《入侵检测系统目前存在的问题和今后的发展》由会员分享,可在线阅读,更多相关《入侵检测系统目前存在的问题和今后的发展(3页珍藏版)》请在金锄头文库上搜索。
1、入侵检测系统目前存在的问题和今后的发展 目前,企业用户已经意识到入侵检测的重要性,但在购买 IDS 产品时,往往因为价格高昂、产品自身无法克服的弱点(如误报和漏报)以及前段时间一直炒作的入侵防护系统(IPS)将取代 IDS 的概念,拿不定主意。下面,我就 IDS 目前存在的问题和未来的发展方向发表一下个人看法。一、IDS 的重要性自 IDS 诞生以来,就一直是网络安全领域内富有争议的产品。误报和漏报严重、海量信息难以分析、与其他设备联动困难、部署麻烦等问题一直缠绕着它。但 IDS 为什么没有消亡,反而越来越受到重视呢?我们先来分析一下目前的网络现状:首先,各类网络攻击与破坏行为与日俱增,攻击的
2、手段也层出不穷,传统的网络防火墙、防病毒产品等设备应对这些攻击越来越吃力;其次,随着企业网络结构的不断扩大,由内部引发的安全问题日益突出。基于上述两点原因,大家可以知道为什么 IDS 在网络中的应用越来越广泛。可喜的是,现在 IDS 已不仅成功应用到对安全等级要求很高的电信和金融等领域,在政府和教育网络中也经常看到它的身影。二、IDS 的技术剖析由于市场对入侵检测产品的需求增多,不少国内安全厂商开始投入到 IDS 产品的研发当中,但大都是在国际上一些流行的 IDS(如 Snort)的基础上改进,重新编写控制台而得到的。由于这些厂商无需开发自己的核心技术,可以采用比较低廉的价格进入安全市场,因此
3、吸引了国内一批用户采购。但是由于部分产品本身存在较高的误报率和漏报率,使得很多用户感觉就像碰到“鸡肋”一样。在这种情况下,一些有实力的厂商开始研发异常检测技术(异常检测技术是假定所有入侵行为都与正常行为不同)。这一技术的局限是并非所有的入侵都表现为异常,并且系统的轨迹难于计算和更新,因此协议分析技术诞生了。一些国际和国内知名的安全厂商正在研究它,其原理是通过对数据包进行结构化协议分析来识别入侵企图和行为。这种技术不仅比模式匹配检测效率更高,而且能对一些未知的攻击特征进行识别,具有一定的免疫功能。IDS 作为并联在网络上的设备,只能被动地检测网络遭到何种攻击,阻断攻击能力相当有限,需要与防火墙联
4、动发送 TCP reset 包来阻止入侵,因此联动技术的需求日益高涨。早在几年前,入侵检测厂商几乎都把联动技术当作“卖点” ,很多用户对它的期待值也较高,但为什么这种技术的实际应用并不多呢?这是因为它在技术上有很多不成熟之处,主要问题有以下两点。1安全性。防火墙需要开放联动端口,可能导致它的安全问题,还有一些使用联动技术的设备采用 telnet、ssh 等作为管理的方式,更存在安全隐患。2时效性。一个攻击包,经过交换机镜像到 IDS 的检测引擎,再触发报警信息到联动的防火墙,当这一系列的工作完成时,一次快速的入侵早已完成,并且部分规则要在攻击成功后才能触发。因此,这种联动方式根本解决不了实际问
5、题,甚至毫无效果,只能用在拒绝进一步,或者说是将来的入侵,而最初的入侵还是实现了。有些厂商提出将入侵检测设备以“inline”方式接入网络,就像防火墙一样串接在网络中,这样可以解决联动技术的安全性与时效性问题。但由于设备是串接在网络中(采用这种方式的设备就是前面提到的 IPS),它会分析网络中的每一个数据包,其性能和稳定性又成为网络中的瓶颈。结果是其带来的负作用可能要大于它所带来的好处。这就是为什么市场对 IPS 呼声很高,而产品的实际应用却很少的原因。三、IDS 的发展趋势对于 IDS 以后的发展趋势,笔者发表以下个人的观点:IDS 的发展方向终究是 IPS 产品,虽然 IPS 实现技术复杂
6、,对于检测精度和性能等多方面要求较高,远不是普通 IDS 串接网络那么简单,但是随着 NP 和 ASIC 技术的发展,硬件方面的瓶颈将不再是发展的壁垒。此外入侵检测技术也在不断地提高,实现趋于零的误报率和漏报率也并非不可能,相信到那个时候 IPS 产品将发挥其真正的作用。IDS 作为当前比较成熟的安全设备,其“网络警卫”作用十分重要。尽管 IDS 由于技术发展的原因,也许会在几年内从形式上消失,被 IPS 取代,但是其入侵检测功能并不会因形式的消失而消亡,而是逐渐被转化和吸纳到其他的安全设备中。在目前国内 IPS 技术与产品还不是很成熟的阶段,用户选择一款较成熟的 IDS 产品来保护自己网络无疑是明智之举。
