塊的報警時更加關注那些異常主機，提高分析的準確性。例如：對于一次安全事件，如蠕蟲攻擊，交叉報表可以給管理員提供一個很清晰的層次，可以通過異常流量模塊來確認一次安全事件，IDS模塊則提供了安全事件的具體攻擊類型、蠕蟲名稱，流量模塊可以提供安全事件產生的數(shù)據(jù)量，審計模塊為確認并追蹤攻擊源以及受害系統(tǒng)提供了依據(jù)。

　　IDS與主機資源信息的關聯(lián)。在各種安全設備上報的攻擊事件中，并非每次攻擊都會對目標網絡的安全構成威脅。以一次典型的針對IIS的緩沖區(qū)溢出攻擊為例，如果目標主機不可達，或者其操作系統(tǒng)不是Windows系統(tǒng)、沒有運行IIS服務、不存在相關的漏洞，都會導致攻擊不成功。為此可以將IDS的報警與主機資源信息進行關聯(lián)，判斷該報警的真實性，降低IDS的誤報率。UDS的精確報警功能從一定程度上解決了該類問題，如果能進一步關聯(lián)漏洞掃描的結果，將會進一步增強報警的準確性。例如：入侵者對一臺Linux系統(tǒng)發(fā)動一次unicode攻擊，其實這個攻擊是針對于Windows平臺的，這次攻擊并不能成功，如果運行環(huán)境中數(shù)據(jù)流量較大，報警較多，管理員則可以通過降低策略中的報警強度，過濾掉這些入侵企圖，而記錄真正有效的、有威脅的攻擊。

　　基于以上七大優(yōu)勢可以預計，一體化安全檢測技術和產品將得到越來越多的關注和應用。