網(wǎng)絡(luò)安全技術(shù)發(fā)展到今天,除了防火墻和殺毒系統(tǒng)的防護��,入侵檢測技術(shù)也成為抵御黑客攻擊的有效方式��。盡管入侵檢測技術(shù)還在不斷完善發(fā)展之中���,但是入侵檢測產(chǎn)品的市場已經(jīng)越來越大�����,真正掀起了網(wǎng)絡(luò)安全的第三股熱潮���。
入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?�,F(xiàn)象的技術(shù)����,是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)�。
入侵檢測被認為是防火墻之后的第二道安全閘門。IDS主要用來監(jiān)視和分析用戶及系統(tǒng)的活動�,可以識別反映已知進攻的活動模式并向相關(guān)人士報警。對異常行為模式���,IDS要以報表的形式進行統(tǒng)計分析�。產(chǎn)品提供的功能還要評估重要系統(tǒng)和數(shù)據(jù)文件的完整性�����。
一個成功的入侵檢測系統(tǒng)�����,不僅可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)�,還能給網(wǎng)絡(luò)安全策略的制訂提供依據(jù)。它應(yīng)該管理配置簡單��,使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模����、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后�����,會及時作出響應(yīng)����,包括切斷網(wǎng)絡(luò)連接�����、記錄事件和報警等����。IDS分類入侵檢測通過對入侵行為的過程與特征進行研究,使安全系統(tǒng)對入侵事件和入侵過程作出實時響應(yīng)���。
IDS產(chǎn)品分類
目前市場上的IDS產(chǎn)品從技術(shù)上看�,基本可分為兩大類:基于網(wǎng)絡(luò)的產(chǎn)品和基于主機的產(chǎn)品�����。混合的入侵檢測系統(tǒng)可以彌補一些基于網(wǎng)絡(luò)與基于主機的片面性缺陷���。此外�,文件的完整性檢查工具也可看做是一類入侵檢測產(chǎn)品�����。
基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品放置在比較重要的網(wǎng)段內(nèi)���,對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析�����。商品化的產(chǎn)品包括:國外的ISS RealSecure Network Sensor����、Cisco Secure IDS���、CA e-Trust IDS�����、Axent的NetProwler��,以及國內(nèi)的金諾網(wǎng)安KIDS�����、北方計算中心NISDetector����、啟明星辰天闐黑客入侵檢測與預(yù)警系統(tǒng)和中科網(wǎng)威“天眼”網(wǎng)絡(luò)入侵偵測系統(tǒng)等。
基于主機的入侵檢測產(chǎn)品主要對主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行智能分析和判斷�����?;谥鳈C的入侵檢測系統(tǒng)有:ISS RealSecure OS Sensor�����、Emerald expert-BSM���、金諾網(wǎng)安KIDS等�����。
混合式入侵檢測系統(tǒng)綜合了基于網(wǎng)絡(luò)和主機的兩種結(jié)構(gòu)特點�,既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息,也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況��。商品化產(chǎn)品有:ISS Server Sensor�、NAI CyberCop Monitor、金諾網(wǎng)安KIDS等�。
文件完整性檢查工具通過檢查文件的數(shù)字摘要與其他一些屬性,判斷文件是否被修改����,從而檢測出可能的入侵。這個領(lǐng)域的產(chǎn)品有半開放源代碼的Tripwire����。
IDS產(chǎn)品形式
絕大多數(shù)的入侵檢測產(chǎn)品都以純軟件的形式出售,但為了達到性能最佳��,往往需要對安裝的系統(tǒng)進行優(yōu)化調(diào)整�����。這樣����,把產(chǎn)品做成“黑盒子”的形式可以達到目的����,如Cisco公司的Secure IDS和金諾網(wǎng)安KIDS��。
隨著入侵檢測產(chǎn)品日益在規(guī)模龐大的企業(yè)中應(yīng)用�,分布式技術(shù)也開始融入到入侵檢測產(chǎn)品中來。同時�����,集中管理多個傳感器的中央控制臺也在不斷地完善��。目前����,絕大多數(shù)的入侵檢測產(chǎn)品,尤其是企業(yè)級產(chǎn)品都具有分布式結(jié)構(gòu)����。
產(chǎn)品重要指標
在入侵檢測產(chǎn)品中�����,有幾個重要的性能指標值得重視,比如網(wǎng)絡(luò)入侵檢測系統(tǒng)負載能力����,網(wǎng)絡(luò)入侵檢測系統(tǒng)是非常消耗資源的,但很少有廠商公布自己的pps (packet per second)參數(shù)�����。
網(wǎng)絡(luò)入侵檢測系統(tǒng)可支持的網(wǎng)絡(luò)類型也是應(yīng)該考慮的�。目前,國內(nèi)的入侵檢測廠商還只是支持以太網(wǎng)和快速以太網(wǎng)��。
網(wǎng)絡(luò)入侵檢測系統(tǒng)運行在什么操作系統(tǒng)平臺上�,網(wǎng)絡(luò)入侵檢測系統(tǒng)的運行平臺一般以Unix為主,也有少數(shù)使用專有設(shè)備或基于Windows平臺的入侵檢測系統(tǒng)��。
