漫談IDS的虛拟化發展
Jack Zhai
<b>一、IDS</b><b>為什麼要虛拟化</b>
入侵檢測系統(IDS)是用來檢測黑客入侵的分析工具。早期的方法是對系統日志進行監測與分析(主機IDS),後來因為日志容易被黑客“抹去”,而直接對流量鏡像監測(網絡IDS)。随着攻守雙方的博弈,IDS的發展出現了兩個技術瓶頸:一是由于黑客躲避技術的發展,發現黑客的“蹤迹”越來越難了,最常使用的“特征識别”需要建立攻擊者的“指紋庫”,随着時間的推移,指紋庫越來越龐大,比對一遍的時間自然就長了,線上監測裝置往往隻能撿最常用的特征比對,而忽略“不常用”的特征,入侵者“漏網”就是很平常的事了;二是檢測的準确程度,因為單點取樣,不能跨引擎分析,資訊不足而産生大量的疑似“安全事件”,需要安全維護人員人工處理,是以,深度分析、多線索智能關聯,減少疑似事件的數量是IDS發展的必然之路。
要解決這兩個難點,大幅度增加IDS的處理能力都是必須的。靠多核CPU是一種方式,但面對網絡帶寬的日益更新,多核帶來的增加是有限的。于是,人們想到了虛拟化:人們可以把多台普通的PC伺服器虛拟化,成為一個大的邏輯伺服器,能力堪比一台巨型計算機,怎麼就不能把多台IDS變成一台巨型IDS呢?
當然,敦促IDS變革是另一個沖擊波是雲計算的興起,因為雲計算服務模式把不同使用者的多種業務集中在一起,這個業務的合法者可能是另一個業務的入侵者,IDS需要根據不同使用者的需求進行安全監測,業務邊界模糊了,使用者對IDS的需要,希望是按需使用。
總之,在雲計算中,使用者的業務“跑”在虛拟機中,不再對應具體的哪台伺服器或儲存設備,虛拟機之間的流量不再一定要經過網絡裝置,網絡IDS已經找不到自己的監控位置了。
<b>二、IDS</b><b>如何虛拟化</b>
虛拟化的目标是如同使用“自來水”一樣調用IDS,也就是說根據使用者的流量動态調整IDS的處理能力。一種方式,是把IDS變成調用程式(純軟體),嵌入到使用者的虛拟機中,象防病毒軟體一樣運作在使用者的作業系統上,這種方式占用虛拟機的資源,并且可以被入侵者“穿透”或“解除安裝”;另一種方式,就是把使用者的流量,在處理前導引導給IDS,淨化後再繼續業務處理,這就是我們說的虛拟IDS資源池。
虛拟IDS資源池方式,虛拟化分為兩步走:
1. 多虛一:也稱為“硬虛軟”,把多台實體的IDS(可以說不同廠家、不同型号的)虛拟為一個IDS資源池(或稱為IDS群)。通過IDS群控制器排程池内的IDS資源,群控制器一般是雙機熱備方式,用來管理IDS資源池,排程并配置設定使用者流量給背景的實體IDS,完成負載均衡的功能;
實體IDS通過高性能交換機連接配接,這樣可以動态增加或解除安裝實體IDS,由IDS群控制器負責檢查其“存活”狀态,決定是否配置設定業務給它處理。
2. 一虛多:IDS虛拟化的門戶,根據每個使用者流量與安全需求的不同,配置設定一個虛拟的IDS(若允許直接阻斷入侵行為,則稱為使用者虛拟IPS),并給該使用者的流量配置設定一個使用者标簽,在虛拟IDS系統中,這個标簽就是使用者流量的唯一辨別;
由于使用者的資料包上都包含使用者标記,是以IDS群控制器負責配置設定使用者流量後,隻檢測對應實體IDS的狀态,後續資料包直接到達實體IDS,不經過IDS控制器,是以控制器的負載很小,隻是控制流,而不是業務流的總和;
一個使用者的流量配置設定給多個實體IDS處理時,建議采用有重複的時間段分割算法,這種可以在IDS緩沖區内完整恢複分段傳輸的惡意代碼。
虛拟IDS檢測的結果,同樣挂上使用者标簽送給安全監控平台跟蹤處理。
<b>行為檢測虛拟IDS</b><b>:</b>
為了适應IDS的行為比對模式,跟蹤黑客的“慢攻擊”行為,特建立一個處理能力超強的行為檢測虛拟IDS,對符合特定攻擊行為規則的使用者行為進行長期跟蹤。由于慢攻擊需要長期記錄使用者的行為,是以這個超大型的虛拟IDS,需要相當大的緩存空間。
<b>三、IDS</b><b>虛拟化的結構設計</b>
該結構設計中IDS虛拟化管理平台是核心部分,其前部分支援使用者虛拟化IDS服務,後部分是實作IDS處理能力的動态調配。
負載均衡管理負責虛拟IDS與實體IDS的對應,根據處理能力的不同,可以一對多,也可以多對一;并可以動态加入或解除安裝實體IDS,是以整個虛拟IDS池的容量變化不影響使用者的應用。當整體處理能力不足時,前台的安全政策可以根據使用者的流量與安全等級,優先配置設定資源,保證重點使用者的需求。
虛拟IDS的鏡像與遷移管理,保證虛拟IDS動态的運作在不同的實體IDS上,互相備援備份,保證在某台實體IDS當機時,虛拟IDS自動遷移到其他實體機上,不影響使用者的業務。
本文轉自 zhaisj 51CTO部落格,原文連結:http://blog.51cto.com/zhaisj/647121,如需轉載請自行聯系原作者
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)