隨著網絡安全風險系數不斷提高,曾經作為最主要的安全防范手段的防火墻,已經不能滿足人們對網絡安全的需求。作為對防火墻及其有益的補充,IDS(入侵檢測系統)能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
一、入侵檢測系統(IDS)詮釋
IDS是一種網絡安全系統,當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能夠檢測出來,并進行報警,通知網絡該采取措施進行響應。
在本質上,入侵檢測系統是一種典型的“窺探設備”。它不跨接多個物理網段(通常只有一個監聽端口),無須轉發任何流量,而只需要在網絡上被動地、無聲息地收集它所關心的報文即可。
目前,IDS分析及檢測入侵階段一般通過以下幾種技術手段進行分析:特征庫匹配、基于統計的分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
二、IDS存在的問題
1、誤/漏報率高
IDS常用的檢測方法有特征檢測、異常檢測、狀態檢測、協議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統計方法來進行檢測,而統計方法中的閾值難以有效確定,太小的值會產生大量的誤報,太大的值又會產生大量的漏報。而在協議分析的檢測方式中,一般的IDS只簡單地處理了常用的如 HTTP、FTP、SMTP等,其余大量的協議報文完全可能造成IDS漏報,如果考慮支持盡量多的協議類型分析,網絡的成本將無法承受。
2、沒有主動防御能力
IDS技術采用了一種預設置式、特征分析式工作原理,所以檢測規則的更新總是落后于攻擊手段的更新。
3、缺乏準確定位和處理機制
IDS僅能識別IP地址,無法定位IP地址,不能識別數據來源。IDS系統在發現攻擊事件的時候,只能關閉網絡出口和服務器等少數端口,但這樣關閉同時會影響其他正常用戶的使用。因而其缺乏更有效的響應處理機制。
4、性能普遍不足
現在市場上的IDS產品大多采用的是特征檢測技術,這種IDS產品已不能適應交換技術和高帶寬環境的發展,在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包,形成DoS攻擊。
北京金支點技術服務有限公司——專業HP ALPHA/SUN/IBM小型機維護,小型機租賃,小型機保修和ORACLE數據庫維護 服務外包專家。
京公網安備 11010802036102號北京金支點技術服務有限公司保留所有權利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.