IDS從誕生之日起,便不斷為提高自身的性能以適應迅速增長的網絡流量而努力。中國的千兆IDS是啟明星辰公司首家推出並通過權威部門的測試認證的,這是其“六年磨壹劍”的體現,是壹種技術上的大突破。但是這是需要壹個過程的,沒有大規模應用的基礎,沒有廣泛的經驗積累,沒有持續的技術研究,也不可能“忽如壹夜春風來,千樹萬樹梨花開”。那麽廣泛宣傳的千兆IDS必然存在著魚目混珠,我們來看看這其中的亮點和謊言。
千兆IDS幾大亮點
1、“零拷貝”
“零拷貝”是今年的國內入侵檢測廠商壹大流行詞。
其技術原理如下:
傳統的處理網絡數據包的方式由於網卡驅動程序運行在內核空間,當網卡收到包以後,包會存放在內核空間內,由於上層應用運行在用戶空間,無法直接訪問內核空間,因此要通過系統調用往上層應用系統送,這時候會發生壹次復制過程。同時這個過程常常還伴隨著壹次從抓包庫到檢測引擎的復制過程。如果對於壹般應用來說,很少的操作來處理網絡通信,這樣的系統開銷還可以忍受,但是對於入侵檢測系統這樣大量讀取網絡數據包的應用來說,這樣的開銷就很難忍受了。
“零拷貝”技術是指網卡驅動程序***享壹段內存區域,當網卡抓到數據包以後直接寫到***享內存,這樣的壹個處理過程減少了至少壹次復制。同時減少了壹次網卡驅動程序向用戶空間復制網絡數據包的系統調用。而壹次系統調用的開銷其實是相當大的,對於入侵檢測系統來說由於要頻繁地跟內核空間的網卡驅動程序打交道,因此按傳統方法會造成大量的系統調用,從而導致系統的性能下降。但是采用了“零拷貝”技術後有效的避免了這壹點。
“零拷貝”是不是就是千兆IDS?其實從上面的技術原理我們就可以很清晰的看出,“零拷貝”的應用對高流量下的入侵檢測來說確實是壹個技術上的突破,表現形式是專用的網卡驅動程序。但是本質上說來,“零拷貝”解決的是抓包帶來的性能問題,而對千兆IDS來說,抓包是壹個制約因素,但對數據包的分析又是另外壹個制約因素,“零拷貝”只解決了其中壹個方面,所以僅僅只有“零拷貝”技術並不是千兆IDS。
因此,我們在看到如果某個入侵檢測產品僅僅是多了壹個專用的網卡驅動程序,那麽還不能稱為千兆IDS。
2、“負載均衡”
單機無法解決的問題,人們通常首先會想到疊加的方法,於是有了負載均衡;“負載均衡”是應對單個處理設備在超出了處理能力的高流量環境下,將負荷均衡到多個處理設備上來分攤處理,壹般用於路由器、防火墻、應用服務器等重要的網絡幹網設備,應用於IDS也是壹種解決方案。
負載均衡雖然壹定程度上解決了高速網絡環境的檢測問題,但仍然不是最佳的解決方案,因為有幾個問題是負載均衡技術必須面對和解決的:
壹般情況,負載均衡器是按照某種規則(如協議或者IP地址)來分流數據,那麽當來自於壹個IP地址的數據或某種應用服務流量突然增加的時候,負載均衡器如果不能夠智能地進行分流,則對口負責的 IDS則不堪重負;如果負載均衡器又做了流量均衡,混在其中攻擊信息也有可能被分流,而對應的IDS又可能沒有配置相應的攻擊檢測策略而漏過檢測。
此外,對於判斷不同攻擊模式之間的行為關聯性,由於分流也將無法識別。最後,目前的負載分流壹般是利用專用硬件設備,其主要提供商是國外廠家,其價格自然不菲,再加上多個百兆入侵檢測,壹方面占用更多的機架空間,管理麻煩;另壹方面,用戶額外安全投資也增加了
靠把千兆流量分流到多個百兆IDS只是在沒有真正意義上千兆IDS出現前的壹種解決方案,千兆防火墻的發展也證明了這點。於是人們的目光還是回到了入侵檢測的技術本身的提高上來。否則等到萬兆級別的網絡出現,是不是還要來多個萬兆負載均衡的IDS呢?
3、“協議分析”
“協議分析”應當是目前絕大多數IDS所宣稱采用的。協議分析的原理就是根據現有的協議模式,到固定的位置取值而不是壹個個的去比較,然後根據取得的值來判斷其協議以及實施下壹步分析動作。其作用十分類似於郵局的郵件自動分撿設備,有效的提高了分析效率,同時還可以避免了單純模式匹配帶來的誤報。
對千兆IDS 來說,協議分析不僅僅是判斷是什麽協議那麽簡單了。要提高其性能和準確性,必須做到更深層次的協議分析,如:高層協議的數據字段的取值。因此,千兆IDS 采用的“協議分析”,就是要求更為完整的協議分析,盡可能的縮減模式匹配的範圍。
4、“匹配算法”
現有的商業入侵檢測系統在做完了協議分析後,接下來就是如何去進行模式匹配了。模式匹配就是進行字符串的比較,這就涉及到壹個算法的問題。因此,壹般在千兆IDS中都會聲稱其采用了高效的算法。這個高效的算法通常就是BM算法(或改進的)。這種算法是字符串匹配領域十分常用的方法,廣泛的應用於文本編輯器的字符串搜索之中,可以有效的提高單條規則匹配報文的匹配效率。
沒有采高效算法的入侵檢測的效率是無法想象的,但是在千兆的高速流量下,單純的單條規則匹配報文的匹配效率提高也不能完全適應其要求,特別是現在的入侵檢測的規則模式在不斷增加,對每壹個數據包其可能要匹配的次數也在不斷增加,因此其性能也無法完全滿足。
真正的高效是要結合“匹配算法”和“規則結構”,做到匹配效率和規則數量的無關性,甚至規則越多,效率越高。從目前看來,真正在這方面的突破是體現在啟明星辰的“天闐”千兆入侵檢測系統上的。
5、“高性能硬件”
軟件的表現要依賴其所處的硬件平臺,國內的入侵檢測產品往往將其引擎安裝在固定的硬件設備上。因此,從外觀上,千兆IDS比百兆IDS顯的更上檔次,從內部配置上,其CPU、內存等重要部件上規格也更高壹些。例如,采用多CPU 方式是可以把多個線程分配到不同的CPU上處理來提高性能。采用“高性能硬件”是可以進壹步提高入侵檢測的能力,但絕對不是主要因素。因此,如果發現某個千兆入侵檢測產品只是比百兆入侵檢測多了壹塊千兆網卡,硬件配置又高壹些,那就不要把其當作千兆IDS,其正確名稱是“可以接入到千兆環境下的IDS”。
千兆IDS的幾大謊言
1、 千兆檢測特征達到1800種
不知道從什麽時候開始,入侵檢測特征成了壹個放衛星式的指標,似乎特征越多其產品能力越強,因此也就出現了如下的現象:對某個號稱其特征數為1800種的入侵檢測產品,我們驚奇的發現,其自身控制臺和引擎之間的控制信息也列入其中,數量有60條之多;還有對某壹個後門,其特征被細化了有50條之多。原來,入侵檢測特征是這麽加到這個數量的。不知道這樣的檢測特征在千兆環境下有什麽用?
2、 多個高速網段的同時監控
目前雙網卡探測技術僅僅適用於非常低帶寬的網絡環境(例如:ISS公司在其Realsecure 的最新版本的系統需求手冊中明確指出:支持在壹臺主機上安裝兩個其network_sensor,但只允許在帶寬非常低的網絡;安裝三塊網卡和三個network_sensor監控三個網絡也可以,但我們不支持這種安裝和維護服務。)。也就是說在現在通用的硬件架構和操作系統的條件下,當兩塊網卡同時抓包並進行分析的時候,其消耗的系統資源遠遠大於用壹塊網卡來分析兩塊網卡的合流量。尤其在高速網絡(千兆)中應用,其性能影響更為明顯。當然,如果基於RISC的結構,並將抓包和協議分析的技術在專用的硬件芯片中實現,應該是有壹定程度的提高。遺憾的是目前國際、國內的入侵檢測廠商都沒有實現,原因是芯片技術有技術壁壘和壟斷,單獨開發其成本必然很高。
所以可以相信要實現雙網卡探測正常流量下工作,這還是有很長的路要走。現在多個高速網段的同時監控,如果不指明其適用環境,不能不說是對用戶的欺騙。
3、 監控的最大TCP連接數
TCP最大連接數原本是防火墻的壹個指標,現在被某些入侵檢測廠商引入做為壹個入侵檢測的指標,並通過其大小來比拼產品優勢。最新的壹個數據是,某入侵檢測產品在千兆的白皮書中聲稱的最大TCP連接數是50萬。
支持的TCP連接數的多少主要不在於程序的實現上的差別,可以簡單修改配置。影響其數量主要在於系統內存的大小。計算方法是:
最大連接數 × 每連接使用的緩沖區大小 = 內存占用
比如:如果我們每壹個連接使用4k的緩沖區進行處理,那麽維持10000個的tcp連接數意味著最大連接情況下的內存占用是4k*10000=40M
如何提高連接數的方法有兩種:提高內存容量是壹種很容易理解的方法。假如說內存占用數不變的情況下,我們可以通過減少每連接使用的緩沖區的大小,來提高最大連接數。(如果是600M內存空間,我們將緩沖區大小減少為0.5k,那麽最大連接數可以到1200k)。但是如果每連接使用的緩沖區太小,會影響檢測的準確程度,導致漏報,所以壹般2k、4k是相對合理的大小。
用TCP最大連接數多少來比較兩個ids系統的能力,也是壹種謊言吧!
4、 檢測規則升級
現在防病毒產品的升級周期基本上是每周壹次,而有些入侵檢測廠商也基本和防病毒升級保持了同步。在細看看其檢測規則,原來是使用snort的規則。大家都知道snort規則是免費發布的,只要有時間從網上去下載就可以了,根本不需要投入專門的人力去分析研究。由此,數量是有保證的,升級也是有保證的。但是snort本身只是壹個輕量級的入侵檢測系統,又如何指望能夠在高速網上使用呢?
5、 網絡內容實時回放
有壹部分入侵檢測廠商主要功能是把HTTP、FTP以及郵件信息全部給抓下來,管理員可以隨時看別人網上信息的內容。這壹項功能對某些用戶是十分有誘惑力的。但是,入侵檢測本身是對網絡信息進行檢測,發現其中包含的入侵行為和違規行為上報。而對於上網、郵件發送通常是正常行為,把這些信息完整回放出來未免是有侵犯隱私權和泄密的可能。同時,由於網上信息也大部分是這種正常行為,記錄這些信息會消耗大量資源,降低性能,在高速IDS上如果也采用這種回放無疑是災難性的。
因此,在涉密網中,這種網絡內容實時回放是不收歡迎的。
6、 事件追蹤分析和處理
看了某個國內廠商在其產品資料中宣稱的可以對入侵事件進行追蹤分析和處理,頓生敬佩之意。要知道,網絡IDS 的壹大難點就是對入侵事件進行主動的追蹤分析以及校驗。看完了其產品的實際功能才知道,所謂“追蹤分析和處理”就是把壹些小工具集成到產品中,可以對源地址進行ping、telnet以及tracert等操作,僅此而已。
7、 千兆IDS產品的資質
通過國家的權威測試和認證是有個過程的。不少入侵檢測廠商壹推出千兆的入侵檢測系統後,就聲稱擁有國家的權威資質。事實上,壹些廠商是用百兆產品的資質去模糊千兆產品。在這個時候,這些廠商就把千兆IDS看作是可以安裝於在千兆環境下的IDS了,不去強調其中的技術和性能上的區別了。
用戶的網絡環境向高速化方向發展是壹個必然的趨勢,如千兆網絡交換設備、千兆級網絡防火墻等等,傳統的百兆網絡入侵檢測產品無法適應現有的網絡結構;因此,人們迫切需要速度更快、功能更好、性能更強的入侵檢測系統,來適應在高速環境下的提高網絡安全防護水平。同時,在高速的流量環境下,用戶對網絡入侵識別的確定性提出了更高的要求,既不能漏過重要的攻擊事件,也不能出現大量紛繁復雜的報警而使管理員要花費大量時間來從中尋找與重點防護資產有關的問題。因此對高速入侵檢測系統的信息分析能力和策略控制能力又是壹個重要的挑戰。
目前,國內已有數家網絡安全廠商推出或私下表示具備了千兆的入侵檢測系統,也許有些產品還需要不斷改進,也許有些產品在功能和性能上和用戶需求還是存在壹定的差異,也許甚至只是技術上接近而沒有最終形成產品,這都不是最重要的,只要是踏踏實實的進行長期的研究探索,進行持續的技術創新和功能改進,用經過實際檢驗的數字說話,也必將為推動我國的具有民族自主知識產權的高性能網絡安全產品的發展起到良好的作用。
但是,我們不希望某些入侵檢測廠商在為了宣傳而在其中夾雜太多的謊言,企圖利用用戶對入侵檢測技術內幕的不了解來推銷其產品或是利用玩價格遊戲來搞不良競爭,無論是對入侵檢測的用戶還是對入侵檢測的整個產業都是致命的。
“路漫漫其修遠兮,吾將上下而求索”,屈原的這個千古名句無疑是給入侵檢測廠商的最好的諍言。