入侵檢測(IDS)及網絡安全發(fā)展趨勢

2013-10-22 10:17:49 eNet硅谷動力　點擊量：評論 (0)

隨著網絡安全風險系數(shù)不斷提高，曾經作為最主要的安全防范手段的防火墻，已經不能滿足人們對網絡安全的需求。作為對防火墻及其有益的補充，IDS(入侵檢測系統(tǒng))能夠幫助網絡系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，它擴展了系

隨著網絡安全風險系數(shù)不斷提高，曾經作為最主要的安全防范手段的防火墻，已經不能滿足人們對網絡安全的需求。作為對防火墻及其有益的補充，IDS(入侵檢測系統(tǒng))能夠幫助網絡系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，它擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應)，提高了信息安全基礎結構的完整性。

　　一、入侵檢測系統(tǒng)(IDS)詮釋

　　IDS是一種網絡安全系統(tǒng)，當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統(tǒng)時，IDS能夠檢測出來，并進行報警，通知網絡該采取措施進行響應。

　　在本質上，入侵檢測系統(tǒng)是一種典型的“窺探設備”。它不跨接多個物理網段(通常只有一個監(jiān)聽端口)，無須轉發(fā)任何流量，而只需要在網絡上被動地、無聲息地收集它所關心的報文即可。

　　目前，IDS分析及檢測入侵階段一般通過以下幾種技術手段進行分析：特征庫匹配、基于統(tǒng)計的分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

　　二、IDS存在的問題

　　1、誤/漏報率高

　　IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統(tǒng)計方法來進行檢測，而統(tǒng)計方法中的閾值難以有效確定，太小的值會產生大量的誤報，太大的值又會產生大量的漏報。而在協(xié)議分析的檢測方式中，一般的IDS只簡單地處理了常用的如HTTP、FTP、SMTP等，其余大量的協(xié)議報文完全可能造成IDS漏報，如果考慮支持盡量多的協(xié)議類型分析，網絡的成本將無法承受。

　　2、沒有主動防御能力

　　IDS技術采用了一種預設置式、特征分析式工作原理，所以檢測規(guī)則的更新總是落后于攻擊手段的更新。

　　3、缺乏準確定位和處理機制

　　IDS僅能識別IP地址，無法定位IP地址，不能識別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候，只能關閉網絡出口和服務器等少數(shù)端口，但這樣關閉同時會影響其他正常用戶的使用。因而其缺乏更有效的響應處理機制。

　　4、性能普遍不足

　　現(xiàn)在市場上的IDS產品大多采用的是特征檢測技術，這種IDS產品已不能適應交換技術和高帶寬環(huán)境的發(fā)展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包，形成DoS攻擊。