標簽:IDS FPGA
本文引用地址:http://www.eepw.com.cn/article/154189.htm
入侵檢測技術作為網(wǎng)絡安全中的一項重要技術已有近30年的發(fā)展歷史�,隨著中國移動網(wǎng)絡的開放與發(fā)展���,入侵檢測系統(tǒng)(IDS)也逐漸成為保衛(wèi)中國移動網(wǎng)絡安全不可或缺的安全設備之一。在入侵檢測技術發(fā)展過程中����,逐步形成了2類方法、5種硬件架構(gòu)���,不同的方法與架構(gòu)都存在其優(yōu)勢與不足��。本文基于入侵檢測的應用場景��,對現(xiàn)有的主流技術原理�����、硬件體系架構(gòu)進行剖析;詳細分析IDS產(chǎn)品的測評方法與技術����,并介紹了一個科學合理、方便操作的IDS測評方案��。最后����,從應用需求出發(fā)分析入侵檢測技術的未來發(fā)展趨勢。
1����、背景
目前,互聯(lián)網(wǎng)安全面臨嚴峻的形勢���。因特網(wǎng)上頻繁發(fā)生的大規(guī)模網(wǎng)絡入侵和計算機病毒泛濫等事件使很多政府部門��、商業(yè)和教育機構(gòu)等都受到了不同程度的侵害���,甚至造成了極大的經(jīng)濟損失����。
隨著互聯(lián)網(wǎng)技術的不斷發(fā)展���,網(wǎng)絡安全問題日益突出����。網(wǎng)絡入侵行為經(jīng)常發(fā)生���,網(wǎng)絡攻擊的方式也呈現(xiàn)出多樣性和隱蔽性的特征�����。當前網(wǎng)絡和信息安全面臨的形勢嚴峻�,網(wǎng)絡安全的主要威脅如圖1所示�����。
圖1 目前網(wǎng)絡安全的主要威脅
說到網(wǎng)絡安全防護���,最常用的設備是防火墻。防火墻是通過預先定義規(guī)則并依據(jù)規(guī)則對訪問進行過濾的一種設備;防火墻能利用封包的多樣屬性來進行過濾,例如:來源IP 地址���、來源端口號�����、目的IP 地址或端口號��、服務類型(如WWW 或是 FTP)���。對于目前復雜的網(wǎng)絡安全來說,單純的防火墻技術已不能完全阻止網(wǎng)絡攻擊����,如:無法解決木馬后門問題、不能阻止網(wǎng)絡內(nèi)部人員攻擊等����。據(jù)調(diào)查發(fā)現(xiàn),80%的網(wǎng)絡攻擊來自于網(wǎng)絡內(nèi)部�,而防火墻不能提供實時入侵檢測能力,對于病毒等束手無策��。因此�,很多組織致力于提出更多更強大的主動策略和方案來增強網(wǎng)絡的安全性�����,其中一個有效的解決途徑就是入侵檢測系統(tǒng)IDS(Intrusion Detection Systems)����。
2�����、入侵檢測技術發(fā)展歷史
IDS即入侵檢測系統(tǒng)����,其英文全稱為:Intrusion Detection System。入侵檢測系統(tǒng)是依照一定的安全策略�,通過軟件和硬件對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視����,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果����,以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性���。IDS通用模型如圖2所示�。
圖2 IDS 通用模型
IDS誕生于1980年��,到目前為止已經(jīng)有30余年的歷史����,在這30余年中,IDS的發(fā)展經(jīng)過了4個階段��。
第一階段:概念誕生���。IDS這個概念誕生于1980年4月�����,James P.Andrson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》(計算機安全威脅監(jiān)控與監(jiān)視)的技術報告�����,第一次詳細闡述了入侵檢測概念�。他提出了一種對計算機系統(tǒng)風險和威脅的分類方法����,并將威脅分為外部滲透�、內(nèi)部滲透和不法行為三種����,還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作�����。
第二階段:模型發(fā)展��。從1984年到1986年���,喬治敦大學的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模型���,取名為IDES(入侵檢測專家系統(tǒng))。該模型由六個部分組成:主題���、對象�、審計記錄�����、輪廓特征����、異常記錄�����、活動規(guī)則,如圖3所示��。它獨立于特定的系統(tǒng)平臺����、應用環(huán)境、系統(tǒng)弱點以及入侵類型���,為構(gòu)建入侵檢測系統(tǒng)提供了一個通用的框架���。1988年,SRI/CSL的Teresa Lunt等人改進了Denning的入侵檢測模型���,并開發(fā)出了IDES�����。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng)��,分別用于統(tǒng)計異常模型的建立和基于規(guī)則的特征分析檢測��。
圖3 IDES結(jié)構(gòu)框架
第三階段:百家爭鳴��。1990年是入侵檢測系統(tǒng)發(fā)展史上一個分水嶺����。加州大學戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM(Network Security Monitor)。該系統(tǒng)第一次直接將網(wǎng)絡流作為審計數(shù)據(jù)來源���,因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異常主機�,從此以后���,入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁��,兩大陣營正式形成:基于網(wǎng)絡的IDS和基于主機的IDS�����。
第四階段:繼續(xù)演進��。IDS在90年代形成的IDS兩大陣營的基礎上��,有了長足的發(fā)展�,形成了更多技術及分類。除了根據(jù)檢測數(shù)據(jù)的不同分為主機型和網(wǎng)絡型入侵檢測系統(tǒng)外�,根據(jù)采用的檢測技術,入侵檢測系統(tǒng)可以分為基于異常的入侵檢測(Anomaly Detection�,AD)和基于誤用(特征)的入侵檢測(Misuse Detection,MD)���。早期的IDS僅僅是一個監(jiān)聽系統(tǒng)或者提供有限的數(shù)據(jù)分析功能,而新一代IDS更是增加了應用層數(shù)據(jù)分析的能力;同時�����,其配合防火墻進行聯(lián)動��,形成功能互補��,可更有效的阻斷攻擊事件?,F(xiàn)有的入侵檢測技術的分類及相關關系如圖4所示。
圖4 入侵檢測系統(tǒng)分類
3��、入侵檢測應用場景
與防火墻不同�,IDS是一個監(jiān)聽設備,無需網(wǎng)絡流量流經(jīng)它�,便可正常工作,即IDS采用旁路部署方式接入網(wǎng)絡。與防火墻相比IDS有如下優(yōu)勢:
(1) IDS是旁路設備���,不影響原有鏈路的速度;
(2) 由于具有龐大和詳盡的入侵知識庫���,可以提供非常準確的判斷識別,漏報和誤報率遠遠低于防火墻;
(3) 對日志記錄非常詳細����,包括:訪問的資源、報文內(nèi)容等;
(4) 無論IDS工作與否�,都不會影響網(wǎng)絡的連通性和穩(wěn)定性;
(5) 能夠檢測未成功的攻擊行為;
(6) 可對內(nèi)網(wǎng)進行入侵檢測等。
同時����,與防火墻相比,其也具有如下的劣勢:
(1) 檢測效率低���,不能適應高速網(wǎng)絡檢測;
關鍵詞:
檢測技術
入侵
網(wǎng)絡安全
營業(yè)執(zhí)照公示信息