网络安全 频道

千兆IDS中的亮点与谎言

2002年入侵检测发展的最大特点是一喜一忧,喜的是入侵检测对广大用户已不再是新鲜事物,入侵检测防火墙、防病毒以及加密被认为网络安全采购的四大件,明确写入各大项目招标书。忧的是入侵检测厂商的日子并不好过,有普遍降薪的,有大规模裁员的,也有关门倒闭的。表面上看,这一喜一忧似乎是矛盾的。用户认可了,市场起来了,日子应该好过起来才对。仔细想想,也没有什么是不对的,就象叶圣陶先生的《多收了三五斗》一样,卖的人多了,价格下降了,日子自然也不好过了。其中所不同的是《多收了三五斗》是收米的奸商故意压价,而入侵检测是内部斗争,技术不行,可以玩价格游戏和销售技巧。这个一喜一忧也就是再自然不过的事了。
在人们的脑海中,2002年没有特大规模的恶性病毒爆发,没有大规模的黑客入侵与破坏,一切似乎都太过平静,可兹记忆的事情屈指可数。可是到了下半年,千兆IDS突然成了入侵检测市场出镜率最高的一个亮点!各种宣传和介绍铺天盖地,一时间,入侵检测厂商之间的问候语就是:“今天你千兆了吗?”
IDS从诞生之日起,便不断为提高自身的性能以适应迅速增长的网络流量而努力。中国的千兆IDS是启明星辰公司首家推出并通过权威部门的测试认证的,这是其“六年磨一剑”的体现,是一种技术上的大突破。但是这是需要一个过程的,没有大规模应用的基础,没有广泛的经验积累,没有持续的技术研究,也不可能“忽如一夜春风来,千树万树梨花开”。那么广泛宣传的千兆IDS必然存在着鱼目混珠,我们来看看这其中的亮点和谎言。
千兆IDS几大亮点
1、“零拷贝”
“零拷贝”是今年的国内入侵检测厂商一大流行词。
其技术原理如下:
传统的处理网络数据包的方式由于网卡驱动程序运行在内核空间,当网卡收到包以后,包会存放在内核空间内,由于上层应用运行在用户空间,无法直接访问内核空间,因此要通过系统调用往上层应用系统送,这时候会发生一次复制过程。同时这个过程常常还伴随着一次从抓包库到检测引擎的复制过程。如果对于一般应用来说,很少的操作来处理网络通信,这样的系统开销还可以忍受,但是对于入侵检测系统这样大量读取网络数据包的应用来说,这样的开销就很难忍受了。
“零拷贝”技术是指网卡驱动程序共享一段内存区域,当网卡抓到数据包以后直接写到共享内存,这样的一个处理过程减少了至少一次复制。同时减少了一次网卡驱动程序向用户空间复制网络数据包的系统调用。而一次系统调用的开销其实是相当大的,对于入侵检测系统来说由于要频繁地跟内核空间的网卡驱动程序打交道,因此按传统方法会造成大量的系统调用,从而导致系统的性能下降。但是采用了“零拷贝”技术后有效的避免了这一点。
“零拷贝”是不是就是千兆IDS?其实从上面的技术原理我们就可以很清晰的看出,“零拷贝”的应用对高流量下的入侵检测来说确实是一个技术上的突破,表现形式是专用的网卡驱动程序。但是本质上说来,“零拷贝”解决的是抓包带来的性能问题,而对千兆IDS来说,抓包是一个制约因素,但对数据包的分析又是另外一个制约因素,“零拷贝”只解决了其中一个方面,所以仅仅只有“零拷贝”技术并不是千兆IDS。
因此,我们在看到如果某个入侵检测产品仅仅是多了一个专用的网卡驱动程序,那么还不能称为千兆IDS。

2、“负载均衡”
单机无法解决的问题,人们通常首先会想到叠加的方法,于是有了负载均衡;“负载均衡”是应对单个处理设备在超出了处理能力的高流量环境下,将负荷均衡到多个处理设备上来分摊处理,一般用于路由器、防火墙、应用服务器等重要的网络干网设备,应用于IDS也是一种解决方案。
负载均衡虽然一定程度上解决了高速网络环境的检测问题,但仍然不是非常好的的解决方案,因为有几个问题是负载均衡技术必须面对和解决的:
一般情况,负载均衡器是按照某种规则(如协议或者IP地址)来分流数据,那么当来自于一个IP地址的数据或某种应用服务流量突然增加的时候,负载均衡器如果不能够智能地进行分流,则对口负责的 IDS则不堪重负;如果负载均衡器又做了流量均衡,混在其中攻击信息也有可能被分流,而对应的IDS又可能没有配置相应的攻击检测策略而漏过检测。

0
相关文章