入侵检测系统(Intrusion Detect System),目前基本上分为以下两种:主机入侵检测系统(HIDS);网络入侵检测系统(NIDS) 。主机入侵检测系统分析对象为主机审计日志,所以需 要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少 。网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛 。
一、IDS存在的问题
1、误/漏报率高
IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等 。而这些检测方式都存在缺陷 。比如异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报 。而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受 。
2、没有主动防御能力
IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新 。
3、缺乏准确定位和处理机制
IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源 。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用 。因而其缺乏更有效的响应处理机制 。
4、性能普遍不足
现在市场上的IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包,形成DoS攻击 。
二、入侵检测技术的发展趋势
(1).分析技术的改进
入侵检测误报和漏报的解决最终依靠分析技术的改进 。目前入侵检测分析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等 。
统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的 。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测 。数据重组是对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包 。
协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明攻击 。例如:某个基于HTTP协议的攻击含有ABC特征,如果此数据分散在若干个数据包中,如:一个数据包含A,另外一个包含B,另外一个包含C,则单纯的模式匹配就无法检测,只有基于数据流重组才能完整检测 。而利用协议分析 。则只在符合的协议(HTTP)检测到此事件才会报警 。假设此特征出现在Mail里,因为不符合协议,就不会报警 。利用此技术,有效的降低了误报和漏报 。
【IDS 入侵检测存在的问题及发展趋势】行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的最高境界 。但目前由于算法处理和规则制定的难度很大,目前还不是非常成熟,但却是入侵检测技术发展的趋势 。目前最好综合使用多种检测技术,而不只是依靠传统的统计分析和模式匹配技术 。另外,规则库是否及时更新也和检测的准确程度相关 。
(2).内容恢复和网络审计功能的引入
前面已经提到,入侵检测的最高境界是行为分析 。但行为分析前还不是很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功能 。
内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组和记录,网络中发生的任何行为都逃不过它的监视 。网络审计即对网络中所有的连接事件进行记录 。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用 。
推荐阅读
- 吃不完的蛋糕怎么保存 剩蛋糕如何保存不干
- 小米6支持扩展存储卡吗?
- 清明草怎么放冰箱保存
- 荔枝的保存方法及保存时间
- 榴莲怎么保存才新鲜
- 如何评价IDS漏洞攻击检测覆盖面指标
- 小米6能装内存卡吗?小米6支不支持TF卡扩展?
- 设置安全库存的作用是什么
- IDS 入侵检测产品从里到外发生改变
- 浅析IDS与IPS:检测与防护的共生与发展