入侵检测系统(IDS)是近十多年发展起来的新一代安全防范技术,它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术,不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动。IDS技术主要面临着三大挑战。
一、如何提高入侵检测系统的检测速度,以适应网络通信的要求。
网络安全设备的处理速度一直是影响网络性能的一大瓶颈,虽然IDS通常以并联方式接入网络的,但如果其检测速度跟不上网络数据的传输速度,那么检测系统就会漏掉其中的部分数据包,从而导致漏报而影响系统的准确性和有效性。在IDS中,截获网络的每一个数据包,并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源,因此大部分现有的IDS只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,IDS技术发展的速度已经远远落后于网络速度的发展。
二、如何减少入侵检测系统的漏报和误报,提高其安全性和准确度。
基于模式匹配分析方法的IDS将所有入侵行为和手段及其变种表达为一种模式或特征,检测主要判别网络中搜集到的数据特征是否在入侵模式库中出现,因此,面对着每天都有新的攻击方法产生和新漏洞发布,攻击特征库不能及时更新是造成IDS漏报的一大原因。而基于异常发现的IDS通过流量统计分析建立系统正常行为的轨迹,当系统运行时的数值超过正常阈值,则认为可能受到攻击,该技术本身就导致了其漏报误报率较高。另外,大多IDS是基于单包检查的,协议分析得不够,因此无法识别伪装或变形的网络攻击,也造成大量漏报和误报。
三、如何提高入侵检测系统的互动性能,从而提高整个系统的安全性能。
在大型网络中,网络的不同部分可能使用了多种入侵检测系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息,共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全性的重要因素。例如,漏洞扫描程序例行的试探攻击就不应该触发IDS的报警;而利用伪造的源地址进行攻击,就可能联动防火墙关闭服务从而导致拒绝服务,这也是互动系统需要考虑的问题。
上海广电应确信有限公司(www.svanetworks.com)作为专业的网络安全设备厂商,在IDS技术上,采用了高速网络数据采集技术,结合独特的硬件和软件优化,提高了检测分析速度,同时以模式匹配技术为主,结合异常发现技术,采用基于主机和基于网络两种方式兼备的分布式系统,并使用先进的“基于上下文分析”技术,提供了更准确的可互动的入侵检测。
原作者:上海广电应确信有限公司陈博士