一體化安全檢測（UDS）引領(lǐng)安全之道

2013-10-21 11:04:33 eNet硅谷動力　點擊量：評論 (0)

Internet的飛速發(fā)展，為信息的傳播和利用帶來了極大的方便，同時也使人類社會面臨著信息安全的巨大挑戰(zhàn)。為了應(yīng)對日益嚴重的信息安全問題，防火墻、入侵檢測、安全審計、流量監(jiān)控等安全產(chǎn)品逐步得到推廣和應(yīng)

Internet的飛速發(fā)展，為信息的傳播和利用帶來了極大的方便，同時也使人類社會面臨著信息安全的巨大挑戰(zhàn)。為了應(yīng)對日益嚴重的信息安全問題，防火墻、入侵檢測、安全審計、流量監(jiān)控等安全產(chǎn)品逐步得到推廣和應(yīng)用。這些安全產(chǎn)品從一定程度上緩解了日益緊迫的安全問題，但如何集成各個產(chǎn)品的優(yōu)點，更好地發(fā)揮安全產(chǎn)品的作用，是網(wǎng)絡(luò)管理人員面臨的新問題。

　　概括起來，在目前的網(wǎng)絡(luò)安全管理中存在以下問題：

　　1．各安全設(shè)備往往是孤立運行的，其報警信息之間難以關(guān)聯(lián)，使得管理員缺乏對網(wǎng)絡(luò)整體安全狀況的認識。

　　2．安全事件發(fā)生后，無法快速確定安全事件的根源，網(wǎng)絡(luò)業(yè)務(wù)恢復(fù)時間長。

　　3．對某些特定安全事件缺乏準(zhǔn)確有效的檢測方法，如DDoS攻擊，蠕蟲病毒等。

　　4．多種網(wǎng)絡(luò)設(shè)備之間的串接，或者在交換機上進行多重鏡像實現(xiàn)包捕獲，會造成網(wǎng)絡(luò)運行性能下降。

　　將入侵檢測、安全審計、異常流量三大功能進行集成，采用一體化安全檢測（Unified Detection System ，簡稱UDS）技術(shù)，能夠有效地解決上述問題，與分別采用各類技術(shù)相比，具有七大方面的優(yōu)勢。

　　提高管理員安全決策的準(zhǔn)確性

　　多種檢測手段的集成，可以使用戶從不同方面更加全面地了解網(wǎng)絡(luò)安全狀況。不同的旁路檢測產(chǎn)品審查的重點不相同，當(dāng)發(fā)生安全違規(guī)事件時，通過三種工具之間的相互印證和關(guān)聯(lián)分析，可以提高管理員決策的準(zhǔn)確性。例如：流量顯示網(wǎng)絡(luò)中突然產(chǎn)生很高的TCP流量，通過IDS報警可以看出，是P2P軟件下載造成的，通過審計系統(tǒng)則可以看到更詳細的信息，比如下載的文件名，文件類型，大小等等。有利于管理員監(jiān)控網(wǎng)絡(luò)資源是否被合法使用。
　　
　　實現(xiàn)攻擊源和攻擊目標(biāo)的快速定位

　　以Internet蠕蟲傳播為例，被蠕蟲感染的主機的網(wǎng)絡(luò)行為會不同于正常主機，這時利用審計功能可以快速發(fā)現(xiàn)異常主機，結(jié)合IDS的攻擊報警即可確定感染源。例如：對于超長數(shù)據(jù)的緩沖區(qū)溢出，IDS可以進行預(yù)警，管理員再通過審計模塊察看具體的超長數(shù)據(jù)內(nèi)容，可以準(zhǔn)確判斷一次報警是否為攻擊，更可以為追蹤入侵者提供有力證據(jù)。

　　實現(xiàn)對特定安全事件的全面檢測

　　對DDoS攻擊和未知蠕蟲，IDS往往難以實現(xiàn)有效檢測，但二者均會引起網(wǎng)絡(luò)流量的顯著異常。UDS由于在IDS的基礎(chǔ)上集成了流量檢測功能，彌補了IDS的先天不足，帶來了更全面的檢測能力。例如：一次DDoS或蠕蟲攻擊，會讓流量檢測模塊顯示某一協(xié)議以及某一應(yīng)用產(chǎn)生大量的流量，而結(jié)合IDS模塊則可以看到流量類型等更具體的攻擊信息。流量模塊提供了攻擊所產(chǎn)生的網(wǎng)絡(luò)流量，管理員依此來評估具體損失，IDS模塊可以確定具體的攻擊類型，并且進行IP定位，用來查找網(wǎng)絡(luò)安全隱患。

　　提高用戶的投資性價比

　　在一次包捕獲的基礎(chǔ)上完成多重分析，與同時采用多臺設(shè)備相比，提高了處理的效率，減少了設(shè)備串連時發(fā)生故障的可能，也降低了多重鏡像對網(wǎng)絡(luò)性能的影響。此外，當(dāng)用一種綜合產(chǎn)品取代多種分離產(chǎn)品，在滿足功能和性能要求的同時，其價格優(yōu)勢是非常明顯的，可有效的提高用戶的投資性價比。

　　方便部署

　　將旁路檢測功能統(tǒng)一到一個設(shè)備上來實現(xiàn)，有利于產(chǎn)品的安裝實施和部署。旁路產(chǎn)品通常的接入方式是通過交換機配置鏡像或利用串接TAP接入，需要在交換機上設(shè)置多個鏡像端口或者串接多個TAP。不但會有多重鏡像造成交換機性能下降的情況出現(xiàn)，而且還會面臨部分交換機不支持多重鏡像的尷尬，并且串接多個TAP，也容易造成單點故障。

　　集中管理，綜合分析

　　旁路檢測的典型流程是將網(wǎng)絡(luò)上的數(shù)據(jù)報文進行全面捕獲，在保證不丟包的狀態(tài)下對數(shù)據(jù)報文進行分析，根據(jù)不同的預(yù)定義規(guī)則形成安全事件、告警或統(tǒng)計數(shù)據(jù)。因此在保持底層技術(shù)上統(tǒng)一、上層實現(xiàn)多樣化的UDS檢測系統(tǒng)則有效的擴展了檢測范圍，可以實現(xiàn)多樣化的綜合檢測需求。同時，在未來的產(chǎn)品架構(gòu)上也具有很好的擴展性。例如：系統(tǒng)對多種檢測的結(jié)果進行交叉關(guān)聯(lián)，集中檢測可以安全事件為單位進行報警，從而為管理員提供一個清晰的層次。一次DDoS攻擊事件中，異常流量模塊將劃分出時間范圍，IDS模塊提供詳細的攻擊類型信息，流量模塊統(tǒng)計所產(chǎn)生的網(wǎng)絡(luò)流量，不但可以計算此次安全事件的攻擊強度，還可以為日后計算損失提供依據(jù)，而審計模塊可以記錄該攻擊行為所影響的具體的應(yīng)用服務(wù)，可以為日后追蹤攻擊源頭提供證據(jù)。

　　對安全事件深入分析、取證記錄，可追蹤溯源

　　異常流量會話錄播。通過異常流量的檢測結(jié)果分析，當(dāng)發(fā)現(xiàn)某種協(xié)議類型的流量異常時，啟動UDS的會話錄播功能，可方便安全管理人員對異常流量的審計。例如：對于未知蠕蟲攻擊，異常流量系統(tǒng)可以預(yù)警，但是因為此蠕蟲為突發(fā)，異常流量系統(tǒng)就在第一時間內(nèi)預(yù)警，所以還尚無機構(gòu)為此命名，UDS系統(tǒng)也無法報警出具體的蠕蟲名字，這樣管理員可以通過系統(tǒng)自動記錄下會話數(shù)據(jù)流，日后再確認具體蠕蟲名稱。

　　IDS日志與安全審計日志、異常流量報警日志的交叉報表功能。被蠕蟲感染或遠程控制的主機，其流量分布、行為表現(xiàn)會不同于正常主機。通過審計或異常流量的日志發(fā)現(xiàn)異常主機，可以使管理員在處理IDS模塊的報警時更加關(guān)注那些異常主機，提高分析的準(zhǔn)確性。例如：對于一次安全事件，如蠕蟲攻擊，交叉報表可以給管理員提供一個很清晰的層次，可以通過異常流量模塊來確認一次安全事件，IDS模塊則提供了安全事件的具體攻擊類型、蠕蟲名稱，流量模塊可以提供安全事件產(chǎn)生的數(shù)據(jù)量，審計模塊為確認并追蹤攻擊源以及受害系統(tǒng)提供了依據(jù)。

　　IDS與主機資源信息的關(guān)聯(lián)。在各種安全設(shè)備上報的攻擊事件中，并非每次攻擊都會對目標(biāo)網(wǎng)絡(luò)的安全構(gòu)成威脅。以一次典型的針對IIS的緩沖區(qū)溢出攻擊為例，如果目標(biāo)主機不可達，或者其操作系統(tǒng)不是Windows系統(tǒng)、沒有運行IIS服務(wù)、不存在相關(guān)的漏洞，都會導(dǎo)致攻擊不成功。為此可以將IDS的報警與主機資源信息進行關(guān)聯(lián)，判斷該報警的真實性，降低IDS的誤報率。UDS的精確報警功能從一定程度上解決了該類問題，如果能進一步關(guān)聯(lián)漏洞掃描的結(jié)果，將會進一步增強報警的準(zhǔn)確性。例如：入侵者對一臺Linux系統(tǒng)發(fā)動一次unicode攻擊，其實這個攻擊是針對于Windows平臺的，這次攻擊并不能成功，如果運行環(huán)境中數(shù)據(jù)流量較大，報警較多，管理員則可以通過降低策略中的報警強度，過濾掉這些入侵企圖，而記錄真正有效的、有威脅的攻擊。

　　基于以上七大優(yōu)勢可以預(yù)計，一體化安全檢測技術(shù)和產(chǎn)品將得到越來越多的關(guān)注和應(yīng)用。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊