入侵检测及网络安全发展技术探讨_网络冲浪

随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
  一、入侵检测系统(IDS)诠释

  IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应。

  在本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。入侵检测/响应流程如图1所示。

图1:入侵检测/响应流程图

  目前,IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。

  二、IDS存在的问题

  1.误/漏报率高

  IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。

  2.没有主动防御能力

  IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。

  3.缺乏准确定位和处理机制

  IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。

  4.性能普遍不足

  现在市场上的IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包,形成DoS攻击。

  三、IDS技术的发展

  IDS虽然存在一些缺陷,但换个角度我们看到,各种相关网络安全的黑客和病毒都是依赖网络平台进行的,而如果在网络平台上就能切断黑客和病毒的传播途径,那么就能更好地保证安全。这样,网络设备与IDS设备联动就应运而生了。

  IDS与网络交换设备联动,是指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,IDS系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,由此即产生了入侵防御系统(IPS)的概念。

  简单地理解,可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能,力求做到一旦发现有攻击行为,立即响应,主动切断连接。它的部署方式不像IDS并联在网络中,而是以串联的方式接入网络中,其功能示意如图2所示。

图2:IPS功能示意图

  除了IPS,也有厂商提出了IMS(入侵管理系统)。IMS是一个过程,在行为未发生前要考虑网络中有什么漏洞,判断有可能会形成什么攻击行为和面临的入侵危险;在行为发生时或即将发生时,不仅要检测出入侵行为,还要主动阻断,终止入侵行为;在入侵行为发生后,还要深层次分析入侵行为,通过关联分析,来判断是否还会出现下一个攻击行为。

  四、网络安全的发展方向

  1.检测和访问控制技术将共存共荣

  以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。

  (1)防火墙是网关形式,要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通(传输)和断(阻隔)两个功能,所以其传输要求是非常高的。

  (2)而IDS是一个以检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低。其对性能的追求主要在:抓包不能漏、分析不能错,而不是微秒级的快速结果。IDS由于较高的技术特征,所以其计算复杂度是非常高的。

  从这个意义上来讲,检测和访问控制技术将在一个较长的时期内更加关注其自身的特点,各自提高性能和可靠性,既不会由一方取代另一方,也不会简单的形成融合技术。

  2.检测和访问控制的协同是必然趋势

  虽然检测技术和访问控制技术存在着一定程度的差异,但是两个技术的协同工作和在应用上的融合又是一个迫切的要求和必然趋势。

  安全产品的融合、协同、集中管理是网络安全的发展方向。大型企业需要一体化的安全解决方案,需要细力度的安全控制手段。中小企业一边希望能够获得切实的安全保障,一边又不可能对信息安全有太多的投入。从早期的主动响应入侵检测系统到入侵检测系统与防火墙联动,再到IPS和IMS,形成了一个不断完善的解决安全需求的过程。

  3.如何进行技术融合

  “集中检测,分布控制”这个观点对于如何看待检测技术和访问控制技术的走向是非常重要的。一个准确度不能完全令人满意的IDS,经过人工的分析可以变得准确。同样,经过大规模的IDS部署后的集中分析以及和其他检测类技术关联分析,可以获得更加精确的结果。这样局部的事件检测就向全局性的事件检测方向发展。根据全局性的检测结果就可以进行全局性的响应和控制。

  全局性的检测可以有效解决检测的准确率问题,但是同时带来的就是检测过程变长,局部速度不够快的问题。所以,面对一些局部事件和可以准确地判断出的问题,阻断后带来的负面效应相对较少,针对其检测可以比较快速的时候,IPS就是一个比较好的方案了。

  4.人仍是网络安全管理的决定因素

  不可否认的是,人的因素仍然是网络安全管理的决定因素,网络安全最薄弱的环节也并不是系统漏洞,而是人的漏洞。安全问题的核心问题就是人的问题。因为一切不安全的因素全来自人(或者说一部分人)。那么我们与信息网络安全威胁的斗争,实际上是与人(或者说一部分人)的斗争,这样性质的斗争,自不待言,注定了它的艰巨性、复杂性和持久性。

  因此,单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的,提高企业的网络安全意识,加大整体防范网络入侵和攻击的能力,并在此基础上形成一支高素质的网络安全管理专业队伍,及时准确地应对各式各样的网络安全事件,才能从根本上解决我们面临的威胁和困扰。

时间: 2024-09-20 08:39:38

入侵检测及网络安全发展技术探讨_网络冲浪的相关文章

纵谈网络加密及解密技术方法_网络冲浪

    一.为Windows系统文件夹加密 说起来每个人都会有一些不乐意被人知道的隐私,比如工作计划.个人信息等等,为了保护这些秘密,加密软件便成了许多人的首选.不过网上流行的加密软件基本上都是对文件或文件夹直接进行加密处理,所以在文件较大或文件很多的情况下就需要花费较多的时间,而且当要使用这些文件的时候,还需要对其进行解密,使用完毕以后,又要重新加密,十分麻烦.有没有既能加密,又能像普通文件一样方便使用的工具呢?当然有,实际上利用Windows自带的功能就能满足您这个要求. 1.文件加密 (1

只防病毒不安全 网络安全还要防哪些?_网络冲浪

出处: 北京娱乐信报 上网的人中,很少有谁没被病毒侵害过.但在大多数人将注意力放在对付病毒上时,业内权威人士新近指出,现在要想保证上网安全,必须对以下这三种威胁同时设防.第一是以传统宏病毒.蠕虫等为代表的入侵性病毒:第二是以间谍软件.广告软件.网络钓鱼软件.木马程序为代表的扩展类威胁:第三是以黑客为首的有目标的专门攻击或无目标的随意攻击为代表的网络侵害. 三大新威胁 Spyware(间谍软件):主要是用作偷取用户个人资料的恶意程序,如用户使用网上银行.网上购物等电子商务应用时,如果没有相关的防御

原生防火墙 网络安全防御新趋势_网络冲浪

作者: 淮河水手 出处: 电脑报 面对不断"更新"的病毒和攻击技术,你难道不想了解新的安全技术,装备新的安全产品,以保护自己的爱机.绝密的资料吗?不要担心,"安全新秀"将会为你介绍最新的安全技术.资讯,最新的安全产品,让你永远走在安全的前沿. 对于个人用户来说,主要是依靠基于操作系统的软件网络防火墙(如天网.瑞星等)来保护自己的系统安全,免受黑客和病毒的攻击.但这种传统的安全防御方式有很多令人不满意的地方(如占用过多的系统资源.系统速度变慢.效果不理想等).最近,N

网络漏洞扫描系统必要性_网络冲浪

随着计算机技术.网络技术的飞速发展和普及应用,网络安全已日渐成为人们关注的焦点问题之一.近几年来,安全技术和安全产品已经有了长足的进步,部分技术与产品已日趋成熟.但是,单个安全技术或者安全产品的功能和性能都有其局限性,只能满足系统与网络特定的安全需求.因此,如何有效利用现有的安全技术和安全产品来保障系统与网络的安全已成为当前信息安全领域的研究热点之一. 首先,让我们来看看现阶段网络上使用最多的安全设备防火墙和入侵检测.为了确保网络的安全使用,研究它们的局限性和脆弱性已经十分必要. 一.防火墙的局

黑客入侵攻击方式的 四种最新趋势_网络冲浪

从1988年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动.CERT CC给出一些关于最新入侵者攻击方式的趋势. 趋势一:攻击过程的自动化与攻击工具的快速更新 攻击工具的自动化程度继续不断增强.自动化攻击涉及到的四个阶段都发生了变化. 1. 扫描潜在的受害者.从1997年起开始出现大量的扫描活动.目前,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度. 2. 入侵具有漏洞的系统.以前,对具有漏洞的系统的攻击是发生在大范围的扫描之后

堵住黑客非法入侵的11点原则_网络冲浪

目前,市场上的入侵检测产品大大小小有上百家,如何选择适合自己的产品,是一件摆在广大安全管理员和企业技术决策者面前很头痛的事.下面我们就根据产品的综合性能,谈谈采购过程中的基本原则. 1.产品的攻击检测数量为多少?是否支持升级? IDS的主要指标是它能发现的入侵方式的数量,几乎每个星期都有新的漏洞和攻击方法出现,产品的升级方式是否灵活直接影响到它功能的发挥.一个好的实时检测产品应该能经常性升级,并可通过互联网或下载升级包在本地升级. 2.对于网络入侵检测系统,最大可处理流量(PPS)是多少? 首先

教你如何:入侵UNIX和Linux服务器入门_网络冲浪

    在讨论这部分知识前,读者需要知道--入侵网站是非法的:但是在网络上找到网站的入侵漏洞并通知该网站是受到欢迎的.为什么要这样寻找入侵漏洞或入侵哪,著名的黑客H ackalot说过"入侵网站是利用所学的知识来学习新的知识的一种办法",这也就是中国人所常说的"温故而知新". 尽管为服务器设计软件的软件工程师们想方设法提高系统的安全性,然而由于系统管理员的水平参差不齐或安全意识底下,往往给黑客提供了入侵的机会. 其实每一个黑客都有自己独到的方法.笔者对于入侵网站服务

智能防火墙的技术特征_网络冲浪

防火墙已经被用户普遍接受,而且正在成为一种主要的网络安全设备.防火墙圈定一个保护的范围,并假定防火墙是唯一的出口,然后防火墙来决定是放行还是封锁进出的包.传统的防火墙有一个重大的理论假设-如果防火墙拒绝某些数据包的通过,则一定是安全的,因为这些包已经被丢弃.但实际上防火墙并不保证准许通过的数据包是安全的,防火墙无法判断一个正常的数据包和一个恶意的数据包有什么不同,而是要求管理员来保证该包是安全的.管理员必须告诉防火墙准许通过什么,防火墙则依据设置的规则来准许该包通过,这样管理员就必须承担策略错误

初步认识网络之精华篇_网络冲浪

今天,随着计算机的广泛应用和网络的流行,越来越多的单位和部门开始引入计算机网络管理,从而相应的需要更多的优秀网管.已有几年"脑龄"的你是不是也有成为网管的雄心壮志?在你成为一名合格的网管前,你必须先把下面的十个问题弄清楚.如果连这些最基本的网管知识你都不具备的话,那你怎么能不补这堂课呢? ★计算机网络是什么? 这是首先必须解决的一个问题,绝对是核心概念.我们讲的计算机网络,其实就是利用通讯设备和线路将地理位置不同的.功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议