入侵檢測產品的發展趨勢

2003-10-08■■

出處：天極網路安全

1.入侵檢測產品發展現狀

入侵檢測系統

(intrusion detect system)

，目前基本上分為以下兩種：主機入侵檢測系統

(hids)

；網路入侵檢測系統

(nids)

。主機入侵檢測系統分析物件為主機審計日誌，所以需

要在主機上安裝軟體，針對不同的系統、不同的版本需安裝不同的主機引擎，安裝配置較為複雜，同時對系統的執行和穩定性造成影響，目前在國內應用較少。網路入侵監測分析物件為網路資料流，只需安裝在網路的監聽埠上，對網路的執行無任何影響，目前國內使用較為廣泛。本文分析的為目前使用廣泛的網路入侵監測系統。

2.為什麼需要入侵檢測系統？

目前在網路安全方面，國內的使用者對防火牆已經有了很高的認知程度，而對入侵檢測系統的作用大多不是非常了解。防火牆在網路安全中起到大門警衛的作用，對進出的資料依照預先設定的規則進行匹配，符合規則的就予以放行，起訪問控制的作用，是網路安全的第一道閘門。優秀的防火牆甚至對高層的應用協議進行動態分析，保護進出資料應用層的安全。但防火牆的功能也有侷限性。防火牆只能對進出網路的資料進行分析，對網路內部發生的事件完全無能為力。

同時

,由於防火牆處於閘道器的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網路效能．如果把放火防火牆比作大門警衛的話，入侵檢測就是網路中不間斷的攝像機，入侵檢測通過旁路監聽的方式不間斷的收取網路資料，對網路的執行和效能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報警。不但可以發現從外部的攻擊，也可以發現內部的惡意行為。所以說入侵檢測是網路安全的第二道閘門，是防火牆的必要補充，構成完整的網路安全解決方案。

3.入侵檢測系統目前存在的問題

入侵檢測系統有如此重大的作用，但在國內的應用遠遠談不到普及，一方面是由於使用者的認知程度較底，另一方面是由於入侵檢測是一門比較新的技術，還存在一些技術上的困難，不是所有廠商都有研發入侵檢測產品的實力。目前的入侵檢測產品大多存在這樣一些問題：

(1).

誤報和漏報的矛盾

入侵檢測系統對網路上所有的資料進行分析，如果攻擊者對系統進行攻擊嘗試，而系統相應服務開放，只是漏洞已經修補，那麼這一次攻擊是否需要報警，這就是乙個需要管理員判斷的問題。因為這也代表了一種攻擊的企圖。但大量的報警事件會分散管理員的精力，反而無法對真正的攻擊作出反映。和誤報相對應的是漏報，隨著攻擊的方法不斷更新，入侵檢測系統是否能報出網路中所有的攻擊也是乙個問題。

(2).

隱私和安全的矛盾

入侵檢測系統可以收到網路的所有資料，同時可以對其進行分析和記錄，這對網路安極其重要，但難免對使用者的隱私構成一定風險，這就要看具體的入侵檢測產品是否能提供相應功能以供管理員進行取捨。

(3).

被動分析與主動發現的矛盾

入侵檢測系統是採取被動監聽的方式發現網路問題，無法主動發現網路中的安全隱患和故障。如何解決這個問題也是入侵檢測產品面臨的問題。

(4).

海量資訊與分析代價的矛盾

隨著網路資料流量的不斷增長，入侵檢測產品能否處理高效處理網路中的資料也是衡量入侵檢測產品的重要依據。

(5).

功能性和可管理性的矛盾

隨著入侵檢測產品功能的增加，可否在功能增加的同時，不增大管理的難度。例如，入侵檢測系統的所有資訊都儲存在資料庫中，此資料庫能否自動維護和備份而不需管理員的干預？另外

,入侵檢測系統自身安全性如何？是否易於部署？採用何種報**式？也都是需要考慮的因素。

(6).

單一的產品與複雜的網路應用的矛盾

入侵檢測產品最出的目的是為了檢測網路的攻擊，但僅僅檢測網路中的攻擊遠遠無法滿足目前複雜的網應用需求．通常，管理員難以分清網路問題：是由於攻擊引起的還是網路故障。入侵檢測檢測出的攻擊事件又如何處理，可否和目前網路中的其他安全產品進行配合。

4．入侵檢測技術的發展趨勢

(1)

．分析技術的改進

入侵檢測誤報和漏報的解決最終依靠分析技術的改進。目前入侵檢測分析方法主要有：統計分析、模式匹配、資料重組、協議分析、行為分析等。

統計分析是統計網路中相關事件發生的次數，達到判別攻擊的目的。模式匹配利用對攻擊的特徵字元進行匹配完成對攻擊的檢測。資料重組是對網路連線的資料流進行重組再加以分析，而不僅僅分析單個資料報。

協議分析技術是在對網路資料流進行重組的基礎上，理解應用協議，再利用模式匹配和統計分析的技術來判明攻擊。例如：某個基於

協議的攻擊含有

abc特徵，如果此資料分散在若干個資料報中，如：乙個資料報含

a，另外乙個包含

b，另外乙個包含

c，則單純的模式匹配就無法檢測，只有基於資料流重組才能完整檢測。而利用協議分析。則只在符合的協議

檢測到此事件才會報警。假設此特徵出現在

mail

裡，因為不符合協議，就不會報警。利用此技術，有效的降低了誤報和漏報。

行為分析技術不僅簡單分析單次攻擊事件，還根據前後發生的事件確認是否確有攻擊發生，攻擊行為是否生效，是入侵檢測分析技術的最高境界。但目前由於演算法處理和規則制定的難度很大，目前還不是非常成熟，但卻是入侵檢測技術發展的趨勢。目前最好綜合使用多種檢測技術，而不只是依靠傳統的統計分析和模式匹配技術。另外，規則庫是否及時更新也和檢測的準確程度相關。

(2)

．內容恢復和網路審計功能的引入

前面已經提到，入侵檢測的最高境界是行為分析。但行為分析前還不是很成熟，因此，個別優秀的入侵檢測產品引入了內容恢復和網路審計功能。

內容恢復即在協議分析的基礎上，對網路中發生的應為加以完整的重組和記錄，網路中發生的任何行為都逃不過它的監視。網路審計即對網路中所有的連線事件進行記錄。入侵檢測的接入方式決定入侵檢測系統中的網路審計不僅類似防火牆可以記錄網路進出資訊，還可以記錄網路內部連線狀況，此功能對內容恢復無法恢復的加密連線尤其有用。

內容恢復和網路審計讓管理員看到網路的真正執行狀況，其實就是調動管理員參與行為分析過程。此功能不僅能使管理員看到孤立的攻擊事件的報警，還可以看到整個攻擊過程，了解攻擊確實發生與否，檢視攻擊著的操作過程，了解攻擊造成的危害。不但發現已知攻擊，同時發現未知攻擊。不當發現外部攻擊者的攻擊，也發現內部使用者的惡意行為。畢竟管理員是最了解其網路的，管理員通過此功能的使用，很好的達成了行為分析的目的。但使用此功能的同時需注意對使用者隱私的保護。

(3)

．整合網路分析和管理功能

入侵檢測不但對網路攻擊是乙個檢測。同時，侵檢測可以收到網路中的所有資料，對網路的故障分析和健康管理也可起到重大作用。當管理員發現某台主機有問題時，也希望能馬上對其進行管理。入侵檢測也不應只採用被動分析方法，最好能和主動分析結合。所以，入侵檢測產品整合網管功能，掃瞄器

(scanner)

，嗅探器

(sniffer)

等功能是以後發展的方向。

(4)．安全性和易用性的提高

入侵檢測是個安全產品，自身安全極為重要。因此，目前的入侵檢測產品大多採用硬體結構，黑洞式接入，免除自身安全問題。同時，對易用性的要求也日益增強，例如：全中文的圖形介面，自動的資料庫維護，多樣的報表輸出。這些都是優秀入侵產品的特性和以後繼續發展細化的趨勢。

(5)

．改進對大資料量網路的處理方法

隨著對大資料量處理的要求，入侵檢測的效能要求也逐步提高，出現了千兆入侵檢測等產品。但如果入侵檢測檢測產品不僅具備攻擊分析，同時具備內容恢復和網路審計功能，則其儲存系統也很難完全工作在千兆環境下。這種情況下，網路資料分流也是乙個很好的解決方案，價效比也較好。這也是國際上較通用的一種作法。

(6)

．防火牆聯動功能

入侵檢測發現攻擊，自動傳送給放火牆，防火牆載入動態規則攔截入侵，稱為防火牆聯動功能。目前此功能還沒有到完全實用的階段，主要是一種概念。隨便使用會導致很多問題。目前主要的應用物件是自動傳播的攻擊，如

nimda

等，聯動只在這種場合有一定的作用。無限制的使用聯動。如未經充分測試，對防火期的穩定性和網路應用會造成負面影響。但隨著入侵檢測產品檢測準確度的提高，聯動功能日益趨向實用化。 

5．總結

目前入侵檢測是一項全新的技術，對網路的安全起著重大的作用，但也有一些技術問題需要解決或正在解決，入侵檢測的應用也會日益廣泛，以下是評價目前評價乙個入侵檢測產品是否優秀的標準：1

．高效的資料擷取2

．智慧型的資料流重組3

．強大的入侵識別4

．全面的內容恢復5

．完整的網路審計6

．實時的網路監控7

．整合的網路管理8

．簡便的接入9

．易用的管理

10

．靈活的部署

11

．豐富的報**法

12

．多樣的輸出結果

13

．嚴格的自身安全

14.

高度的可整合性

總之，入侵檢測產品的目標是成為「全面的網路健康分析管理平台」。（天極論壇）

入侵檢測產品的發展趨勢

未來觸控產品發展趨勢3

PCI Express發展趨勢

UTM發展趨勢

入侵檢測產品的發展趨勢

未來觸控產品發展趨勢3

PCI Express發展趨勢

UTM發展趨勢

相關推薦