A.4 IDPS類型

A.4.1 簡介

按照檢測方法的不同， IDPS可分為三類：基于特征的IDPS、基于異常的IDPS、狀態協議分析IDPS。通常， 實際使用的IDPS會包含多種檢測方法(無論是單一的或集成的) ， 以提供更廣泛和更準確的檢測。檢測方法分類如下：

基于特征的檢測，將觀察到的事態與已知的威脅特征相比較來識別事件，其主要用于檢測已知威脅，但無法檢測未知威脅、已知威脅的變種以及包含多個事態的攻擊(原因是無法跟蹤和了解復雜通信的狀態)。

基于異常的檢測，將觀察到的事態與已確定的正常活動進行比較，以識別與正常活動的偏差。該方法首先形成配置文件(通過一段時間內的監視典型活動特征形成)，后將當前活動的特征與配置文件進行比較。此方法主要用于檢測未知的威脅，但因配置文件的問題(可能無意中包含惡意活動，也可能由于其不夠復雜不足以完全反映真實世界的計算活動)易產生誤報。

狀態協議分析，將觀察到的事態與預先設定的配置文件(定義狀態協議的相關活動)進行比較，以識別與配置文件的偏差。該方法與基于異常的檢測(使用主機或特定網絡配置文件)的區別主要是利用供應商提供的通用配置文件(該配置文件規定了特定協議可如何使用和不可如何使用)，其主要用于檢測其他方法無法檢測到的攻擊，但存在無法完全準確定義狀態協議模型、耗費資源以及無法檢測到未違反通用行為特征的攻擊等問題。

按照數據來源的不同， IDPS可分為基于主機的IDPS(H IDPS) 和基于網絡的IDPS(N IDPS) ， 此外還包括基于應用的IDPS(A IDPS) ， 它是H IDPS的特殊類型并且具有與H IDPS相似的特性。

IDPS的功能主要包括：

– 監視和分析系統事態和用戶行為；

– 識別與已知攻擊相匹配的系統事態模式；

– 識別與正常活動不同的活動模式；

– 檢測到攻擊時，通過合理的方式通知相關人員；

– 檢查安全策略的執行情況；

– 允許非安全專家執行安全監視；

– 增加發現安全風險和抵御攻擊者的能力；

– 識別其他安全設備無法預防的問題；

– 協調其他安全設備(如防火墻)處理事態；

– 驗證、列舉并描述對信息系統的網絡威脅；

– 提供有關入侵的有用信息，以支持進行事件處理、損害評估、系統恢復和法律訴訟。

IDPS的局限性主要包括：

– 無法檢測新的攻擊以及已有攻擊的變體(主要針對基于特征的IDPS， 不適用于基于異常的IDPS) ；

– 難以過濾信息源的錯誤和噪聲；

– 難以有效的處理交換網絡；

– 不適用于范圍較大網絡或分布式網絡；

– 難以根據IDPS輸出確定入侵者的物理和(或) 虛擬位置；

– 難以用網絡管理系統來整合不同的IDPS產品；

– 無法彌補安全策略和安全機制(如防火墻、身份證明和鑒別、鏈路加密、訪問控制機制和病毒的檢測與清除)的缺陷或缺失；

– 無法對特定類型的攻擊進行檢測、報告或快速響應；

– 盡管有能力識別， 但無法減緩DoS攻擊；

– 沒有人為干預，無法對攻擊進行詳細分析；

– 無法彌補安全戰略、策略或安全架構的重大缺陷；

– 無法彌補網絡協議的安全缺陷；

– 其輸出通常包含誤報和漏報，需耗費大量的時間和資源來解決；

– 可能作為攻擊序列的一部分而被禁用；

– 可能被攻擊者利用來產生誤報，以分散對主要攻擊的注意力；

– 可能產生大量的審計信息，需占用系統額外的本地存儲；

– 基于IDPS報警的自動攔截可能引起安全性和可用性問題；

– 需要掌握先進的技術和系統知識， 才能有效地使用IDPS。

A.4.2 基于網絡的IDPS(NIDPS)

NIDPS主要監視網絡中發送給主機系統的流量， 其由一系列單用途傳感器或位于網絡中不同位置的主機組成。這些單元首先對流量進行分析，然后將分析結果匯總到中央管理控制臺，以此來監視網絡流量。傳感器作為IDPS的專用部件， 應加強對其保護。同時， 為使攻擊者難以感知傳感器的存在并確定其位置，大部分傳感器對網絡層之上是不可見的(即運行在“隱身”模式下)。

目前， 通過提供可以入侵(如DoS) 信息， N IDPS可以達到實時或近實時的檢測和響應， 而HIDPS的響應時間與間隔頻率有關。

除了IDPS通用功能外，NIDPS特有的功能包括：

– 在“隱身模式”下操作，并將傳感器對更高級別的網絡協議(通常第3層及以上)隱藏；

– 使用單一的傳感器監視同一網絡段上多個主機的流量；

– 識別影響多主機的分布式攻擊。

NIDPS特有的局限性包括：

– 無法很好地處理加密網絡通信；

– 需要比H IDPS更大的帶寬和更快的處理能力(因為N IDPS的性能容量與部署性能最大化的網絡段的流量是一致的)；

– N IDPS的許多功能需要特殊的技術設置才能在現有交換網絡中使用(如網絡傳感器， 它需要連接到映射所有其他端口數據的網絡交換機特定端口)；

– 由于解碼應用層協議(如HTTP、SMTP) 的有關問題， 一些N IDPS可能在處理網絡層(IP) 或傳輸層(TCP/UDP) 分段數據包攻擊時存在問題；

– 通常無法監測攻擊是否成功。

A.4.3 基于主機的IDPS(HIDPS)

HIDPS位于一臺計算機內并為其提供保護， 其可檢查計算機操作系統日志數據(如審計痕跡/日志)、本地數據、操作系統或應用日志數據等，以此分析相關應用程序發生的事態。

操作系統審計日志由操作系統內核產生，其比系統日志詳細，但系統日志比其簡短更易于理解。

需注意， 當HIDPS旨在支持IDPS集中管理和報告時， 可通過一個控制臺管理多臺主機。HIDPS生成消息的格式需與網絡管理系統相兼容。

與NIDPS不同， HIDPS能監測到攻擊企圖(因為它能直接訪問和監視攻擊針對的數據文件和系統進程) ， 例如， HIDPS可檢測來自關鍵任務服務器鍵盤的攻擊。

除了IDPS通用功能外， HIDPS特有的功能包括：

– 將用戶身份與可疑活動關聯起來；

– 觀察并追蹤用戶行為的變化；

– 建立系統安全狀態的基線，并跟蹤基線的變化；

–管理操作系統審計機制、日志機制和生成的數據；

– 當數據以加密或者非加密形式傳輸和存儲時，提供應用層的日志記錄和監視；

– 監測攻擊引起的數據篡改；

– 監視處于高速網絡和加密網絡中的系統：

– 檢測NIDPS無法發現的攻擊。

HIDPS特有的局限性包括：

– 某些DoS攻擊會使HIDPS失效；

– HIDPS將占用大量主機資源， 包括主機審計日志所需的數據存儲；

– 由于需要安裝的HIDPS數量較大(至少每臺主機按照一個HIDPS) ， 安裝和維護過程較為復雜；

– 由于主機通常可通過更高的網絡層分配地址，因此無法在“隱身模式”下使用；