<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁 > 手機與無線通信 > 設計應用 > 網絡安全之入侵檢測技術

          網絡安全之入侵檢測技術

          作者: 時間:2012-08-08 來源:網絡 收藏

          標簽:IDS FPGA

          本文引用地址:http://www.ex-cimer.com/article/154189.htm

          作為中的一項重要技術已有近30年的發(fā)展歷史,隨著中國移動網絡的開放與發(fā)展,檢測系統(tǒng)(IDS)也逐漸成為保衛(wèi)中國移動不可或缺的安全設備之一。在發(fā)展過程中,逐步形成了2類方法、5種硬件架構,不同的方法與架構都存在其優(yōu)勢與不足。本文基于入侵檢測的應用場景,對現有的主流技術原理、硬件體系架構進行剖析;詳細分析IDS產品的測評方法與技術,并介紹了一個科學合理、方便操作的IDS測評方案。最后,從應用需求出發(fā)分析入侵的未來發(fā)展趨勢。

          1、背景

          目前,互聯(lián)網安全面臨嚴峻的形勢。因特網上頻繁發(fā)生的大規(guī)模網絡入侵和計算機病毒泛濫等事件使很多政府部門、商業(yè)和教育機構等都受到了不同程度的侵害,甚至造成了極大的經濟損失。

          隨著互聯(lián)網技術的不斷發(fā)展,問題日益突出。網絡入侵行為經常發(fā)生,網絡攻擊的方式也呈現出多樣性和隱蔽性的特征。當前網絡和信息安全面臨的形勢嚴峻,網絡安全的主要威脅如圖1所示。

          圖1 目前網絡安全的主要威脅

          說到網絡安全防護,最常用的設備是防火墻。防火墻是通過預先定義規(guī)則并依據規(guī)則對訪問進行過濾的一種設備;防火墻能利用封包的多樣屬性來進行過濾,例如:來源IP 地址、來源端口號、目的IP 地址或端口號、服務類型(如WWW 或是 FTP)。對于目前復雜的網絡安全來說,單純的防火墻技術已不能完全阻止網絡攻擊,如:無法解決木馬后門問題、不能阻止網絡內部人員攻擊等。據調查發(fā)現,80%的網絡攻擊來自于網絡內部,而防火墻不能提供實時入侵檢測能力,對于病毒等束手無策。因此,很多組織致力于提出更多更強大的主動策略和方案來增強網絡的安全性,其中一個有效的解決途徑就是入侵檢測系統(tǒng)IDS(Intrusion Detection Systems)。

          2、入侵檢測技術發(fā)展歷史

          IDS即入侵檢測系統(tǒng),其英文全稱為:Intrusion Detection System。入侵檢測系統(tǒng)是依照一定的安全策略,通過軟件和硬件對網絡、系統(tǒng)的運行狀況進行監(jiān)視,盡可能發(fā)現各種攻擊企圖、攻擊行為或攻擊結果,以保證網絡系統(tǒng)資源的機密性、完整性和可用性。IDS通用模型如圖2所示。

          圖2 IDS 通用模型

          IDS誕生于1980年,到目前為止已經有30余年的歷史,在這30余年中,IDS的發(fā)展經過了4個階段。

          第一階段:概念誕生。IDS這個概念誕生于1980年4月,James P.Andrson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》(計算機安全威脅監(jiān)控與監(jiān)視)的技術報告,第一次詳細闡述了入侵檢測概念。他提出了一種對計算機系統(tǒng)風險和威脅的分類方法,并將威脅分為外部滲透、內部滲透和不法行為三種,還提出了利用審計跟蹤數據監(jiān)視入侵活動的思想。這份報告被公認為是入侵檢測的開山之作。

          第二階段:模型發(fā)展。從1984年到1986年,喬治敦大學的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模型,取名為IDES(入侵檢測專家系統(tǒng))。該模型由六個部分組成:主題、對象、審計記錄、輪廓特征、異常記錄、活動規(guī)則,如圖3所示。它獨立于特定的系統(tǒng)平臺、應用環(huán)境、系統(tǒng)弱點以及入侵類型,為構建入侵檢測系統(tǒng)提供了一個通用的框架。1988年,SRI/CSL的Teresa Lunt等人改進了Denning的入侵檢測模型,并開發(fā)出了IDES。該系統(tǒng)包括一個異常檢測器和一個專家系統(tǒng),分別用于統(tǒng)計異常模型的建立和基于規(guī)則的特征分析檢測。

          圖3 IDES結構框架

          第三階段:百家爭鳴。1990年是入侵檢測系統(tǒng)發(fā)展史上一個分水嶺。加州大學戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM(Network Security Monitor)。該系統(tǒng)第一次直接將網絡流作為審計數據來源,因而可以在不將審計數據轉換成統(tǒng)一格式的情況下監(jiān)控異常主機,從此以后,入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁,兩大陣營正式形成:基于網絡的IDS和基于主機的IDS。

          第四階段:繼續(xù)演進。IDS在90年代形成的IDS兩大陣營的基礎上,有了長足的發(fā)展,形成了更多技術及分類。除了根據檢測數據的不同分為主機型和網絡型入侵檢測系統(tǒng)外,根據采用的檢測技術,入侵檢測系統(tǒng)可以分為基于異常的入侵檢測(Anomaly Detection,AD)和基于誤用(特征)的入侵檢測(Misuse Detection,MD)。早期的IDS僅僅是一個監(jiān)聽系統(tǒng)或者提供有限的數據分析功能,而新一代IDS更是增加了應用層數據分析的能力;同時,其配合防火墻進行聯(lián)動,形成功能互補,可更有效的阻斷攻擊事件?,F有的入侵檢測技術的分類及相關關系如圖4所示。

          圖4 入侵檢測系統(tǒng)分類

          3、入侵檢測應用場景

          與防火墻不同,IDS是一個監(jiān)聽設備,無需網絡流量流經它,便可正常工作,即IDS采用旁路部署方式接入網絡。與防火墻相比IDS有如下優(yōu)勢:

          (1) IDS是旁路設備,不影響原有鏈路的速度;

          (2) 由于具有龐大和詳盡的入侵知識庫,可以提供非常準確的判斷識別,漏報和誤報率遠遠低于防火墻;

          (3) 對日志記錄非常詳細,包括:訪問的資源、報文內容等;

          (4) 無論IDS工作與否,都不會影響網絡的連通性和穩(wěn)定性;

          (5) 能夠檢測未成功的攻擊行為;

          (6) 可對內網進行入侵檢測等。

          同時,與防火墻相比,其也具有如下的劣勢:

          (1) 檢測效率低,不能適應高速網絡檢測;


          上一頁 1 2 3 4 下一頁

          評論


          相關推薦

          技術專區(qū)

          關閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();