網(wǎng)絡(luò)消費(fèi)網(wǎng) >  5G > > 正文
網(wǎng)絡(luò)安全之入侵檢測技術(shù)
時間:2021-12-02 22:22:04

標(biāo)簽:IDS FPGA

本文引用地址:http://www.eepw.com.cn/article/154189.htm

入侵檢測技術(shù)作為網(wǎng)絡(luò)安全中的一項重要技術(shù)已有近30年的發(fā)展歷史,隨著中國移動網(wǎng)絡(luò)的開放與發(fā)展,入侵檢測系統(tǒng)(IDS)也逐漸成為保衛(wèi)中國移動網(wǎng)絡(luò)安全不可或缺的安全設(shè)備之一。在入侵檢測技術(shù)發(fā)展過程中,逐步形成了2類方法、5種硬件架構(gòu),不同的方法與架構(gòu)都存在其優(yōu)勢與不足。本文基于入侵檢測的應(yīng)用場景,對現(xiàn)有的主流技術(shù)原理、硬件體系架構(gòu)進(jìn)行剖析;詳細(xì)分析IDS產(chǎn)品的測評方法與技術(shù),并介紹了一個科學(xué)合理、方便操作的IDS測評方案。最后,從應(yīng)用需求出發(fā)分析入侵檢測技術(shù)的未來發(fā)展趨勢。

1、背景

目前,互聯(lián)網(wǎng)安全面臨嚴(yán)峻的形勢。因特網(wǎng)上頻繁發(fā)生的大規(guī)模網(wǎng)絡(luò)入侵和計算機(jī)病毒泛濫等事件使很多政府部門、商業(yè)和教育機(jī)構(gòu)等都受到了不同程度的侵害,甚至造成了極大的經(jīng)濟(jì)損失。

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全問題日益突出。網(wǎng)絡(luò)入侵行為經(jīng)常發(fā)生,網(wǎng)絡(luò)攻擊的方式也呈現(xiàn)出多樣性和隱蔽性的特征。當(dāng)前網(wǎng)絡(luò)和信息安全面臨的形勢嚴(yán)峻,網(wǎng)絡(luò)安全的主要威脅如圖1所示。

圖1 目前網(wǎng)絡(luò)安全的主要威脅

說到網(wǎng)絡(luò)安全防護(hù),最常用的設(shè)備是防火墻。防火墻是通過預(yù)先定義規(guī)則并依據(jù)規(guī)則對訪問進(jìn)行過濾的一種設(shè)備;防火墻能利用封包的多樣屬性來進(jìn)行過濾,例如:來源IP 地址、來源端口號、目的IP 地址或端口號、服務(wù)類型(如WWW 或是 FTP)。對于目前復(fù)雜的網(wǎng)絡(luò)安全來說,單純的防火墻技術(shù)已不能完全阻止網(wǎng)絡(luò)攻擊,如:無法解決木馬后門問題、不能阻止網(wǎng)絡(luò)內(nèi)部人員攻擊等。據(jù)調(diào)查發(fā)現(xiàn),80%的網(wǎng)絡(luò)攻擊來自于網(wǎng)絡(luò)內(nèi)部,而防火墻不能提供實(shí)時入侵檢測能力,對于病毒等束手無策。因此,很多組織致力于提出更多更強(qiáng)大的主動策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性,其中一個有效的解決途徑就是入侵檢測系統(tǒng)IDS(Intrusion Detection Systems)。

2、入侵檢測技術(shù)發(fā)展歷史

IDS即入侵檢測系統(tǒng),其英文全稱為:Intrusion Detection System。入侵檢測系統(tǒng)是依照一定的安全策略,通過軟件和硬件對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。IDS通用模型如圖2所示。

圖2 IDS 通用模型

IDS誕生于1980年,到目前為止已經(jīng)有30余年的歷史,在這30余年中,IDS的發(fā)展經(jīng)過了4個階段。

第一階段:概念誕生。IDS這個概念誕生于1980年4月,James P.Andrson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》(計算機(jī)安全威脅監(jiān)控與監(jiān)視)的技術(shù)報告,第一次詳細(xì)闡述了入侵檢測概念。他提出了一種對計算機(jī)系統(tǒng)風(fēng)險和威脅的分類方法,并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種,還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這份報告被公認(rèn)為是入侵檢測的開山之作。

第二階段:模型發(fā)展。從1984年到1986年,喬治敦大學(xué)的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一個實(shí)時入侵檢測系統(tǒng)模型,取名為IDES(入侵檢測專家系統(tǒng))。該模型由六個部分組成:主題、對象、審計記錄、輪廓特征、異常記錄、活動規(guī)則,如圖3所示。它獨(dú)立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型,為構(gòu)建入侵檢測系統(tǒng)提供了一個通用的框架。1988年,SRI/CSL的Teresa Lunt等人改進(jìn)了Denning的入侵檢測模型,并開發(fā)出了IDES。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng),分別用于統(tǒng)計異常模型的建立和基于規(guī)則的特征分析檢測。

圖3 IDES結(jié)構(gòu)框架

第三階段:百家爭鳴。1990年是入侵檢測系統(tǒng)發(fā)展史上一個分水嶺。加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM(Network Security Monitor)。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源,因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異常主機(jī),從此以后,入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁,兩大陣營正式形成:基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。

第四階段:繼續(xù)演進(jìn)。IDS在90年代形成的IDS兩大陣營的基礎(chǔ)上,有了長足的發(fā)展,形成了更多技術(shù)及分類。除了根據(jù)檢測數(shù)據(jù)的不同分為主機(jī)型和網(wǎng)絡(luò)型入侵檢測系統(tǒng)外,根據(jù)采用的檢測技術(shù),入侵檢測系統(tǒng)可以分為基于異常的入侵檢測(Anomaly Detection,AD)和基于誤用(特征)的入侵檢測(Misuse Detection,MD)。早期的IDS僅僅是一個監(jiān)聽系統(tǒng)或者提供有限的數(shù)據(jù)分析功能,而新一代IDS更是增加了應(yīng)用層數(shù)據(jù)分析的能力;同時,其配合防火墻進(jìn)行聯(lián)動,形成功能互補(bǔ),可更有效的阻斷攻擊事件?,F(xiàn)有的入侵檢測技術(shù)的分類及相關(guān)關(guān)系如圖4所示。

圖4 入侵檢測系統(tǒng)分類

3、入侵檢測應(yīng)用場景

與防火墻不同,IDS是一個監(jiān)聽設(shè)備,無需網(wǎng)絡(luò)流量流經(jīng)它,便可正常工作,即IDS采用旁路部署方式接入網(wǎng)絡(luò)。與防火墻相比IDS有如下優(yōu)勢:

(1) IDS是旁路設(shè)備,不影響原有鏈路的速度;

(2) 由于具有龐大和詳盡的入侵知識庫,可以提供非常準(zhǔn)確的判斷識別,漏報和誤報率遠(yuǎn)遠(yuǎn)低于防火墻;

(3) 對日志記錄非常詳細(xì),包括:訪問的資源、報文內(nèi)容等;

(4) 無論IDS工作與否,都不會影響網(wǎng)絡(luò)的連通性和穩(wěn)定性;

(5) 能夠檢測未成功的攻擊行為;

(6) 可對內(nèi)網(wǎng)進(jìn)行入侵檢測等。

同時,與防火墻相比,其也具有如下的劣勢:

(1) 檢測效率低,不能適應(yīng)高速網(wǎng)絡(luò)檢測;

關(guān)鍵詞: 檢測技術(shù) 入侵 網(wǎng)絡(luò)安全

版權(quán)聲明:
    凡注明來網(wǎng)絡(luò)消費(fèi)網(wǎng)的作品,版權(quán)均屬網(wǎng)絡(luò)消費(fèi)網(wǎng)所有,未經(jīng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,并注明"來源:網(wǎng)絡(luò)消費(fèi)網(wǎng)"。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。
    除來源署名為網(wǎng)絡(luò)消費(fèi)網(wǎng)稿件外,其他所轉(zhuǎn)載內(nèi)容之原創(chuàng)性、真實(shí)性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考并自行核實(shí)。
熱文

網(wǎng)站首頁 |網(wǎng)站簡介 | 關(guān)于我們 | 廣告業(yè)務(wù) | 投稿信箱
 

Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
 

中國網(wǎng)絡(luò)消費(fèi)網(wǎng) 版權(quán)所有 未經(jīng)書面授權(quán) 不得復(fù)制或建立鏡像
 

聯(lián)系郵箱:920 891 263@qq.com

備案號:京ICP備2022016840號-15

營業(yè)執(zhí)照公示信息