網(wǎng)絡(luò)安全技術(shù)發(fā)展到今天,除了防火墻和殺毒系統(tǒng)的防護(hù)����,入侵檢測(cè)技術(shù)也成為抵御黑客攻擊的有效方式�����。盡管入侵檢測(cè)技術(shù)還在不斷完善發(fā)展之中�,但是入侵檢測(cè)產(chǎn)品的市場(chǎng)已經(jīng)越來越大,真正掀起了網(wǎng)絡(luò)安全的第三股熱潮���。
入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?��,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)����。
入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門。IDS主要用來監(jiān)視和分析用戶及系統(tǒng)的活動(dòng)���,可以識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警����。對(duì)異常行為模式,IDS要以報(bào)表的形式進(jìn)行統(tǒng)計(jì)分析�����。產(chǎn)品提供的功能還要評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性�����。
一個(gè)成功的入侵檢測(cè)系統(tǒng)�,不僅可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)�,還能給網(wǎng)絡(luò)安全策略的制訂提供依據(jù)。它應(yīng)該管理配置簡(jiǎn)單�,使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模�����、系統(tǒng)構(gòu)造和安全需求的改變而改變���。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后����,會(huì)及時(shí)作出響應(yīng),包括切斷網(wǎng)絡(luò)連接�����、記錄事件和報(bào)警等����。IDS分類入侵檢測(cè)通過對(duì)入侵行為的過程與特征進(jìn)行研究,使安全系統(tǒng)對(duì)入侵事件和入侵過程作出實(shí)時(shí)響應(yīng)��。
IDS產(chǎn)品分類
目前市場(chǎng)上的IDS產(chǎn)品從技術(shù)上看����,基本可分為兩大類:基于網(wǎng)絡(luò)的產(chǎn)品和基于主機(jī)的產(chǎn)品?�;旌系娜肭謾z測(cè)系統(tǒng)可以彌補(bǔ)一些基于網(wǎng)絡(luò)與基于主機(jī)的片面性缺陷����。此外,文件的完整性檢查工具也可看做是一類入侵檢測(cè)產(chǎn)品���。
基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品放置在比較重要的網(wǎng)段內(nèi)��,對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析�����。商品化的產(chǎn)品包括:國(guó)外的ISS RealSecure Network Sensor��、Cisco Secure IDS�����、CA e-Trust IDS�、Axent的NetProwler�,以及國(guó)內(nèi)的金諾網(wǎng)安KIDS、北方計(jì)算中心NISDetector����、啟明星辰天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)和中科網(wǎng)威“天眼”網(wǎng)絡(luò)入侵偵測(cè)系統(tǒng)等。
基于主機(jī)的入侵檢測(cè)產(chǎn)品主要對(duì)主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷���?����;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)有:ISS RealSecure OS Sensor�����、Emerald expert-BSM���、金諾網(wǎng)安KIDS等����。
混合式入侵檢測(cè)系統(tǒng)綜合了基于網(wǎng)絡(luò)和主機(jī)的兩種結(jié)構(gòu)特點(diǎn)����,既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息,也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況���。商品化產(chǎn)品有:ISS Server Sensor�、NAI CyberCop Monitor����、金諾網(wǎng)安KIDS等。
文件完整性檢查工具通過檢查文件的數(shù)字摘要與其他一些屬性�����,判斷文件是否被修改�,從而檢測(cè)出可能的入侵。這個(gè)領(lǐng)域的產(chǎn)品有半開放源代碼的Tripwire�。
IDS產(chǎn)品形式
絕大多數(shù)的入侵檢測(cè)產(chǎn)品都以純軟件的形式出售����,但為了達(dá)到性能最佳����,往往需要對(duì)安裝的系統(tǒng)進(jìn)行優(yōu)化調(diào)整。這樣��,把產(chǎn)品做成“黑盒子”的形式可以達(dá)到目的�����,如Cisco公司的Secure IDS和金諾網(wǎng)安KIDS�。
隨著入侵檢測(cè)產(chǎn)品日益在規(guī)模龐大的企業(yè)中應(yīng)用�,分布式技術(shù)也開始融入到入侵檢測(cè)產(chǎn)品中來。同時(shí)�,集中管理多個(gè)傳感器的中央控制臺(tái)也在不斷地完善。目前����,絕大多數(shù)的入侵檢測(cè)產(chǎn)品,尤其是企業(yè)級(jí)產(chǎn)品都具有分布式結(jié)構(gòu)����。
產(chǎn)品重要指標(biāo)
在入侵檢測(cè)產(chǎn)品中���,有幾個(gè)重要的性能指標(biāo)值得重視,比如網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)負(fù)載能力�����,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是非常消耗資源的���,但很少有廠商公布自己的pps (packet per second)參數(shù)����。
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可支持的網(wǎng)絡(luò)類型也是應(yīng)該考慮的��。目前����,國(guó)內(nèi)的入侵檢測(cè)廠商還只是支持以太網(wǎng)和快速以太網(wǎng)。
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)運(yùn)行在什么操作系統(tǒng)平臺(tái)上��,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的運(yùn)行平臺(tái)一般以Unix為主����,也有少數(shù)使用專有設(shè)備或基于Windows平臺(tái)的入侵檢測(cè)系統(tǒng)。
