網(wǎng)絡安全技術發(fā)展到今天,除了防火墻和殺毒系統(tǒng)的防護,入侵檢測技術也成為抵御黑客攻擊的有效方式。盡管入侵檢測技術還在不斷完善發(fā)展之中,但是入侵檢測產(chǎn)品的市場已經(jīng)越來越大,真正掀起了網(wǎng)絡安全的第三股熱潮。
入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術,是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。
入侵檢測被認為是防火墻之后的第二道安全閘門。IDS主要用來監(jiān)視和分析用戶及系統(tǒng)的活動,可以識別反映已知進攻的活動模式并向相關人士報警。對異常行為模式,IDS要以報表的形式進行統(tǒng)計分析。產(chǎn)品提供的功能還要評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。
一個成功的入侵檢測系統(tǒng),不僅可使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng),還能給網(wǎng)絡安全策略的制訂提供依據(jù)。它應該管理配置簡單,使非專業(yè)人員非常容易地獲得網(wǎng)絡安全。入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,會及時作出響應,包括切斷網(wǎng)絡連接、記錄事件和報警等。IDS分類入侵檢測通過對入侵行為的過程與特征進行研究,使安全系統(tǒng)對入侵事件和入侵過程作出實時響應。
IDS產(chǎn)品分類
目前市場上的IDS產(chǎn)品從技術上看,基本可分為兩大類:基于網(wǎng)絡的產(chǎn)品和基于主機的產(chǎn)品。混合的入侵檢測系統(tǒng)可以彌補一些基于網(wǎng)絡與基于主機的片面性缺陷。此外,文件的完整性檢查工具也可看做是一類入侵檢測產(chǎn)品。
基于網(wǎng)絡的入侵檢測產(chǎn)品放置在比較重要的網(wǎng)段內(nèi),對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。商品化的產(chǎn)品包括:國外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler,以及國內(nèi)的金諾網(wǎng)安KIDS、北方計算中心NISDetector、啟明星辰天闐黑客入侵檢測與預警系統(tǒng)和中科網(wǎng)威“天眼”網(wǎng)絡入侵偵測系統(tǒng)等。
基于主機的入侵檢測產(chǎn)品主要對主機的網(wǎng)絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷。基于主機的入侵檢測系統(tǒng)有:ISS RealSecure OS Sensor、Emerald expert-BSM、金諾網(wǎng)安KIDS等。
混合式入侵檢測系統(tǒng)綜合了基于網(wǎng)絡和主機的兩種結(jié)構(gòu)特點,既可發(fā)現(xiàn)網(wǎng)絡中的攻擊信息,也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。商品化產(chǎn)品有:ISS Server Sensor、NAI CyberCop Monitor、金諾網(wǎng)安KIDS等。
文件完整性檢查工具通過檢查文件的數(shù)字摘要與其他一些屬性,判斷文件是否被修改,從而檢測出可能的入侵。這個領域的產(chǎn)品有半開放源代碼的Tripwire。
IDS產(chǎn)品形式
絕大多數(shù)的入侵檢測產(chǎn)品都以純軟件的形式出售,但為了達到性能最佳,往往需要對安裝的系統(tǒng)進行優(yōu)化調(diào)整。這樣,把產(chǎn)品做成“黑盒子”的形式可以達到目的,如Cisco公司的Secure IDS和金諾網(wǎng)安KIDS。
隨著入侵檢測產(chǎn)品日益在規(guī)模龐大的企業(yè)中應用,分布式技術也開始融入到入侵檢測產(chǎn)品中來。同時,集中管理多個傳感器的中央控制臺也在不斷地完善。目前,絕大多數(shù)的入侵檢測產(chǎn)品,尤其是企業(yè)級產(chǎn)品都具有分布式結(jié)構(gòu)。
產(chǎn)品重要指標
在入侵檢測產(chǎn)品中,有幾個重要的性能指標值得重視,比如網(wǎng)絡入侵檢測系統(tǒng)負載能力,網(wǎng)絡入侵檢測系統(tǒng)是非常消耗資源的,但很少有廠商公布自己的pps (packet per second)參數(shù)。
網(wǎng)絡入侵檢測系統(tǒng)可支持的網(wǎng)絡類型也是應該考慮的。目前,國內(nèi)的入侵檢測廠商還只是支持以太網(wǎng)和快速以太網(wǎng)。
網(wǎng)絡入侵檢測系統(tǒng)運行在什么操作系統(tǒng)平臺上,網(wǎng)絡入侵檢測系統(tǒng)的運行平臺一般以Unix為主,也有少數(shù)使用專有設備或基于Windows平臺的入侵檢測系統(tǒng)。
