入侵檢測(cè)(IDS)及網(wǎng)絡(luò)安全發(fā)展趨勢(shì)

2013-10-22 10:17:49 eNet硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高，曾經(jīng)作為最主要的安全防范手段的防火墻，已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。作為對(duì)防火墻及其有益的補(bǔ)充，IDS(入侵檢測(cè)系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，它擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

　　一、入侵檢測(cè)系統(tǒng)(IDS)詮釋

　　IDS是一種網(wǎng)絡(luò)安全系統(tǒng)，當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)，IDS能夠檢測(cè)出來，并進(jìn)行報(bào)警，通知網(wǎng)絡(luò)該采取措施進(jìn)行響應(yīng)。

　　在本質(zhì)上，入侵檢測(cè)系統(tǒng)是一種典型的“窺探設(shè)備”。它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽端口)，無(wú)須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)地、無(wú)聲息地收集它所關(guān)心的報(bào)文即可。

　　目前，IDS分析及檢測(cè)入侵階段一般通過以下幾種技術(shù)手段進(jìn)行分析：特征庫(kù)匹配、基于統(tǒng)計(jì)的分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

　　二、IDS存在的問題

　　1、誤/漏報(bào)率高

　　IDS常用的檢測(cè)方法有特征檢測(cè)、異常檢測(cè)、狀態(tài)檢測(cè)、協(xié)議分析等。而這些檢測(cè)方式都存在缺陷。比如異常檢測(cè)通常采用統(tǒng)計(jì)方法來進(jìn)行檢測(cè)，而統(tǒng)計(jì)方法中的閾值難以有效確定，太小的值會(huì)產(chǎn)生大量的誤報(bào)，太大的值又會(huì)產(chǎn)生大量的漏報(bào)。而在協(xié)議分析的檢測(cè)方式中，一般的IDS只簡(jiǎn)單地處理了常用的如HTTP、FTP、SMTP等，其余大量的協(xié)議報(bào)文完全可能造成IDS漏報(bào)，如果考慮支持盡量多的協(xié)議類型分析，網(wǎng)絡(luò)的成本將無(wú)法承受。

　　2、沒有主動(dòng)防御能力

　　IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理，所以檢測(cè)規(guī)則的更新總是落后于攻擊手段的更新。

　　3、缺乏準(zhǔn)確定位和處理機(jī)制

　　IDS僅能識(shí)別IP地址，無(wú)法定位IP地址，不能識(shí)別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時(shí)候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣關(guān)閉同時(shí)會(huì)影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機(jī)制。

　　4、性能普遍不足

　　現(xiàn)在市場(chǎng)上的IDS產(chǎn)品大多采用的是特征檢測(cè)技術(shù)，這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包，形成DoS攻擊。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊