分享
 
 
 

IDS重在应用

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

随着网络的发展和应用的深入,黑客入侵事件变得越来越猖獗,给企业带来的损失和威胁也日益加大。人们发现,仅仅依靠传统的操作系统加固和防火墙隔离等静态安全防御技术已经远远无法满足现有网络安全的需要了。入侵检测系统(Intrusion Detection System? IDS)作为近十多年来发展起来的新一代动态安全防范技术,得到了深入的研究和广泛的应用。IDS通过对计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应于一体的动态安全技术,不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动。

IDS面临的主要挑战

与防火墙技术相比,入侵检测还显得不够成熟,仍然处于发展阶段。负责对IDS进行标准化的入侵检测工作组(IDWG)及公共入侵检测框架(CIDF)的建议和草案,都还处于逐步完善之中,尚未被采纳为广泛接受的国际标准。因此,IDS还面临着很多技术和应用的挑战。

1.要提高IDS的检测速度,以适应网络通信的要求。

网络安全设备的处理速度,一直是影响网络性能的一大瓶颈。IDS通常以并联方式接入网络,如果其检测速度跟不上网络数据的传输速度,那么检测系统就会漏掉其中的部分数据包,从而导致漏报而影响系统的准确性和有效性。在IDS中,截获网络的每一个数据包,并分析、匹配其中是否具有某种攻击的特征,需要花费大量的时间和系统资源,大部分现有的IDS只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,IDS技术发展的速度已经远远落后于网络速度的发展。

2.要减少IDS的漏报和误报。

基于模式匹配分析方法的IDS,主要判别搜集到的数据特征是否在入侵模式库中出现。因此,面对每天都有新的攻击方法产生和新漏洞发布,攻击特征库不能及时更新,是造成IDS漏报的一大原因。而基于异常发现的IDS,通过流量统计分析建立系统正常行为的轨迹,只要系统运行时的数值超过正常阈值,则认为可能受到攻击,这种技术本身就导致了其漏报误报率较高。

3.要提高IDS的互动性能。

在大型网络中,网络的不同部分可能使用了多种IDS,甚至还有防火墙、漏洞扫描等其它类别的安全设备,这些IDS之间以及IDS和其它安全组件之间,如何交换信息,共同协作来发现攻击,并阻止攻击,是关系整个系统安全性的重要因素。

因此,厂商应该从多个角度来提高IDS的技术水平和性能。在建立入侵检测标准和接口的同时,可以利用多点分析和关联技术提高检测的精确度,并制定出与其它安全设备的互动机制,构建一个全面的、实时的、动态的安全系统。

IDS的应用

防火墙和杀毒软件作为最早被用户接受的网络安全产品,已经成了安全方案中不可缺少的一部分。但是,仅仅依靠防火墙是远远不够的。IDS作为全面安全产品体系的一部分,能保护重要的信息免受外部和内部的威胁。

IDS也不是万金油,面对不恰当的系统管理它也无能为力。IDS的安装和维护都比较复杂,而且其较高的误报率也要求用户必须配备和培训专业人员来判断检测报告结果的正确性。因此,是否要考虑装备IDS或者应用什么样的IDS,都要视企业的具体情况和需求而定。

1.根据组织的安全需求及既定的安全策略,来确定所需的IDS。首先确定企业的资产清单,全面评估其信息系统的风险,定位出企业的关键资产和最严重的威胁;再结合企业可付出的预算,以及风险控制的可接受范围,制定出恰当的安全策略。

2.根据企业所要保护的系统,来确定选择基于主机的IDS还是基于网络的IDS、或是二者的结合。用户可以使用基于主机的IDS,来着重保护关键的主机和服务器,处理加密的数据,并从系统、用户、过程和应用的层次来检测异常行为;而基于网络的IDS主要用于检测网络中数据包是否隐藏着攻击,可以监测防火墙的内网、外围和DMZ部分,以确保防火墙的策略,以及检测DoS攻击、监视特定的服务和协议。

3.综合比较各种IDS的性能和价格,来选择具体应用的产品。用户可以从商业资料和测试报告来获取IDS产品的功能和性能指标。关键指标应该尽量选择参考独立第三方机构的评测报告。

4.IDS和其它安全设备一样,正确地配置和维护,是使它能真正发挥作用的关键之处。没有正确配置的IDS也是无法实现其检测和响应能力的,而且IDS还有特征库升级、报警响应、误报处理等需要更多维护工作的方面。

入侵检测主要技术

我们经常根据获取原始数据的途径,将IDS分为基于主机(HIDS)和基于网络的IDS(NIDS)。

IDS通过对入侵行为的过程与特征的研究,从而对入侵事件和过程作出实时响应。IDS从分析方式上分为两种:模式匹配(Signature-based)和异常发现(Anomaly-based)。

1.模式匹配的关键是,将所有入侵行为和手段及其变种,包括系统的误用,表达为一种模式或特征,建立一个入侵模式库。检测时,主要判别主机或者网络中所搜集到的数据特征是否在所收集到的入侵模式库中出现,匹配可以是简单的字符串匹配,也可以是正则的数学表达式所表示的安全状态的变化。模式匹配方式可以详细、准确地报告出已知的攻击类型,误报率低,但是对未知攻击却效果有限,而且入侵模式库必须不断更新,以对付不断出现的黑客攻击手法。

2.异常发现通过流量统计分析,建立系统正常行为的轨迹,定义一组系统“正常”情况的阈值,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。系统正常行为可以包括CPU利用率、内存利用率、文件校验和等系统信息,也可以包括用户正常使用的访问时间和次数、操作失败次数和延时等行为测量数据。这种检测技术的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有