为什么要推出IDS与GSN联动方案?
当信息化在各个行业中广泛应用并带来显著效益的同时,信息安全成为目前迫切需要解决的问题,由此入侵行为的发觉技术和应用渐渐被人们所重视。IDS (Intrusion Detection System) 入侵检测系统便是用来通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
GSN(Global Security Network)全局安全网络解决方案,致力于通过软硬件联动、计算机与网络联动的整体解决方案,通过网络设备和安全设备等硬件,配合后台系统、客户端等软件,联动的实现了对于用户身份、主机健康性以及网络通信等多方面的保障。
如上所述,IDS设备可以监控网络中流量的情况,并针对异常的流量发起预警,预警信息包含源、目的IP。但这些信息对于网络管理人员处理安全事件来说,并没有太大的意义。这是因为,要处理网络安全事件,一定要追根溯源,找到问题的根源,甚至定位到人,方能彻底解决,而仅仅提供IP地址这是不够的。IDS与GSN体系的结合,恰好解决了这个问题,通过对IDS上报的安全事件的解析,并通过GSN体系中每个用户的信息来将安全事件定位到人,并根据IDS与GSN共享的事件库,对安全事件给出建议的处理方法,或者可以通过预先定制好的策略来对安全事件进行自动的处理,这就解决了在IDS检测到安全事件后,处理难的问题。
IDS与GSN联动方案的实现思路
通过以上对于IDS与GSN联动的分析,我们可以得出IDS联动的实现思路:
1 由IDS监控网络流量,并对网络异常流量进行上报到GSN系统,上报信息包括攻击的类型、源/目的IP地址等基本信息;
2 由GSN系统对收到的安全事件报告进行分析,并根据系统中的用户身份信息将攻击者和被攻击者定位到人;
3 由GSN系统根据安全策略对攻击者或被攻击者进行处理。
为了实现GSN系统与IDS的联动,需要部署以下GSN的组件:
RG-SMP 安全管理平台:负责对全网身份认证执行统一的安全策略和日志汇总分析
RG-SEP锐捷安全事件解析器:对IDS报告的安全事件进行汇总上报SMP进行处理
联动实现流程如下图所示:
方案难点:如何平衡“误报”和“漏报”?
GSN与IDS联动方案推出后广泛应用于各行业客户,受到用户好评。同时不少用户也纷纷反馈在使用中遇到的首要问题:如何“既避免漏报,又减少误报”?
众所周知,IDS上报的事件种类繁多,普通用户缺少专业知识,难以处理,如果对事件不加分析的上报GSN进行处理,将出现大量“误报”,导致运维无法开展。但是如果只根据严重级别上报攻击,则可能出现“漏报”,而一旦出现漏报也给网络安全带来极大隐患。
以通过邮件和P2P传播的经典复合型病毒Mydoom为例,该病毒具有3个特征:
1 满足可能使用的端口list时;
2 在端口条件满足时,传输数据包括特征字符“\x85\x13\x3c\x9e\xa2”;
3 在“2”的基础上,端口是最常使用的(3126到3199之间)情况。
其中规则1仅判断报文的目的端口是否在指定范围内,这条规则是很容易被其它网络行为(如可自行随机设置端口的P2P软件等)触发,如果据此告警,将使用户被海量事件淹没。但是如果对满足规则1的事件视而不见,又可能导致漏报,特别是对于修改特征字符的零日攻击束手无策。
如何在误报和漏报之间找到合理的平衡点成为业界普遍无法破解的难题,直接影响方案的可用性。
“可信度”机制解决之道
为解决上文中提到的问题,锐捷创新性的引入“可信度”评估机制,报警中提供相应可信度数值,方便用户评估攻击的有效性、真实性。仍以Mydoom的3个特征为例:
1 当满足可能使用的端口list时,报警可信度60%;
2 在端口条件满足时,传输数据包括特征字符“\x85\x13\x3c\x9e\xa2”可信度为75%;
3 在“2”的基础上,端口是最常使用的(3126到3199之间)情况下,可信度为90%。
RG-IDS在向GSN平台发送安全事件同时除通报攻击类型、严重级别、攻击源IP、目的IP等基础信息外,还包括可信度。GSN系统根据专家知识库预定义规则,确定当严重级别和可信度达到某个阈值时向客户发送告警。如对于Mydoom攻击,当同时满足规则1、2,可信度达到75%时,方向用户发送告警,联动处理;对于只满足规则1,可信度为50%的事件,则保存起来,供用户在解决完紧急事件后查看处理。通过这种方式,使得用户从大量的P2P应用占用Mydoom攻击端口引起的“误报”中解放出来,大大简化了运维。
引入“可信度”机制,有效解决了“误报”和“漏报”的平衡问题,提高了IDS与GSN联动方案的可用性。“可信度”是锐捷网络深入研究客户业务现状,把握客户应用需求的又一项技术创新,进一步完善GSN全局安全网络解决方案,生动体现了安全产品线“让安全变的更容易”的价值主张。
