现在的网络安全系统通常都已经部署了防火墙、入侵检测系统,通过对网络安全产品正确配置,控制网络访问控制,监测内部网络、外部网络的攻击行为,这样的网络系统是否已经达到了真正的安全呢,答案是否定的。
由于防火墙的众多局限性,比如防火墙不能很好的防范内部网络攻击,对不经过防火墙的数据,防火墙无法检查;防火墙无法解决TCP/IP协议的漏洞问题;防火墙不能阻止内部泄密行为等,为了解决这些缺陷出现了入侵检测产品。但是随着黑客技术的迅猛发展,已经出现了大量的针对IDS的规避技术,使得入侵检测系统无能为力。面对这种尴尬局面,出现了漏洞扫描系统,它可以静态的评估现有网络的安全现状,并提出建设性的意见。
入侵检测系统介绍:
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,特别是来自于防火墙内部的恶意攻击,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
打一个比方,如果说防火墙是一栋大楼的门卫,负责检查进出人员的身份并做好登记,那么大楼里面的录像监控系统就是入侵检测系统,它知道进入大楼的人员都做了些什么事情,如果有异常情况立即采取相应的行动。
入侵检测系统通常由两部分组成:传感器和控制台。传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理的作用,提供图形界面的控制台。根据采集的数据源,入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。两者的区别表格所示:
类别
数据源内容
优点
缺点
基于网络的入侵检测系统
网络中的所有数据包
不会影响业务系统的性能;采取旁路侦听工作方式,不会影响网络的正常运行
不能检测通过加密通道的攻击;
基于主机的入侵检测系统
计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录
能够提供更为详尽的用户行为信息;系统复杂性小;误报率低
对主机的依赖性很强、性能影响很大;不能监测网络情况
基于主机的入侵检测系统都是安装在需要进行检测的主机上,一般都是安装在需要严格监控的主机上;基于网络的入侵检测系统部署复杂一些,通常采取在各个重要网段部署探测器,然后通过统一的控制管理台进行管理,对于交换式网络,要想探测器获取到网络数据,需要交换机端口镜像功能的支持。
通过部署入侵检测系统,可以起到以下功能:
?记录和分析用户和系统的活动
?检查系统配置、漏洞以及文件完整性
?识别已知的、未知的攻击行为
?基于检测结果做特定的响应动作
?可以提供作为审计用的日志
选择入侵略检测系统考虑的要点:
入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
市面上的入侵检测产品很多,厂家的宣传也都很好,那么我们如何判断一款入侵检测产品的好坏以及它是否适合自己应用呢?通常需要考虑的要点有:
特征库升级与维护的费用
入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。
最大可处理流量(包/秒 PPS)
一般有百兆、千兆之分
该产品容易被躲避吗
能否有效检测分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等规避方法
产品的可伸缩性
系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理
产品支持的入侵特征数
不同厂商对检测特征库大小的计算方法都不一样,尽量参考国际标准
产品的响应方法
要从本地、远程等多个角度考察,以及是否支持防火墙联动等等
是否通过了国家权威机构的评测
主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心
是否有成功案例
需要了解产品的成功应用案例,有必要进行实地考察和测试使用
系统的价格
性能价格比、以及要保护系统的价值可是更重要的因素。
相比之下,Juniper Networks NetScreen-IDP系列产品将应用和网络可视性与事件调查和纠正功能集成在一起以帮助客户快速而自信地部署在线攻击防护功能,是一项不错的具有智能检测入侵的硬件产品。
当然对于一栋大楼的安全来说,除了门卫和录像监控系统,还需要巡逻人员,进行定时定点的巡逻,检查现有的一些安全设施的情况,并作一些建设性意见,提高现有的安全性。漏洞扫描系统对服务器、网络设备、个人主机进行潜在威胁分析,找出网络设备的错误配置、操作系统的漏洞、应用软件的Bug等等,根据漏洞扫描系统的建议进行补救和改善,做到未雨绸缪,防范于未然,有效的避免黑客攻击。
