IDSIPS設(shè)備購買指南

IDS/IPS設(shè)備購置指南本文關(guān)鍵詞：IDSIPS攻擊防范IDS技術(shù)依據(jù)采集數(shù)據(jù)源的不同，IDS可分為主機(jī)型IDS〔Host-basedIDS，HIDS〕和網(wǎng)絡(luò)型IDS〔Network-basedIDS，NIDS〕。HIDSNIDS都能覺察對方無法檢測到的一些入侵行為，可互為補(bǔ)充。完善的IDS產(chǎn)品應(yīng)當(dāng)將兩者結(jié)合起來。目前主流IDS產(chǎn)品都承受HIDSNIDS有機(jī)結(jié)合的混合型IDS架構(gòu)。傳統(tǒng)的入侵檢測技術(shù)有：1、模式匹配模式匹配就是將收集到的信息與的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)展比較不能檢測未知攻擊手段。2、特別檢測特別檢測首先給系統(tǒng)對象〔用戶、文件、名目和設(shè)備等〕創(chuàng)立一個(gè)統(tǒng)計(jì)描述，包括統(tǒng)計(jì)IDS就會(huì)推斷有入侵發(fā)生。特別檢測的優(yōu)點(diǎn)是可以檢測到未知入侵和簡潔的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高。3、完整性分析完整性分析關(guān)注文件或?qū)ο笫欠癖淮鄹?，主要依?jù)文件和名目的內(nèi)容及屬性進(jìn)展推斷，這種檢測方法在覺察被更改和被植入特洛伊木馬的應(yīng)用程序方面特別有效一般是以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。入侵檢測面臨的問題1、誤報(bào)和漏報(bào)IDS系統(tǒng)常常發(fā)出很多假警報(bào)。誤警和漏警產(chǎn)生的緣由主要有以下幾點(diǎn)：當(dāng)前IDS使用的主要檢測技術(shù)照舊是模式匹配，模式庫的組織簡潔、不準(zhǔn)時(shí)、不完整，而且缺乏對未知攻擊的檢測力氣；隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大以及異構(gòu)平臺(tái)和不同技術(shù)的承受，尤其是網(wǎng)絡(luò)帶寬的快速增長，IDS的分析處理速度越來越難跟上網(wǎng)絡(luò)流量，從而造成數(shù)據(jù)包喪失；網(wǎng)絡(luò)攻擊方法越來越多，攻擊技術(shù)及其技巧性日趨簡潔，也加重了IDS的誤報(bào)、漏報(bào)現(xiàn)象。2、拒絕效勞攻擊IDS是失效開放〔FailOpen〕的機(jī)制，當(dāng)IDS患病拒絕效勞攻擊時(shí)，這種失效開放的特性使得黑客可以實(shí)施攻擊而不被覺察。3、插入和躲避插入攻擊和躲避攻擊是兩種躲避IDS檢測的攻擊形式。其中插入攻擊可通過定制一些錯(cuò)誤的數(shù)據(jù)包到數(shù)據(jù)流中，使IDS誤以為是攻擊。躲避攻擊則相反，可使攻擊躲過IDS的檢測到達(dá)目的主機(jī)。插入攻擊的意圖是使IDS頻繁告警〔誤警〕，但實(shí)際上并沒有攻擊，起到迷惑治理員的作用。躲避攻擊的意圖則是真剛要逃脫IDS的檢測，對目標(biāo)主機(jī)發(fā)起攻擊。黑客常常轉(zhuǎn)變攻擊特征來哄騙基于模式匹配的IDS。IDS進(jìn)展趨勢在安全漏洞被覺察與被攻擊之間的時(shí)間差不斷縮小的狀況下IDS已經(jīng)力不從心。IDS消滅了銷售停滯，但I(xiàn)DS不會(huì)馬上消逝，而是將IDS將成為安全信息治理〔SIM〕框架的組成局部。在SIM框架中，IDS的作用可以通過檢測和報(bào)告技術(shù)得到加強(qiáng)。分析人士指出，IDS的作用正轉(zhuǎn)變?yōu)檎{(diào)查取證和安全分析。大約5年后，全都性安全治理以及內(nèi)核級的安全技術(shù)將共同完畢基于特征檢測的IDS技術(shù)的使命。美國網(wǎng)絡(luò)世界試驗(yàn)室聯(lián)盟成員JoelSnyder認(rèn)為，將來將是混合技術(shù)的天下，在網(wǎng)絡(luò)邊緣一些廠商通過將IDS報(bào)警與安全漏洞信息進(jìn)展關(guān)聯(lián)分析，著手解決IDS的缺陷。SIM廠商在實(shí)現(xiàn)安全信息分析的方式上開頭實(shí)行更加模塊化的方法網(wǎng)絡(luò)評估、蜜罐模塊與IDS模塊搭配在一起，以更好地確定和響應(yīng)安全大事。IPS主動(dòng)防護(hù)盡管IDS是一種受到企業(yè)歡送的解決方案，它還是缺乏以阻斷當(dāng)今互聯(lián)網(wǎng)中不斷進(jìn)展流量中的攻擊進(jìn)展檢測。而入侵防護(hù)系統(tǒng)〔IntrutionProtectionSystem，IPS〕則傾向于供給主動(dòng)性的防護(hù)，其在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能及全部來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在IPS設(shè)備中被去除掉。簡潔地理解，IPSIPS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問把握產(chǎn)品，它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)精彩，而且在大多數(shù)狀況下，可以供給網(wǎng)絡(luò)地址轉(zhuǎn)換、效勞代理、流量統(tǒng)計(jì)等功能。和防火墻比較起來，IPS的功能比較單一，它只能串聯(lián)在網(wǎng)絡(luò)上，對防火墻所不能過濾等等都有很重要的作用。IPS目前主要包含以下幾種類型：1、基于主機(jī)的入侵防護(hù)〔HIPS〕，它能夠保護(hù)效勞器的安全弱點(diǎn)不被不法分子所利用；2、基于網(wǎng)絡(luò)的入侵防護(hù)〔NIPS〕，它可通過檢測流經(jīng)的網(wǎng)絡(luò)流量，供給對網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)，一旦辨識(shí)出入侵行為，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話；3、應(yīng)用入侵防護(hù)，它把基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用效勞器之前的網(wǎng)絡(luò)設(shè)備。IPS面臨的挑戰(zhàn)IPS技術(shù)需要面對很多挑戰(zhàn)，其中主要有三點(diǎn)。1、單點(diǎn)故障。設(shè)計(jì)要求IPS必需以嵌入模式工作在網(wǎng)絡(luò)中，而這就可能造成瓶頸問題或單點(diǎn)故障。假設(shè)IDS消滅故障，最壞的狀況也就是造成某些攻擊無法被檢測到，而嵌入式的IPS設(shè)備消滅問題，就會(huì)嚴(yán)峻影響網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。假設(shè)IPS消滅故障而關(guān)閉，用戶就會(huì)面對一個(gè)由IPS造成的拒絕效勞問題，全部客戶都將無法訪問企業(yè)網(wǎng)絡(luò)供給的應(yīng)用。2即使IPS設(shè)備不消滅故障，它照舊是一個(gè)潛在的網(wǎng)絡(luò)瓶頸，不僅會(huì)增加滯后時(shí)間，而且會(huì)降低網(wǎng)絡(luò)的效率，IPS必需與數(shù)千兆或者更大容量的網(wǎng)絡(luò)流量保持同步，尤其是當(dāng)加載了數(shù)量浩大的檢測特征庫時(shí)，設(shè)計(jì)不夠完善的IPS嵌入設(shè)備無法支持這種響IPS〔FPGAASIC芯片〕來提高IPS的運(yùn)行效率。3、誤報(bào)和漏報(bào)。誤報(bào)率和漏報(bào)率也需要IPS認(rèn)真面對。在繁忙的網(wǎng)絡(luò)當(dāng)中，假設(shè)以每秒需要處理十條警報(bào)信息來計(jì)算IPS每小時(shí)至少需要處理36000864000條。一旦生成了警報(bào)，最根本的要求就是IPS能夠?qū)瘓?bào)進(jìn)展有效處理。假設(shè)入侵特征編寫得不是格外完善，那么“誤報(bào)”就有了可乘之機(jī)，導(dǎo)致合法流量也有可能被意外攔截。對于實(shí)時(shí)在線的IPS來說