随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。
作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
一、入侵检测系统(IDS)诠释
IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应。
在本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。入侵检测/响应流程如图1所示。
图1:入侵检测/响应流程图
目前,IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
二、IDS存在的问题
1.误/漏报率高
IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。
2.没有主动防御能力
IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。
3.缺乏准确定位和处理机制
IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。
4.性能普遍不足
现在市场上的IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包,形成DoS攻击。
三、IDS技术的发展
IDS虽然存在一些缺陷,但换个角度我们看到,各种相关网络安全的黑客和病毒都是依赖网络平台进行的,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地保证安全。这样,网络设备与IDS设备联动就应运而生了。
IDS与网络交换设备联动,是指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,由此即产生了入侵防御系统(IPS)的概念。
简单地理解,可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能,力求做到一旦发现有攻击行为,立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中,其功能示意如图2所示。
图2:IPS功能示意图
除了IPS,也有厂商提出了IMS(入侵管理系统)。IMS是一个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。 更多请看Cisco与华为技术网(Vlan9.com)路由安全配置、IDS入侵检测、网络管理实用手册专题,或进入论坛讨论。
IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应。
在本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。入侵检测/响应流程如图1所示。
图1:入侵检测/响应流程图
目前,IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
1.误/漏报率高
IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。
2.没有主动防御能力
IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。
3.缺乏准确定位和处理机制
IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。
4.性能普遍不足
现在市场上的IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包,形成DoS攻击。
三、IDS技术的发展
IDS虽然存在一些缺陷,但换个角度我们看到,各种相关网络安全的黑客和病毒都是依赖网络平台进行的,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地保证安全。这样,网络设备与IDS设备联动就应运而生了。
IDS与网络交换设备联动,是指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,由此即产生了入侵防御系统(IPS)的概念。
简单地理解,可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能,力求做到一旦发现有攻击行为,立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中,其功能示意如图2所示。
图2:IPS功能示意图
除了IPS,也有厂商提出了IMS(入侵管理系统)。IMS是一个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。 更多请看Cisco与华为技术网(Vlan9.com)路由安全配置、IDS入侵检测、网络管理实用手册专题,或进入论坛讨论。
相关专题
- 路由安全配置 (11827篇文章)
- IDS入侵检测 (397篇文章)
- 网络管理实用手册 (17972篇文章)
- 网络故障手册 (13166篇文章)
- 网络组网专题 (12613篇文章)
- 网络建设 (14034篇文章)
- SSH安全技术 (8155篇文章)
- 局域网安全管理 (9503篇文章)
- 网路安全基础 (1586篇文章)
- IDS基础教程 (25篇文章)
论坛精华
阅读排行榜
- “时间管理”无线路由器不能忽视的功能 (46次浏览)
- 城域光传送网光缆组网方案研究 (31次浏览)
最新技术文档
- 城域光传送网光缆组网方案研究 04-14
- “时间管理”无线路由器不能忽视的功能 04-11
- 网线缠绕,也能引发上网频繁掉线? 04-07
- 网络数据丢包严重 线路环路是“祸首” 03-29
- 网管支招:从本地入手解决双线路由设置 03-29
- 家用网络难点 无线路由自动掉线巧解决 03-27
- 加速交换机端口初始化进程的介绍 03-19
- 关于加速交换机端口初始化进程的介绍 03-19
- 网线的制作和连接 03-14
- 网线的制作和连接:网管员必须掌握 03-13
热门关键字导读