【www.myl5520.com--网络散文】
入侵检测系统应用
篇一:入侵检测系统,中国知网
实训11:windows下配置snort(一)
【实验原理】
一、Snort是一个强大的清量级的网络入侵检测系统。它具有实时数据流量分析和日志Ip网络数据包的能力,能够进行协议分析,对内容搜索或匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。 还有,这个软件遵循公用许可GPL,所以只要遵守GPL任何组织和个人都可以自由使用。
二、snort特点:
1.Snort虽然功能强大,但是其代码极为简洁,短小,其源代码压缩包只有200KB不到。Snort可移植性非常好。
2.Snort具有实时流量分析和日志Ip网数据包的能力。
3.Snort能够进行协议分析,内容的搜索/匹配。
4.Snort的日至格式既可以是Tcpdump的二进制格式,也可以编码成ASCII字符形式,更便于拥护尤其是新手检查,使用数据库输出插件,Snort可以把日志记入数据库,当前支持的数据库包括:Postagresql, MySQL,任何UnixODBC数据库,MicrosoftMsSQL,还有Oracle等数据库。
5.使用TCP流插件(TCPSTREAM),Snort可以对TCP包进行重组。
6.使用Spade(Statistical Packet Anomaly Detection Engine)插件,Snort能够报告非正常的可以包,从而对端口扫描进行有效的检测。
7.Snort还有很强的系统防护能力。
8.扩展性能较好,对于新的攻击威胁反应迅速。
9.Snort支持插件,可以使用具有特定功能的报告,检测子系统插件对其功能进行扩展。
10.Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。
三、入侵检测的原理
1、信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
1)系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。
2)目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。
3)程序执行中的不期望行为
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。
4)物理形式的入侵信息
这包括两个方面的内容: 一是未授权的对网络硬件连接;二是对物理资源的未授权访问。 例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。
2.信号分析
对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
1) 模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
2)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。
测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
3)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
【实验环境】
证书服务器要求Windows xp以上操作系统,2台以上互相连通的计算机。所需软件:首先得到我们需要的软件包(最新软件包):
appserv-win32-2.4.1.exe
作用:可快速建立Apache/PHP/MySQL环境。
网址:/?modules=&applang=tw
备注:请下载2.4.1版本即可,否则Snort连结至MySQL会产生错误。
WinPcap_3_0.exe
作用:把网卡设置为“混杂”模式,然后处理网络截取的封包
网址:
Snort_232_Build12_Installer.exe或2.0版本
作用:Windows版的Snort安装程序 网址:/?modules=&applang=tw
备注:请下载2.4.1版本即可,否则Snort连结至MySQL会产生错误。 .WinPcap_3_0.exe
作用:把网卡设置为“混杂”模式,然后处理网络截取的封包
网址:
.安装Snort2.8.5.1_Installer.exe或2.0版本
作用:Windows版的Snort安装程序
网址:/retype/zoom/5d529f41a8956bec0975e3aa?pn=4&x=0&y=0&raww=558&rawh=359&o=png_6_0_0_108_303_627_404_892.979_1262.879&type=pic&aimh=308.81720430107526&md5sum=5251080a156bfbccb0f1a9fe8dc65b86&sign=4d0269f4f0&zoom=&png=266-20752&jpg=0-0" target="_blank">
入侵检测系统与入侵防御系统的区别
篇二:入侵检测系统,中国知网
入侵检测系统与入侵防御系统的区别
2008-09-04 15:38:12 作者:未知 来源:CNET中国
关键字:入侵防御系统 入侵检测系统 IPS 特征匹配 IDS 攻击 安全策略 用户 网络 部署
1. 入侵检测系统(IDS)
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。
这些位置通常是:
服务器区域的交换机上;
Internet接入路由器之后的第一台交换机上;
重点保护网段的局域网交换机上。
2. 入侵防御系统(IPS)
IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
对于部署在数据转发路径上的IPS,可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。 进行了以上分析以后,我们可以得出结论,办公网中,至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。
3. IPS与IDS的区别、选择
IPS对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。
IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?
从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御
系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。
从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。 而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。
明确了这些区别,用户就可以比较理性的进行产品类型选择:
若用户计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。
若用户计划分布实施安全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。
若用户仅仅关注网络安全状况的监控(如金融监管部门,电信监管部门等),则可在目标信息系统中部署入侵检测系统即可。
明确了IPS的主线功能是深层防御、精确阻断后,IPS未来发展趋势也就明朗化了:不断丰富和完善IPS可以精确阻断的攻击种类和类型,并在此基础之上提升IPS产品的设备处理性能。
而在提升性能方面存在的一个悖论就是:需提升性能,除了在软件处理方式上优化外,硬件架构的设计也是一个非常重要的方面,目前的ASIC/NP等高性能硬件,都是采用嵌入式指令+专用语言开发,将已知攻击行为的特征固化在电子固件上,虽然能提升匹配的效率,但在攻击识别的灵活度上过于死板(对变种较难发现),在新攻击特征的更新上有所滞后(需做特征的编码化)。而基于开放硬件平台的IPS由于采用的是高级编程语言,不存在变种攻击识别和特征更新方面的问题,厂商的最新产品已经可以达到电信级骨干网络的流量要求,比如McAfee公司推出的电信级IPS产品M8000(10Gbps流量)、M6050(5Gbps)。
所以,入侵防御系统的未来发展方向应该有以下两个方面:
第一, 更加广泛的精确阻断范围:扩大可以精确阻断的事件类型,尤其是针对变种以及无法通过特征来定义的攻击行为的防御。
第二, 适应各种组网模式:在确保精确阻断的情况下,适应电信级骨干网络的防御需求。
中国入侵检测系统行业发展研究报告
篇三:入侵检测系统,中国知网
核心内容提要
市场规模(Market Size)
市场规模(Market Size),即市场容量,本报告里,指的是目标产品或行业的整体规模,通常用产值、产量、消费量、消费额等指标来体现市场规模。千讯咨询对市场规模的研究,不仅要对过去五年的市场规模进行调研摸底,同时还要对未来五年行业市场规模进行预测分析,市场规模大小可能直接决定企业对新产品设计开发的投资规模;此外,市场规模的同比增长速度,能够充分反应行业的成长性,如果一个产品或行业处在高速成长期,是非常值得企业关注和投资的。本报告的第三章对入侵检测系统行业的市场规模和同比增速有非常详细数据和文字描述。
消费结构
消费结构是指被消费的产品或服务的构成成份,本报告主要从三个角度来研究消费结构,即:产品结构、用户结构、区域结构。1、产品结构,主要研究各类细分产品或服务的消费情况,以及细分产品或服务的规模在整个市场规模中的占比;2、用户结构,主要研究产品或服务都销售给哪些用户群体了,以及各类用户群体的消费规模在整个市场规模中的占比;3、区域结构,主要研究产品或服务都销售到哪些重点地区了,以及某些重点区域市场的消费规模在整个市场规模中的占比。对消费结构的研究,有助于企业更为精准的把握目标客户和细分市场,从而调整产品结构,更好地服务客户和应对市场竞争。
市场份额(Market shares)
市场份额,又称市场占有率,指一个企业的销售量(或销售额)在市场同类产品中所占的比重。市场份额是企业判断自身市场地位的重要指标之一,也是无数大中型企业讨论和制定市场战略的重要依据。对市场份额的研究,又分为总体市场市场份额和目标市场市场份额,本报告以中国市场为研究对象,中国市场即为总体市场,而某些特定的省、市则为目标市场。
市场集中度(Market Concentration Rate)
市场集中度(Market Concentration Rate)是对整个行业的市场结构集中程度的测量指标,是决定市场结构最基本、最重要的因素,集中体现了市场的竞争和垄断程度,经常使用的集中度计量指标有:行业集中率(CRn)、赫尔芬达尔—赫希曼指数(Herfindahl-HirschmanIndex,缩写:HHI,以下简称赫希曼指数)、洛仑兹曲线、基尼系数、逆指数和熵指数等,其中集中率(CRn)与赫希曼指数(HHI )两个指标被经常运用在反垄断经济分析之中。本报告对市场集中度的研究采用的计量指标是行业集中率(CRn),CRn指该行业的指定市场内前n家最大的企业所占市场份额的总和,例如,CR4是指该行业四家最大的企业的市场份额之和。CRn的值越大,表明该行业的垄断程度越高,大多数客户都集中到有数的几家企业去了。
千讯咨询 -《中国入侵检测系统行业发展研究报告》 第 1页入侵检测系统,中国知网。
中国入侵检测系统行业发展研究报告
【报告类型】多用户、行业/市场研究报告
【交付时间】3-8个工作日,特殊要求另行约定
【报告定价】专业版¥5500.00(共16章,原价¥6500.00)
资深版¥6800.00(共21章,原价¥8500.00)
【发布机构】千讯咨询
【报告格式】PDF版+WORD版+纸介版(限一份)
【售后服务】一年,目录范围之内,免费提供内容补充,数据更新等服务。
【资料来源】/Industry/7/4168343.html 目录(资深版)
研究背景
研究方法
本报告关于入侵检测系统行业的界定和分类
1.行业定义、基本概念
2.行业基本特点
3.行业分类入侵检测系统,中国知网。
第一章 入侵检测系统行业国内外发展概述
一、全球入侵检测系统行业发展概况
1.全球入侵检测系统行业发展现状
2.主要国家和地区发展状况入侵检测系统,中国知网。
3.全球入侵检测系统行业发展趋势
二、中国入侵检测系统行业发展概况
1.中国入侵检测系统行业发展历程与现状
2.中国入侵检测系统行业发展中存在的问题
第二章 近几年中国入侵检测系统行业发展环境分析
一、宏观经济环境
二、国际贸易环境
三、宏观政策环境
千讯咨询 -《中国入侵检测系统行业发展研究报告》 第 2页
四、入侵检测系统行业政策环境
五、入侵检测系统行业技术环境
第三章 入侵检测系统行业市场分析
一、市场规模
1.过去五年中国入侵检测系统行业市场规模及增速
2.入侵检测系统行业市场饱和度
3.影响入侵检测系统行业市场规模的因素
4.未来五年入侵检测系统行业市场规模及增速预测
二、市场结构
三、市场特点
1.入侵检测系统行业所处生命周期
2.技术变革与行业革新对入侵检测系统行业的影响
3.差异化分析
第四章 区域市场分析
一、区域市场分布状况
二、重点区域市场需求分析(需求规模、需求特征等)
三、区域市场需求变化趋势
第五章 入侵检测系统行业生产分析
一、产能产量分析
1.过去五年入侵检测系统行业生产总量及增速
2.过去五年入侵检测系统行业产能及增速
3.影响入侵检测系统行业产能产量的因素
4.未来五年入侵检测系统行业生产总量及增速预测
二、区域生产分析
1.入侵检测系统企业区域分布情况
2.重点省市入侵检测系统行业生产状况
三、行业供需平衡分析
1.行业供需平衡现状
2.影响入侵检测系统行业供需平衡的因素
3.入侵检测系统行业供需平衡趋势预测
第六章 细分行业分析
千讯咨询 -《中国入侵检测系统行业发展研究报告》 第 3页
一、主要入侵检测系统细分行业
二、各细分行业需求与供给分析
三、细分行业发展趋势
第七章 入侵检测系统行业竞争分析
一、重点入侵检测系统企业市场份额
二、入侵检测系统行业市场集中度
三、行业竞争群组
四、潜在进入者
五、替代品威胁
六、供应商议价能力
七、下游用户议价能力
第八章 入侵检测系统行业产品价格分析
一、入侵检测系统产品价格特征
二、国内入侵检测系统产品当前市场价格评述
三、影响国内市场入侵检测系统产品价格的因素
四、主流厂商入侵检测系统产品价位及价格策略
五、入侵检测系统产品未来价格变化趋势
第九章 下游用户分析
一、用户结构(用户分类及占比)
二、用户需求特征及需求趋势
三、用户的其它特性
第十章 替代品分析
一、替代品种类
二、替代品对入侵检测系统行业的影响
三、替代品发展趋势
第十一章 互补品分析
一、互补品种类
二、互补品对入侵检测系统行业的影响
三、互补品发展趋势
第十二章 入侵检测系统行业主导驱动因素分析 千讯咨询 -《中国入侵检测系统行业发展研究报告》 第 4页
入侵检测系统和入侵防御技术
篇四:入侵检测系统,中国知网
入侵检测系统和入侵防御技术
黄鑫 1341901201
(江苏科技大学 计算机科学与工程学院,江苏镇江)
摘要 入侵检测与防御技术作为新一代的网络信息安全保障技术,它主动地对网络信息系统中的恶意入侵行为进行识别和响应,不仅检测和防御来自外部网络的入侵行为,同时也监视和防止内部用户的未授权活动和误操作行为。本文从入侵检测/入侵防范的概念入手,对两者的技术特点,原理进行了详细的分析,进而讨论了入侵检测和入侵防范之间的关系。
关键字:入侵检测系统、入侵防范系统、安全
Abstract The technique of intrusion detection and intrusion prevention has become the new generation information security technique. It actively identifies the malicious usage behavior of information system and actively responses to it. The IDS(Intrusion Detection System) and IPS(Intrusion Prevention System) not only detect and prevent the exterior network s intrusion behavior, but also keep watching and preventing Internal users of unauthorized activities and misuse behavior.Starting from the concept of Intrusion Detection and Intrusion Protection, this article presents a detailed analysis of their technological characteristics and principles, and then discusses their relationships.
Key Words Intrusion Detection System Intrusion Prevention System Security
1.引言
网络信息系统的安全问题是一个十分复杂的问题,涉及到技术、管理、使用等许多方面。传统的网络安全防范工具是防火墙,它是一种用来加强网络之间访问控制的特殊网络互联设备,通过对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查,来决定网络之间的通信是否被允许。在这个需求背景下,入侵检测技术乃至入侵防范便应运而生,可以弥补防火墙的不足,为网络提供实时的监控,并结合其他的网络安全产品,在网络系统受到威胁之前对入侵行为做出实时反应。本文就目前各种网络入侵检测和防御技术进行综合性描
述,指出它们各自的优点及缺点,并探讨和研究了网络入侵检测防御技术未来的发展趋势。
2.IDS/IPS技术介绍
入侵检测系统(IDS)
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。
入侵防御系统(IPS)
IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS的技术,已经无法应对一些安全威胁。在这种情况下,IPS技术应运而生,IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
3.IPS与IDS的区别与选择
IPS是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。
IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。
从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端
之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。
4.IDS/IPS产品调研
绝大多数的入侵检测产品都以纯软件的形式出售,但为了达到性能最佳,往往需要对安装的系统进行优化调整。这样把产品做成黑盒子的形式出售就可以达到目的,如Cisco公司的Secure IDS和金诺网安的KIDS等。同时随着入侵检测产品在规模庞大企业中的应用越来越广泛,分布式技术也开始融入到入侵检测产品中来,目前绝大多数的入侵检测产品尤其是企业级的产品都具有分布式结构
[5]。
基于网络的入侵检测产品放置在比较重要的网段内,对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括:国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler,以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网威“天眼”网络入侵侦测系统等。
基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。
混合式入侵检测系统综合了基于网络和主机的两种结构特点,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。
文件完整性检查工具通过检查文件的数字摘要与其他一些属性,判断文件是否被修改,从而检测出可能的入侵。这个领域的产品有半开放源代码的Tripwire等。
5.IDS/IPS存在的问题及发展趋势
IDS/IPS存在的问题
IDS/IPS不但可以发现外部攻击也可以发现内部的攻击,成为了防火墙的必要补充。但是由于这项技术诞生的时间还不是很长,并且防范和攻击之间总是存在着一种此消彼长的博弈关系,所以入侵检测/防范产品中还是存在有不少问题。
(1) 漏报和误报
这一问题可以说几乎对于所有的安全软件都是存在的。造成漏报的原因有很多。首先入侵检测产品的一个重要的指标就是包截获能力,当网络数据流量超过入侵检测产品本身的包获取能力时,就会有部分数据包无法被分析,这样就有可能导致漏报。误报也是一个值得关注的问题。造成误报的主要原因有,当大量发
送包含有攻击特征数据到指定的网络环境时,就可能造成整个IDS/IPS系统被这些报警信息所淹没从而崩溃。
(2) 隐私和安全之间的矛盾
IDS/IPS可以接收到网络中所有的数据,并对此进行分析和记录,这一过程对于安全来说是非常重要的,但对于用户来说可能也会涉及到隐私被侵犯的问题。如何来权衡隐私和安全也是IDS/IPS所要面对的一大问题。
(3) 告警信息处理
首先因为安全设备的规范标准并不是很多,这样各个设备制造商都会定义自己告警信息格式,而格式上的不同就对告警的统一分析处理造成了一定的障碍。其次,入侵检测,防火墙等安全设备都会产生大量安全事件数据,单凭管理员手工对这些数据进行分析是完全难以想象的。再次,由于技术上的原因很多现有的网络安全工具在对网络真实攻击,漏洞以及安全事件进行报警的同时还会产生大量的虚警。
IDS/IPS发展趋势
2003年Gartner公司说入侵检测系统不值得购买。此外还预测,到2005年入侵检测系统会变得过时。Gartner表示,入侵检测系统没有像厂商承诺的那样增加一个附加的安全层,许多情况证明入侵检测系统是既昂贵又无效的投资。作为替代产品,企业应该把钱花在提供网络级和应用级防火墙功能的软件上。还认为,入侵检测系统是一次市场失败,厂商现在大力宣传的入侵防御系统也停滞不前。入侵检测系统的功能正向防火墙转移,防火墙将能对内容和恶意流量阻塞执行深入的包检查,还能进行反病毒活动。但个人认为入侵检测/防范技术并没有过时,