贴子已被锁定
面对日益严重的攻击,入侵检测系统(IDS)作为防火墙的有力补充,实时监视着网络中的不法行为; 阻止入侵或试图控制系统及网络资源的恶意攻击,
正在成为安全部署中不可或缺的工具之一,
其产品与技术正在不断地更新和发展,新亮点不断涌现。
提到网络安全,很多人首先想到的是防火墙。配置适当的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过它的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。随着网络的发展,IDS技术也在不断更新和变化。
变被动为主动
目前IDS产品常用的检测技术主要有以下几种:专家系统、基于模型的入侵检测方法、简单模式匹配。但以上的集中检测技术都存在着一些缺陷,导致目前的入侵检测系统不够完善,存在大量误报和漏报现象。这种现状也促使厂商进行技术革新。很多厂商,特别是防火墙厂商提出了IPS(IDP)的概念,如NAI推出的IPS产品、Netscreen推出的IDP产品等都融入了这个概念。这种IPS技术将防火墙的访问控制、应用代理、路由转发等功能统统去掉,以网桥形态接入网络中,利用防火墙上日益成熟的防范攻击的功能,为用户提供主动而有效的入侵防护系统。IPS产品的出现就是重点突出和强化了IDS中的阻断功能,并为此将传统IDS的旁路监听模式改为干路转发模式。
目前,从各厂商推出的IPS产品来看,其技术所倡导的核心是主动防御和在线安装的理念,除了采用IDS的集中检测方法外,还增加了事件关联等技术,并可以有选择地阻断恶意攻击,而且,在不断检测过程中,还具有积累以往的经验而自动学习的功能,不断更新策略,使防御更加主动、更加智能化。当然,有些所谓的IPS产品还是沿用了传统IDS对事件的匹配方法对攻击行为进行鉴别,但不同于传统IDS发送Reset包的方式,IPS可以直接将流经本身的数据阻断。
结构越来越复杂
目前的IDS产品从结构上说,是向着复杂化方向发展,分布式产品越来越多地被各个厂商所推荐。实际上,这和IDS本身所存在的一个技术障碍有关:误报率和漏报率高。这主要由于三个原因:一是入侵检测系统知识库中,事件特征描述对攻击行为认识的不确定性;二是入侵检测引擎中,检测分析证据来源获取的不确定性; 三是由于攻击行为来自于复杂的网络环境,信息来源具有复杂的时空结构,相应的分析体系中,攻击知识获取转换具有不确定性。针对这些因素,降低误警技术途径主要在三个方向展开。
降低误警漏警的第一个技术途径是事件库的完备表达。与各种攻击有关的定性知识与定量知识的表达与推理是入侵检测问题的核心。通过漏洞机理特征分析,对事件库进行精确定义;基于高层协议解析和状态签名技术,对漏洞事件进行精确匹配处理;对高层协议解析处理可直接准确地产生应用连接和应用登录事件。通过增加会话流匹配技术,对利用成组报文特征、返回报文特征进行事件精确定义。通过对事件库进行多维信息源关联数据维护,以备后续处理引擎分层、分布匹配过滤预警信息。 通过提高事件库对标准漏洞的覆盖率、应用协议覆盖率、攻击工具覆盖率,可以大大降低系统漏警率,同时提高系统对报文变形、碎片的处理能力,也是对付IDS反躲避的关键技术。
降低误警漏警的第二个技术途径是,检测分析证据来源信息的全面获取。网络入侵检测的信息获取的完整与全面,是降低检测误警的基础。为使在复杂环境中的信息获取更全面,获取过程应该具有阶段性,获取信息应该具有层次性、分布性。信息采集包括系统内核信息、系统日志信息、事件信息、应用日志信息等层次,获取对象包括网络和进程、主机和域、用户、组和所有者、服务等。 降低误警漏警的第三个技术途径是,设计具有多数