入侵檢測系統(tǒng)(Intrusion Detect System)，目前基本上分為以下兩種：主機(jī)入侵檢測系統(tǒng)(HIDS);網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)。主機(jī)入侵檢測系統(tǒng)分析對象為主機(jī)審計日志，所以需 要在主機(jī)上安裝軟件，針對不同的系統(tǒng)、不同的版本需安裝不同的主機(jī)引擎，安裝配置較為復(fù)雜，同時對系統(tǒng)的運(yùn)行和穩(wěn)定性造成影響，目前在國內(nèi)應(yīng)用較少。網(wǎng)絡(luò)入侵監(jiān)測分析對象為網(wǎng)絡(luò)數(shù)據(jù)流，只需安裝在網(wǎng)絡(luò)的監(jiān)聽端口上，對網(wǎng)絡(luò)的運(yùn)行無任何影響，目前國內(nèi)使用較為廣泛。

　　一、IDS存在的問題

　　1、誤/漏報率高

　　IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統(tǒng)計方法來進(jìn)行檢測，而統(tǒng)計方法中的閾值難以有效確定，太小的值會產(chǎn)生大量的誤報，太大的值又會產(chǎn)生大量的漏報。而在協(xié)議分析的檢測方式中，一般的IDS只簡單地處理了常用的如HTTP、FTP、SMTP等，其余大量的協(xié)議報文完全可能造成IDS漏報，如果考慮支持盡量多的協(xié)議類型分析，網(wǎng)絡(luò)的成本將無法承受。

　　2、沒有主動防御能力

　　IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理，所以檢測規(guī)則的更新總是落后于攻擊手段的更新。

　　3、缺乏準(zhǔn)確定位和處理機(jī)制

　　IDS僅能識別IP地址，無法定位IP地址，不能識別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣關(guān)閉同時會影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機(jī)制。

　　4、性能普遍不足

　　現(xiàn)在市場上的IDS產(chǎn)品大多采用的是特征檢測技術(shù)，這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包，形成DoS攻擊。

　　二、入侵檢測技術(shù)的發(fā)展趨勢

　　(1).分析技術(shù)的改進(jìn)

　　入侵檢測誤報和漏報的解決最終依靠分析技術(shù)的改進(jìn)。目前入侵檢測分析方法主要有：統(tǒng)計分析、模式匹配、數(shù)據(jù)重組、協(xié)議分析、行為分析等。

　　統(tǒng)計分析是統(tǒng)計網(wǎng)絡(luò)中相關(guān)事件發(fā)生的次數(shù)，達(dá)到判別攻擊的目的。模式匹配利用對攻擊的特征字符進(jìn)行匹配完成對攻擊的檢測。數(shù)據(jù)重組是對網(wǎng)絡(luò)連接的數(shù)據(jù)流進(jìn)行重組再加以分析，而不僅僅分析單個數(shù)據(jù)包。

　　協(xié)議分析技術(shù)是在對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行重組的基礎(chǔ)上，理解應(yīng)用協(xié)議，再利用模式匹配和統(tǒng)計分析的技術(shù)來判明攻擊。例如：某個基于HTTP協(xié)議的攻擊含有ABC特征，如果此數(shù)據(jù)分散在若干個數(shù)據(jù)包中，如：一個數(shù)據(jù)包含A，另外一個包含B，另外一個包含C，則單純的模式匹配就無法檢測，只有基于數(shù)據(jù)流重組才能完整檢測。而利用協(xié)議分析。則只在符合的協(xié)議(HTTP)檢測到此事件才會報警。假設(shè)此特征出現(xiàn)在Mail里，因?yàn)椴环�合協(xié)議，就不會報警。利用此技術(shù)，有效的降低了誤報和漏報。

　　行為分析技術(shù)不僅簡單分析單次攻擊事件，還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生，攻擊行為是否生效，是入侵檢測分析技術(shù)的最高境界。但目前由于算法處理和規(guī)則制定的難度很大，目前還不是非常成熟，但卻是入侵檢測技術(shù)發(fā)展的趨勢。目前最好綜合使用多種檢測技術(shù)，而不只是依靠傳統(tǒng)的統(tǒng)計分析和模式匹配技術(shù)。另外，規(guī)則庫是否及時更新也和檢測的準(zhǔn)確程度相關(guān)。

　　(2).內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計功能的引入

　　前面已經(jīng)提到，入侵檢測的最高境界是行為分析。但行為分析前還不是很成熟，因此，個別優(yōu)秀的入侵檢測產(chǎn)品引入了內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計功能。

　　內(nèi)容恢復(fù)即在協(xié)議分析的基礎(chǔ)上，對網(wǎng)絡(luò)中發(fā)生的應(yīng)為加以完整的重組和記錄，網(wǎng)絡(luò)中發(fā)生的任何行為都逃不過它的監(jiān)視。網(wǎng)絡(luò)審計即對網(wǎng)絡(luò)中所有的連接事件進(jìn)行記錄。入侵檢測的接入方式?jīng)Q定入侵檢測系統(tǒng)中的網(wǎng)絡(luò)審計不僅類似防火墻可以記錄網(wǎng)絡(luò)進(jìn)出信息，還可以記錄網(wǎng)絡(luò)內(nèi)部連接狀況，此功能對內(nèi)容恢復(fù)無法恢復(fù)的加密連接尤其有用。

　　內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計讓管理員看到網(wǎng)絡(luò)的真正運(yùn)行狀況，其實(shí)就是調(diào)動管理員參與行為分析過程。此功能不僅能使管理員看到孤立的攻擊事件的報警，還可以看到整個攻擊過程，了解攻擊確實(shí)發(fā)生與否，查看攻擊著的操作過程，了解攻擊造成的危害。不但發(fā)現(xiàn)已知攻擊，同時發(fā)現(xiàn)未知攻擊。不當(dāng)發(fā)現(xiàn)外部攻擊者的攻擊，也發(fā)現(xiàn)內(nèi)部用戶的惡意行為。畢竟管理員是最了解其網(wǎng)絡(luò)的，管理員通過此功能的使用，很好的達(dá)成了行為分析的目的。但使用此功能的同時需注意對用戶隱私的保護(hù)。

　　(3).集成網(wǎng)絡(luò)分析和管理功能

　　入侵檢測不但對網(wǎng)絡(luò)攻擊是一個檢測。同時，侵檢測可以收到網(wǎng)絡(luò)中的所有數(shù)據(jù)，對網(wǎng)絡(luò)的故障分析和健康管理也可起到重大作用。當(dāng)管理員發(fā)現(xiàn)某臺主機(jī)有問題時，也希望能馬上對其進(jìn)行管理。入侵檢測也不應(yīng)只采用被動分析方法，最好能和主動分析結(jié)合。所以，入侵檢測產(chǎn)品集成網(wǎng)管功能，掃描器(Scanner)，嗅探器(Sniffer)等功能是以后發(fā)展的方向。

　　(4).安全性和易用性的提高

　　入侵檢測是個安全產(chǎn)品，自身安全極為重要。因此，目前的入侵檢測產(chǎn)品大多采用硬件結(jié)構(gòu)，黑洞式接入，免除自身安全問題。同時，對易用性的要求也日益增強(qiáng)，例如：全中文的圖形界面，自動的數(shù)據(jù)庫維護(hù)，多樣的報表輸出。這些都是優(yōu)秀入侵產(chǎn)品的特性和以后繼續(xù)發(fā)展細(xì)化的趨勢。

　　(5).改進(jìn)對大數(shù)據(jù)量網(wǎng)絡(luò)的處理方法

　　隨著對大數(shù)據(jù)量處理的要求，入侵檢測的性能要求也逐步提高，出現(xiàn)了千兆入侵檢測等產(chǎn)品。但如果入侵檢測檢測產(chǎn)品不僅具備攻擊分析，同時具備內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計功能，則其存儲系統(tǒng)也很難完全工作在千兆環(huán)境下。這種情況下，網(wǎng)絡(luò)數(shù)據(jù)分流也是一個很好的解決方案，性價比也較好。這也是國際上較通用的一種作法。

　　(6).防火墻聯(lián)動功能

　　入侵檢測發(fā)現(xiàn)攻擊，自動發(fā)送給放火墻，防火墻加載動態(tài)規(guī)則攔截入侵，稱為防火墻聯(lián)動功能。目前此功能還沒有到完全實(shí)用的階段，主要是一種概念。隨便使用會導(dǎo)致很多問題。目前主要的應(yīng)用對象是自動傳播的攻擊，如Nimda等，聯(lián)動只在這種場合有一定的作用。無限制的使用聯(lián)動。如未經(jīng)充分測試，對防火期的穩(wěn)定性和網(wǎng)絡(luò)應(yīng)用會造成負(fù)面影響。但隨著入侵檢測產(chǎn)品檢測準(zhǔn)確度的提高，聯(lián)動功能日益趨向?qū)嵱没��?/P>

標(biāo)簽： 安全 大數(shù)據(jù) 防火墻 服務(wù)器 數(shù)據(jù)庫 網(wǎng)絡(luò) 問題 隱私 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。