標(biāo)簽:IDS FPGA
本文引用地址:http://www.eepw.com.cn/article/154189.htm
入侵檢測(cè)技術(shù)作為網(wǎng)絡(luò)安全中的一項(xiàng)重要技術(shù)已有近30年的發(fā)展歷史,隨著中國(guó)移動(dòng)網(wǎng)絡(luò)的開(kāi)放與發(fā)展���,入侵檢測(cè)系統(tǒng)(IDS)也逐漸成為保衛(wèi)中國(guó)移動(dòng)網(wǎng)絡(luò)安全不可或缺的安全設(shè)備之一�。在入侵檢測(cè)技術(shù)發(fā)展過(guò)程中����,逐步形成了2類(lèi)方法����、5種硬件架構(gòu),不同的方法與架構(gòu)都存在其優(yōu)勢(shì)與不足�����。本文基于入侵檢測(cè)的應(yīng)用場(chǎng)景���,對(duì)現(xiàn)有的主流技術(shù)原理、硬件體系架構(gòu)進(jìn)行剖析;詳細(xì)分析IDS產(chǎn)品的測(cè)評(píng)方法與技術(shù)��,并介紹了一個(gè)科學(xué)合理�����、方便操作的IDS測(cè)評(píng)方案。最后�����,從應(yīng)用需求出發(fā)分析入侵檢測(cè)技術(shù)的未來(lái)發(fā)展趨勢(shì)�����。
1�、背景
目前,互聯(lián)網(wǎng)安全面臨嚴(yán)峻的形勢(shì)��。因特網(wǎng)上頻繁發(fā)生的大規(guī)模網(wǎng)絡(luò)入侵和計(jì)算機(jī)病毒泛濫等事件使很多政府部門(mén)����、商業(yè)和教育機(jī)構(gòu)等都受到了不同程度的侵害,甚至造成了極大的經(jīng)濟(jì)損失�。
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全問(wèn)題日益突出�����。網(wǎng)絡(luò)入侵行為經(jīng)常發(fā)生��,網(wǎng)絡(luò)攻擊的方式也呈現(xiàn)出多樣性和隱蔽性的特征。當(dāng)前網(wǎng)絡(luò)和信息安全面臨的形勢(shì)嚴(yán)峻����,網(wǎng)絡(luò)安全的主要威脅如圖1所示。
圖1 目前網(wǎng)絡(luò)安全的主要威脅
說(shuō)到網(wǎng)絡(luò)安全防護(hù)�,最常用的設(shè)備是防火墻。防火墻是通過(guò)預(yù)先定義規(guī)則并依據(jù)規(guī)則對(duì)訪問(wèn)進(jìn)行過(guò)濾的一種設(shè)備;防火墻能利用封包的多樣屬性來(lái)進(jìn)行過(guò)濾�,例如:來(lái)源IP 地址、來(lái)源端口號(hào)����、目的IP 地址或端口號(hào)、服務(wù)類(lèi)型(如WWW 或是 FTP)��。對(duì)于目前復(fù)雜的網(wǎng)絡(luò)安全來(lái)說(shuō)����,單純的防火墻技術(shù)已不能完全阻止網(wǎng)絡(luò)攻擊,如:無(wú)法解決木馬后門(mén)問(wèn)題����、不能阻止網(wǎng)絡(luò)內(nèi)部人員攻擊等。據(jù)調(diào)查發(fā)現(xiàn)���,80%的網(wǎng)絡(luò)攻擊來(lái)自于網(wǎng)絡(luò)內(nèi)部����,而防火墻不能提供實(shí)時(shí)入侵檢測(cè)能力�,對(duì)于病毒等束手無(wú)策。因此�,很多組織致力于提出更多更強(qiáng)大的主動(dòng)策略和方案來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性,其中一個(gè)有效的解決途徑就是入侵檢測(cè)系統(tǒng)IDS(Intrusion Detection Systems)��。
2���、入侵檢測(cè)技術(shù)發(fā)展歷史
IDS即入侵檢測(cè)系統(tǒng)��,其英文全稱(chēng)為:Intrusion Detection System�。入侵檢測(cè)系統(tǒng)是依照一定的安全策略��,通過(guò)軟件和硬件對(duì)網(wǎng)絡(luò)��、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視���,盡可能發(fā)現(xiàn)各種攻擊企圖���、攻擊行為或攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性����、完整性和可用性����。IDS通用模型如圖2所示���。
圖2 IDS 通用模型
IDS誕生于1980年�����,到目前為止已經(jīng)有30余年的歷史����,在這30余年中�����,IDS的發(fā)展經(jīng)過(guò)了4個(gè)階段��。
第一階段:概念誕生�����。IDS這個(gè)概念誕生于1980年4月���,James P.Andrson為美國(guó)空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》(計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視)的技術(shù)報(bào)告���,第一次詳細(xì)闡述了入侵檢測(cè)概念。他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類(lèi)方法�����,并將威脅分為外部滲透���、內(nèi)部滲透和不法行為三種�,還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想�����。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開(kāi)山之作����。
第二階段:模型發(fā)展。從1984年到1986年��,喬治敦大學(xué)的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型���,取名為IDES(入侵檢測(cè)專(zhuān)家系統(tǒng))��。該模型由六個(gè)部分組成:主題����、對(duì)象、審計(jì)記錄�、輪廓特征、異常記錄��、活動(dòng)規(guī)則�����,如圖3所示�。它獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境�����、系統(tǒng)弱點(diǎn)以及入侵類(lèi)型,為構(gòu)建入侵檢測(cè)系統(tǒng)提供了一個(gè)通用的框架�����。1988年�����,SRI/CSL的Teresa Lunt等人改進(jìn)了Denning的入侵檢測(cè)模型�,并開(kāi)發(fā)出了IDES。該系統(tǒng)包括一個(gè)異常檢測(cè)器和一個(gè)專(zhuān)家系統(tǒng)�,分別用于統(tǒng)計(jì)異常模型的建立和基于規(guī)則的特征分析檢測(cè)。
圖3 IDES結(jié)構(gòu)框架
第三階段:百家爭(zhēng)鳴��。1990年是入侵檢測(cè)系統(tǒng)發(fā)展史上一個(gè)分水嶺����。加州大學(xué)戴維斯分校的L.T.Heberlein等人開(kāi)發(fā)出了NSM(Network Security Monitor)����。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源,因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異常主機(jī)����,從此以后,入侵檢測(cè)系統(tǒng)發(fā)展史翻開(kāi)了新的一頁(yè)���,兩大陣營(yíng)正式形成:基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS����。
第四階段:繼續(xù)演進(jìn)。IDS在90年代形成的IDS兩大陣營(yíng)的基礎(chǔ)上���,有了長(zhǎng)足的發(fā)展����,形成了更多技術(shù)及分類(lèi)���。除了根據(jù)檢測(cè)數(shù)據(jù)的不同分為主機(jī)型和網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)外���,根據(jù)采用的檢測(cè)技術(shù),入侵檢測(cè)系統(tǒng)可以分為基于異常的入侵檢測(cè)(Anomaly Detection����,AD)和基于誤用(特征)的入侵檢測(cè)(Misuse Detection,MD)�。早期的IDS僅僅是一個(gè)監(jiān)聽(tīng)系統(tǒng)或者提供有限的數(shù)據(jù)分析功能,而新一代IDS更是增加了應(yīng)用層數(shù)據(jù)分析的能力;同時(shí)�,其配合防火墻進(jìn)行聯(lián)動(dòng),形成功能互補(bǔ)��,可更有效的阻斷攻擊事件?����,F(xiàn)有的入侵檢測(cè)技術(shù)的分類(lèi)及相關(guān)關(guān)系如圖4所示。
圖4 入侵檢測(cè)系統(tǒng)分類(lèi)
3����、入侵檢測(cè)應(yīng)用場(chǎng)景
與防火墻不同,IDS是一個(gè)監(jiān)聽(tīng)設(shè)備�����,無(wú)需網(wǎng)絡(luò)流量流經(jīng)它�,便可正常工作,即IDS采用旁路部署方式接入網(wǎng)絡(luò)��。與防火墻相比IDS有如下優(yōu)勢(shì):
(1) IDS是旁路設(shè)備�,不影響原有鏈路的速度;
(2) 由于具有龐大和詳盡的入侵知識(shí)庫(kù)��,可以提供非常準(zhǔn)確的判斷識(shí)別���,漏報(bào)和誤報(bào)率遠(yuǎn)遠(yuǎn)低于防火墻;
(3) 對(duì)日志記錄非常詳細(xì)�����,包括:訪問(wèn)的資源��、報(bào)文內(nèi)容等;
(4) 無(wú)論IDS工作與否�,都不會(huì)影響網(wǎng)絡(luò)的連通性和穩(wěn)定性;
(5) 能夠檢測(cè)未成功的攻擊行為;
(6) 可對(duì)內(nèi)網(wǎng)進(jìn)行入侵檢測(cè)等。
同時(shí)�,與防火墻相比,其也具有如下的劣勢(shì):
(1) 檢測(cè)效率低����,不能適應(yīng)高速網(wǎng)絡(luò)檢測(cè);
關(guān)鍵詞:
檢測(cè)技術(shù)
入侵
網(wǎng)絡(luò)安全
營(yíng)業(yè)執(zhí)照公示信息