从二十世纪九十年代初期开始,入侵检测技术已经在全球范围内广泛用来保护公司、组织的信息网络。但直到今天,绝大多数IDS系统的核心基础技术并没有获得明显进展,还停留在基本的数据包捕获加以非智能模式匹配和特征搜索技术来探测攻击。
特征模式匹配技术
特点:检测慢、不准确、消耗系统资源
特征模式匹配技术有两个最根本的缺陷:
1.计算的负载。持续该运算法则所需的计算量极其巨大,对于满负载的100Mbps以太网,需要的计算量将是:攻击特征字节数×数据包字节数×每秒的数据包数×数据库的攻击特征数。
2.探测准确性。模式匹配/特征搜索技术使用固定的特征模式来探测攻击,只能探测出明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。
最近,入侵检测与防护系统市场的领先公司中国安氏(iS-One)成功开发推出了最新一代的入侵检测系统LinkTrust IDS 6.6。这种入侵检测系统完美集合了“高速数据包捕获+协议分析与命令解析+特征模式匹配”,解决了当前IDS应用中的几个核心问题:准确性、性能、与其他安全系统的集成、服务与支持能力。
协议分析技术
特点:检测快、准确、极少的资源消耗
协议分析是新一代IDS系统探测攻击手法的主要技术,它利用网络协议的高度规则性快速探测攻击的存在。协议分析技术的优势在于:
1.解析命令字符串。URL第一个字节的位置给予解析器。解析器是一个命令解析程序,最新一代IDS网络入侵检测引擎包含超过70个不同的命令解析器,可以对在不同的上层应用协议上,对每一个用户命令作出详细分析。
2.探测碎片攻击和协议确认。在基于协议分析的IDS中,各种协议都被解析,如果出现IP碎片设置,数据包将首先被重装,然后详细分析来了解潜在的攻击行为。由于协议被完整解析,这还可以用来确认协议的完整性。
3.降低误报率。协议解析也大大降低了模式匹配IDS系统中常见的误报现象。使用命令解析器可以确保一个特征串的实际意义被真正理解,辨认出串是不是攻击或可疑的。
4.真正高性能。新一代IDS系统网络传感器采用新设计的高性能数据包驱动器,使其不仅支持线速百兆流量检测,而且千兆网络传感器具有高达900M网络流量的100%检测能力,不会忽略任何一个数据包。
总结
新一代入侵检测与防护系统解决了IDS领域长期以来的应用瓶颈问题:检测准确性以及大流量应用网络环境下的系统性能。以安氏公司为代表的新一代IDS提供商将凭借此项最新技术,融合传统特征模式匹配技术的优点,为用户提供更加完善、优秀的入侵检测与防护系统,继续保持其在网络安全市场的领先地位。