隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高,曾經(jīng)作為最主要的安全防范手段的防火墻,已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。作為對(duì)防火墻及其有益的補(bǔ)充,IDS(入侵檢測(cè)系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
一、入侵檢測(cè)系統(tǒng)(IDS)詮釋
IDS是一種網(wǎng)絡(luò)安全系統(tǒng),當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí),IDS能夠檢測(cè)出來,并進(jìn)行報(bào)警,通知網(wǎng)絡(luò)該采取措施進(jìn)行響應(yīng)。
在本質(zhì)上,入侵檢測(cè)系統(tǒng)是一種典型的“窺探設(shè)備”。它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽端口),無須轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上被動(dòng)地、無聲息地收集它所關(guān)心的報(bào)文即可。
目前,IDS分析及檢測(cè)入侵階段一般通過以下幾種技術(shù)手段進(jìn)行分析:特征庫匹配、基于統(tǒng)計(jì)的分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè),而完整性分析則用于事后分析。
二、IDS存在的問題
1、誤/漏報(bào)率高
IDS常用的檢測(cè)方法有特征檢測(cè)、異常檢測(cè)、狀態(tài)檢測(cè)、協(xié)議分析等。而這些檢測(cè)方式都存在缺陷。比如異常檢測(cè)通常采用統(tǒng)計(jì)方法來進(jìn)行檢測(cè),而統(tǒng)計(jì)方法中的閾值難以有效確定,太小的值會(huì)產(chǎn)生大量的誤報(bào),太大的值又會(huì)產(chǎn)生大量的漏報(bào)。而在協(xié)議分析的檢測(cè)方式中,一般的IDS只簡(jiǎn)單地處理了常用的如 HTTP、FTP、SMTP等,其余大量的協(xié)議報(bào)文完全可能造成IDS漏報(bào),如果考慮支持盡量多的協(xié)議類型分析,網(wǎng)絡(luò)的成本將無法承受。
2、沒有主動(dòng)防御能力
IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理,所以檢測(cè)規(guī)則的更新總是落后于攻擊手段的更新。
3、缺乏準(zhǔn)確定位和處理機(jī)制
IDS僅能識(shí)別IP地址,無法定位IP地址,不能識(shí)別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時(shí)候,只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口,但這樣關(guān)閉同時(shí)會(huì)影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機(jī)制。
4、性能普遍不足
現(xiàn)在市場(chǎng)上的IDS產(chǎn)品大多采用的是特征檢測(cè)技術(shù),這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展,在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包,形成DoS攻擊。
北京金支點(diǎn)技術(shù)服務(wù)有限公司——專業(yè)HP ALPHA/SUN/IBM小型機(jī)維護(hù),小型機(jī)租賃,小型機(jī)保修和ORACLE數(shù)據(jù)庫維護(hù) 服務(wù)外包專家。
京公網(wǎng)安備 11010802036102號(hào)北京金支點(diǎn)技術(shù)服務(wù)有限公司保留所有權(quán)利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.