入侵檢測(IDS)及網(wǎng)絡(luò)安全發(fā)展趨勢
隨著網(wǎng)絡(luò)安全風(fēng)險系數(shù)不斷提高,曾經(jīng)作為最主要的安全防范手段的防火墻,已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。作為對防火墻及其有益的補充,IDS(入侵檢測系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴展了系
隨著網(wǎng)絡(luò)安全風(fēng)險系數(shù)不斷提高,曾經(jīng)作為最主要的安全防范手段的防火墻,已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。作為對防火墻及其有益的補充,IDS(入侵檢測系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
一、入侵檢測系統(tǒng)(IDS)詮釋
IDS是一種網(wǎng)絡(luò)安全系統(tǒng),當(dāng)有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡(luò)甚至計算機系統(tǒng)時,IDS能夠檢測出來,并進行報警,通知網(wǎng)絡(luò)該采取措施進行響應(yīng)。
在本質(zhì)上,入侵檢測系統(tǒng)是一種典型的“窺探設(shè)備”。它不跨接多個物理網(wǎng)段(通常只有一個監(jiān)聽端口),無須轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上被動地、無聲息地收集它所關(guān)心的報文即可。
目前,IDS分析及檢測入侵階段一般通過以下幾種技術(shù)手段進行分析:特征庫匹配、基于統(tǒng)計的分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
二、IDS存在的問題
1、誤/漏報率高
IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統(tǒng)計方法來進行檢測,而統(tǒng)計方法中的閾值難以有效確定,太小的值會產(chǎn)生大量的誤報,太大的值又會產(chǎn)生大量的漏報。而在協(xié)議分析的檢測方式中,一般的IDS只簡單地處理了常用的如HTTP、FTP、SMTP等,其余大量的協(xié)議報文完全可能造成IDS漏報,如果考慮支持盡量多的協(xié)議類型分析,網(wǎng)絡(luò)的成本將無法承受。
2、沒有主動防御能力
IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理,所以檢測規(guī)則的更新總是落后于攻擊手段的更新。
3、缺乏準(zhǔn)確定位和處理機制
IDS僅能識別IP地址,無法定位IP地址,不能識別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候,只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口,但這樣關(guān)閉同時會影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機制。
4、性能普遍不足
現(xiàn)在市場上的IDS產(chǎn)品大多采用的是特征檢測技術(shù),這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展,在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包,形成DoS攻擊。
一、入侵檢測系統(tǒng)(IDS)詮釋
IDS是一種網(wǎng)絡(luò)安全系統(tǒng),當(dāng)有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡(luò)甚至計算機系統(tǒng)時,IDS能夠檢測出來,并進行報警,通知網(wǎng)絡(luò)該采取措施進行響應(yīng)。
在本質(zhì)上,入侵檢測系統(tǒng)是一種典型的“窺探設(shè)備”。它不跨接多個物理網(wǎng)段(通常只有一個監(jiān)聽端口),無須轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上被動地、無聲息地收集它所關(guān)心的報文即可。
目前,IDS分析及檢測入侵階段一般通過以下幾種技術(shù)手段進行分析:特征庫匹配、基于統(tǒng)計的分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
二、IDS存在的問題
1、誤/漏報率高
IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統(tǒng)計方法來進行檢測,而統(tǒng)計方法中的閾值難以有效確定,太小的值會產(chǎn)生大量的誤報,太大的值又會產(chǎn)生大量的漏報。而在協(xié)議分析的檢測方式中,一般的IDS只簡單地處理了常用的如HTTP、FTP、SMTP等,其余大量的協(xié)議報文完全可能造成IDS漏報,如果考慮支持盡量多的協(xié)議類型分析,網(wǎng)絡(luò)的成本將無法承受。
2、沒有主動防御能力
IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理,所以檢測規(guī)則的更新總是落后于攻擊手段的更新。
3、缺乏準(zhǔn)確定位和處理機制
IDS僅能識別IP地址,無法定位IP地址,不能識別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候,只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口,但這樣關(guān)閉同時會影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機制。
4、性能普遍不足
現(xiàn)在市場上的IDS產(chǎn)品大多采用的是特征檢測技術(shù),這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展,在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包,形成DoS攻擊。
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
