¿Qué es el controlador IDS?

Sistema de accionamiento inteligente IDS

Desde su nacimiento, IDS ha trabajado continuamente para mejorar su rendimiento y adaptarse al tráfico de red en rápido crecimiento. El Gigabit IDS de China es el primero lanzado por Venustech y pasó las pruebas y la certificación de departamentos autorizados. Esto es un reflejo de sus "seis años de arduo trabajo" y un importante avance tecnológico. Pero esto requiere un proceso sin una base para la aplicación a gran escala, una amplia acumulación de experiencia y una investigación técnica continua, es imposible "llegar de repente con una brisa primaveral de la noche a la mañana y miles de perales florecen". Así que el ampliamente publicitado Gigabit IDS debe ser engañoso. Echemos un vistazo a lo más destacado y a las mentiras.

Varios aspectos destacados de Gigabit IDS

1. “Copia cero”

“Copia cero” es una palabra de moda entre los fabricantes nacionales de detección de intrusiones este año.

El principio técnico es el siguiente:

La forma tradicional de procesar paquetes de datos de red se debe a que el controlador de la tarjeta de red se ejecuta en el espacio del núcleo. Cuando la tarjeta de red recibe el paquete, el El paquete se almacenará en el espacio del kernel. Dado que la aplicación de la capa superior se ejecuta en el espacio del usuario y no puede acceder directamente al espacio del kernel, debe enviarse al sistema de aplicaciones de la capa superior a través de llamadas al sistema. ocurrirá. Al mismo tiempo, este proceso suele ir acompañado de un proceso de copia desde la biblioteca de captura de paquetes al motor de detección. Si para aplicaciones generales se requieren muy pocas operaciones para procesar las comunicaciones de red, dicha sobrecarga del sistema puede tolerarse, pero para aplicaciones como los sistemas de detección de intrusiones que leen una gran cantidad de paquetes de red, dicha sobrecarga es insoportable.

La tecnología de "copia cero" significa que el controlador de la tarjeta de red comparte un área de memoria. Cuando la tarjeta de red captura el paquete de datos, lo escribe directamente en la memoria compartida. Este proceso se reduce en al menos uno. tiempo. Al mismo tiempo, se reduce la llamada del sistema al controlador de la tarjeta de red para copiar paquetes de datos de red al espacio del usuario. La sobrecarga de una llamada al sistema es en realidad bastante grande para los sistemas de detección de intrusiones, debido a que tienen que lidiar con frecuencia con el controlador de la tarjeta de red en el espacio del kernel, el método tradicional provocará una gran cantidad de llamadas al sistema, lo que conducirá a una disminución. en el rendimiento del sistema. Sin embargo, el uso de tecnología de "copia cero" evita esto de manera efectiva.

¿Es lo mismo “copia cero” que Gigabit IDS? De hecho, a partir de los principios técnicos anteriores, podemos ver claramente que la aplicación de "copia cero" es de hecho un avance técnico para la detección de intrusiones en condiciones de mucho tráfico y toma la forma de un controlador de tarjeta de red dedicado. Pero, en esencia, la "copia cero" resuelve el problema de rendimiento causado por la captura de paquetes. Para Gigabit IDS, la captura de paquetes es una restricción, pero el análisis de los paquetes de datos es otra restricción. "La "copia cero" solo resuelve un aspecto, por lo que la "copia cero". La tecnología "copia" por sí sola no es Gigabit IDS.

Por tanto, vemos que si un producto de detección de intrusos sólo tiene un controlador de tarjeta de red dedicado, no puede denominarse Gigabit IDS.

2. "Equilibrio de carga"

Para los problemas que no pueden resolverse con una sola máquina, la gente suele pensar primero en el método de superposición, por lo que existe el "equilibrio de carga"; es tratar con un solo dispositivo de procesamiento En un entorno de alto tráfico que excede la capacidad de procesamiento, la carga se equilibra entre múltiples dispositivos de procesamiento para compartir el procesamiento. Generalmente se usa para equipos troncales de red importantes, como enrutadores, firewalls y aplicaciones. servidores. También es una solución cuando se aplica a IDS.

Aunque el equilibrio de carga resuelve hasta cierto punto el problema de detección del entorno de red de alta velocidad, todavía no es la mejor solución porque hay varios problemas que la tecnología de equilibrio de carga debe enfrentar y resolver:

Generalmente, un balanceador de carga distribuye datos de acuerdo con ciertas reglas (como protocolos o direcciones IP). Cuando los datos de una dirección IP o el tráfico de un determinado servicio de aplicación aumentan repentinamente, el balanceador de carga lo hará. Si el tráfico no se puede desviar de manera inteligente, el IDS responsable del puerto correspondiente se verá abrumado; si el equilibrador de carga realiza el equilibrio de tráfico, la información de ataque mezclada en él también puede desviarse y es posible que el IDS correspondiente no esté configurado con la política de detección de ataques correspondiente y las pruebas de fuga.

Además, será imposible identificar la correlación de comportamiento entre diferentes modos de ataque debido a las maniobras.

Finalmente, la descarga de carga actual generalmente utiliza equipos de hardware especiales, y sus principales proveedores son fabricantes extranjeros, lo que naturalmente es costoso, junto con la detección de intrusiones múltiples de 100 M, por un lado, ocupa más espacio en el rack y dificulta la administración. Por otro lado, la inversión adicional en seguridad de los usuarios también ha aumentado

Dividir el tráfico Gigabit en múltiples IDS Gigabit es solo una solución antes de que surgiera el firewall Gigabit IDS en el sentido real. El desarrollo también demuestra este punto. Así que la atención de la gente volvió a la mejora de la propia tecnología de detección de intrusiones. De lo contrario, cuando aparezca la red de nivel 10G, ¿necesitaremos varios IDS de equilibrio de carga 10G?

3. “Análisis de protocolo”

“Análisis de protocolo” debería ser lo que la mayoría de los IDS afirman utilizar actualmente. El principio del análisis de protocolo es obtener valores en posiciones fijas según el modelo de protocolo existente en lugar de compararlos uno por uno, y luego juzgar el protocolo según los valores obtenidos e implementar la siguiente acción de análisis. Su función es muy similar a la del equipo de clasificación automática de correo de la oficina de correos, lo que mejora efectivamente la eficiencia del análisis y evita falsos positivos causados ​​por una simple coincidencia de patrones.

Para Gigabit IDS, el análisis de protocolos no es tan simple como determinar qué protocolo es. Para mejorar su rendimiento y precisión, se debe realizar un análisis de protocolo más profundo, como por ejemplo: el valor del campo de datos del protocolo de alto nivel. Por lo tanto, el "análisis de protocolo" adoptado por Gigabit IDS requiere un análisis de protocolo más completo y reduce el alcance de la coincidencia de patrones tanto como sea posible.

4. "Algoritmo de coincidencia"

Una vez que los sistemas comerciales de detección de intrusiones existentes hayan completado el análisis del protocolo, el siguiente paso es cómo realizar la coincidencia de patrones. La coincidencia de patrones consiste en comparar cadenas, lo que implica un problema de algoritmo. Por lo tanto, Gigabit IDS generalmente afirma que utiliza algoritmos eficientes. Este algoritmo eficiente suele ser el algoritmo BM (o mejorado). Este algoritmo es un método muy utilizado en el campo de la coincidencia de cadenas. Se utiliza ampliamente en búsquedas de cadenas en editores de texto y puede mejorar eficazmente la eficiencia de coincidencia de mensajes de coincidencia de reglas únicas.

La eficiencia de la detección de intrusiones sin el uso de algoritmos eficientes es inimaginable. Sin embargo, bajo tráfico gigabit de alta velocidad, simplemente mejorar la eficiencia de coincidencia de paquetes coincidentes con una sola regla no puede cumplir completamente con sus requisitos, especialmente The. Los patrones de reglas de detección de intrusiones actuales aumentan constantemente y el número de coincidencias posibles para cada paquete de datos también aumenta, por lo que su rendimiento no puede satisfacerse por completo.

La eficiencia real consiste en combinar "algoritmo de coincidencia" y "estructura de reglas" para garantizar que la eficiencia de coincidencia no tenga nada que ver con la cantidad de reglas. Incluso cuantas más reglas, mayor será la eficiencia. Desde el punto de vista actual, el verdadero avance en este aspecto se refleja en el sistema de detección de intrusiones gigabit "Tiantian" de Venuschen.

5. "Hardware de alto rendimiento"

El rendimiento del software depende de la plataforma de hardware en la que se encuentra. Los productos de detección de intrusiones nacionales suelen instalar sus motores en dispositivos de hardware fijos. Por lo tanto, desde la apariencia, el Gigabit IDS parece ser más sofisticado que el 100M IDS. Desde la configuración interna, las especificaciones de su CPU, memoria y otros componentes importantes también son superiores. Por ejemplo, utilizando el método de múltiples CPU, se pueden asignar múltiples subprocesos a diferentes CPU para su procesamiento y mejorar el rendimiento. El uso de "hardware de alto rendimiento" puede mejorar aún más las capacidades de detección de intrusos, pero definitivamente no es el factor principal. Por lo tanto, si descubre que un producto de detección de intrusiones Gigabit solo tiene una tarjeta de red Gigabit más que el producto de detección de intrusiones de 100 Mbit, y la configuración del hardware es mayor, no lo considere un IDS Gigabit. Su nombre correcto es "Puede ser". conectado a IDS en entorno Gigabit”.

Varias mentiras sobre Gigabit IDS

1. Hay 1.800 funciones de detección de Gigabit

No sé cuándo se convirtieron las funciones de detección de intrusiones en un satélite. indicadores, parece que cuantas más funciones tiene el producto, más fuertes son sus capacidades. Por lo tanto, ocurre el siguiente fenómeno: para un producto de detección de intrusiones que afirma tener 1.800 funciones, nos sorprendió descubrir que su propia consola y la información de control. entre motores también se incluye, con hasta 60 piezas y para un determinado portón trasero, se detallan sus características con hasta 50 piezas; Resulta que así es como se suma a esta cantidad la firma de detección de intrusiones.

Me pregunto para qué sirven estas funciones de detección en un entorno gigabit.

2. Monitoreo simultáneo de múltiples segmentos de red de alta velocidad

En la actualidad, la tecnología de detección de tarjetas de red duales solo es adecuada para entornos de red de muy bajo ancho de banda (por ejemplo: ISS Company en la última versión de Realsecure El manual de requisitos del sistema establece claramente: Se admite la instalación de dos sensores de red en un host, pero solo en redes de muy bajo ancho de banda también es posible instalar tres tarjetas de red y tres sensores de red para monitorear tres redes; pero no apoyamos estos servicios de instalación y mantenimiento). Es decir, bajo las condiciones actuales del sistema operativo y la arquitectura de hardware común, cuando dos tarjetas de red capturan paquetes y los analizan al mismo tiempo, los recursos del sistema consumidos son mucho mayores que usar una tarjeta de red para analizar el tráfico combinado de las dos. Tarjetas de red. Especialmente cuando se aplica en redes de alta velocidad (Gigabit), su impacto en el rendimiento es más evidente. Por supuesto, si se basa en una estructura RISC y la tecnología de captura de paquetes y análisis de protocolos se implementa en un chip de hardware dedicado, debería haber un cierto grado de mejora. Desafortunadamente, ni los fabricantes de detección de intrusiones nacionales ni internacionales lo han implementado en la actualidad. La razón es que la tecnología de chips tiene barreras técnicas y monopolio, y el costo de desarrollarla por sí solo debe ser muy alto.

Por lo tanto, se puede creer que todavía queda un largo camino por recorrer antes de que la detección de tarjetas de red duales pueda funcionar con tráfico normal. Hoy en día, si se monitorean simultáneamente múltiples segmentos de red de alta velocidad sin especificar el entorno aplicable, se estaría engañando a los usuarios.

3. El número máximo de conexiones TCP monitoreadas

El número máximo de conexiones TCP era originalmente un indicador de firewalls. Ahora se introduce como un indicador de detección de intrusiones por parte de algunos detectores de intrusiones. proveedores y comparar las ventajas de los productos a través de su tamaño. Los últimos datos son que un producto de detección de intrusiones afirma en un documento técnico de gigabit que el número máximo de conexiones TCP es 500.000.

El número de conexiones TCP soportadas no depende principalmente de la implementación del programa, y ​​la configuración se puede modificar simplemente. El número afecta principalmente al tamaño de la memoria del sistema. El método de cálculo es:

Número máximo de conexiones El número de conexiones TCP significa que el uso de memoria bajo la condición de conexión máxima es 4k*10000=40M

Hay dos formas de aumentar el número de conexiones: aumentar la capacidad de la memoria es un método fácil de entender. Si el uso de la memoria permanece sin cambios, podemos aumentar el número máximo de conexiones reduciendo el tamaño del búfer utilizado por cada conexión. (Si el espacio de memoria es de 600 M, reducimos el tamaño del búfer a 0,5 k, entonces el número máximo de conexiones puede alcanzar los 1200 k). Sin embargo, si el búfer utilizado para cada conexión es demasiado pequeño, afectará la precisión de la detección y generará falsos negativos, por lo que generalmente 2k y 4k son tamaños relativamente razonables.

¡Usar el número máximo de conexiones TCP para comparar las capacidades de dos sistemas de identificación también es una mentira!

4. Actualizaciones de las reglas de detección

Hoy en día, el ciclo de actualización de los productos antivirus es básicamente una vez por semana, y algunos fabricantes de detección de intrusiones básicamente han seguido el ritmo de las actualizaciones antivirus. Después de observar más de cerca las reglas de detección, resulta que se utilizan reglas de snort. Todo el mundo sabe que las reglas de snort se publican de forma gratuita. Siempre que tenga tiempo, puede descargarlas de Internet. No es necesario invertir mano de obra especial en análisis e investigación. A partir de esto, la cantidad está garantizada y las actualizaciones están garantizadas. Pero Snort en sí es sólo un sistema ligero de detección de intrusos, entonces, ¿cómo se puede esperar que se utilice en redes de alta velocidad?

5. Reproducción en tiempo real del contenido de la red

La función principal de algunos proveedores de detección de intrusiones es capturar toda la información HTTP, FTP y de correo electrónico. Los administradores pueden ver el contenido de otras personas. información en línea en cualquier momento. Esta característica resulta muy tentadora para algunos usuarios. Sin embargo, la detección de intrusiones en sí misma consiste en detectar información de la red e informar de las intrusiones y violaciones contenidas en ella. Para navegar por Internet y enviar correos electrónicos, que suelen ser comportamientos normales, reproducir la información completa puede infringir los derechos de privacidad y filtrar la confidencialidad. Al mismo tiempo, dado que la mayor parte de la información en Internet tiene este tipo de comportamiento normal, grabar esta información consumirá muchos recursos y reducirá el rendimiento. Si este tipo de reproducción también se utiliza en un IDS de alta velocidad, también lo hará. sin duda será catastrófico.

Por lo tanto, en la red clasificada, este tipo de reproducción en tiempo real del contenido de la red no es bienvenida.

6. Seguimiento, análisis y procesamiento de eventos

Después de leer la afirmación de un fabricante nacional en la información de su producto de que puede rastrear, analizar y procesar eventos de intrusión, inmediatamente lo admiré. Debe saber que una de las dificultades del IDS de red es rastrear, analizar y verificar de forma proactiva los eventos de intrusión. Después de leer las funciones reales de su producto, me di cuenta de que el llamado "análisis y procesamiento de seguimiento" consiste en integrar algunas pequeñas herramientas en el producto, que pueden realizar operaciones como ping, telnet y tracert en la dirección de origen, y eso es todo.

7. Calificación de los productos Gigabit IDS

Existe un proceso para aprobar las pruebas y certificaciones autorizadas del país. Muchos proveedores de detección de intrusiones afirman tener calificaciones autorizadas a nivel nacional tan pronto como lanzan sistemas de detección de intrusiones gigabit. De hecho, algunos fabricantes utilizan las calificaciones de productos 100M para ocultar los productos Gigabit. En este momento, estos fabricantes consideran que Gigabit IDS es un IDS que se puede instalar en un entorno Gigabit y no enfatizan las diferencias en tecnología y rendimiento.

Es una tendencia inevitable que los entornos de red de los usuarios se desarrollen hacia la alta velocidad, como equipos de conmutación de red gigabit, cortafuegos de red gigabit, etc. Los productos tradicionales de detección de intrusiones de red de 100 megabits no pueden adaptarse a la red existente. Por lo tanto, la gente necesita urgentemente sistemas de detección de intrusiones con mayor velocidad, mejores funciones y mayor rendimiento para adaptarse y mejorar el nivel de protección de seguridad de la red en entornos de alta velocidad. Al mismo tiempo, en un entorno de tráfico de alta velocidad, los usuarios han planteado requisitos más altos para la certeza de la identificación de intrusiones en la red, no se pueden pasar por alto eventos de ataque importantes y no pueden aparecer una gran cantidad de alarmas complicadas, lo que hace que los administradores gasten mucho. de tiempo. Busque problemas relacionados con activos protegidos clave. Por lo tanto, las capacidades de análisis de información y de control de políticas de los sistemas de detección de intrusiones de alta velocidad son otro desafío importante.

En la actualidad, varios fabricantes de seguridad de redes nacionales han lanzado o declarado en privado que tienen sistemas de detección de intrusiones Gigabit. Tal vez algunos productos necesiten una mejora continua, y tal vez algunos productos todavía tengan necesidades de los usuarios en términos de funcionalidad y rendimiento. Ciertas diferencias, tal vez incluso sólo la cercanía técnica pero ningún producto final, no son las más importantes, siempre y cuando llevemos a cabo investigaciones y exploraciones a largo plazo con los pies en la tierra, llevemos a cabo continuas innovaciones tecnológicas y mejoras funcionales, y utilicemos. Cifras realmente probadas, también desempeñará un buen papel en la promoción del desarrollo de productos de seguridad de red de alto rendimiento con derechos de propiedad intelectual independientes nacionales en nuestro país.

Sin embargo, no queremos que algunos proveedores de detección de intrusiones incluyan demasiadas mentiras por motivos publicitarios, tratando de aprovecharse de la ignorancia de los usuarios sobre la historia interna de la tecnología de detección de intrusiones para promocionar sus productos o jugar. Juegos de precios Participar en una competencia poco saludable será fatal tanto para los usuarios de detección de intrusiones como para toda la industria de detección de intrusiones.

"El camino es largo y difícil, y buscaré por todas partes". El famoso dicho de Qu Yuan es sin duda la mejor crítica para los fabricantes de detección de intrusiones.