入侵检测系统和入侵防御技术.doc

《入侵检测系统和入侵防御技术.doc》由会员分享，可在线阅读，更多相关《入侵检测系统和入侵防御技术.doc（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date入侵检测系统和入侵防御技术入侵检测系统和入侵防御技术入侵检测系统和入侵防御技术黄鑫 1341901201(江苏科技大学 计算机科学与工程学院，江苏镇江）摘要 入侵检测与防御技术作为新一代的网络信息安全保障技术，它主动地对网络信息系统中的恶意入侵行为进行识别和响应，不仅检测和防御来自外部网络的入侵行为，同时也监视和防止内部用户的未授权活动和误操作行为。本文从入侵检测/入

2、侵防范的概念入手，对两者的技术特点，原理进行了详细的分析，进而讨论了入侵检测和入侵防范之间的关系。关键字：入侵检测系统、入侵防范系统、安全Abstract The technique of intrusion detection and intrusion prevention has become the new generation information security technique. It actively identifies the malicious usage behavior of information system and actively responses t

3、o it. The IDS(Intrusion Detection System) and IPS(Intrusion Prevention System) not only detect and prevent the exterior network s intrusion behavior, but also keep watching and preventing Internal users of unauthorized activities and misuse behavior.Starting from the concept of Intrusion Detection a

4、nd Intrusion Protection, this article presents a detailed analysis of their technological characteristics and principles, and then discusses their relationships. Key Words Intrusion Detection System Intrusion Prevention System Security1.引言网络信息系统的安全问题是一个十分复杂的问题，涉及到技术、管理、使用等许多方面。传统的网络安全防范工具是防火墙，它是一种用来

5、加强网络之间访问控制的特殊网络互联设备，通过对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许。在这个需求背景下，入侵检测技术乃至入侵防范便应运而生，可以弥补防火墙的不足，为网络提供实时的监控，并结合其他的网络安全产品，在网络系统受到威胁之前对入侵行为做出实时反应。本文就目前各种网络入侵检测和防御技术进行综合性描述，指出它们各自的优点及缺点，并探讨和研究了网络入侵检测防御技术未来的发展趋势。2.IDS/IPS技术介绍入侵检测系统(IDS)IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专

6、业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。入侵防御系统(IPS)IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃

7、以阻断攻击，对滥用报文进行限流以保护网络带宽资源。3.IPS与IDS的区别与选择IPS是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。IPS检测攻击的方法也与IDS不同。一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。从产品价值角度讲：入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略

8、不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击

9、行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。入侵检测系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统的核心价值在于安全策略的实施对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。4.IDS/IPS产品调研绝大多数的入侵检测产品都以纯软件的形式出售，但为了达到性能最佳，往往需要对安装的系统进行优化调整。这样把产品做成黑盒子的形式出售就可以达到目

10、的，如Cisco公司的Secure IDS和金诺网安的KIDS等。同时随着入侵检测产品在规模庞大企业中的应用越来越广泛，分布式技术也开始融入到入侵检测产品中来，目前绝大多数的入侵检测产品尤其是企业级的产品都具有分布式结构5。基于网络的入侵检测产品放置在比较重要的网段内，对每一个数据包或可疑的数据包进行特征分析。商品化的产品包括：国外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler，以及国内的金诺网安KIDS、北方计算中心NISDetector、启明星辰天阗黑客入侵检测与预警系统和中科网

11、威“天眼”网络入侵侦测系统等。 基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。基于主机的入侵检测系统有:ISS RealSecure OS Sensor、Emerald expert-BSM、金诺网安KIDS等。 混合式入侵检测系统综合了基于网络和主机的两种结构特点，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。商品化产品有:ISS Server Sensor、NAI CyberCop Monitor、金诺网安KIDS等。 文件完整性检查工具通过检查文件的数字摘要与其他一些属性，判断文件是否被修改，从而检测出可能的入侵。这个领域的产品有半开放源代码

12、的Tripwire等。5.IDS/IPS存在的问题及发展趋势IDS/IPS存在的问题IDS/IPS不但可以发现外部攻击也可以发现内部的攻击，成为了防火墙的必要补充。但是由于这项技术诞生的时间还不是很长，并且防范和攻击之间总是存在着一种此消彼长的博弈关系，所以入侵检测/防范产品中还是存在有不少问题。(1) 漏报和误报这一问题可以说几乎对于所有的安全软件都是存在的。造成漏报的原因有很多。首先入侵检测产品的一个重要的指标就是包截获能力，当网络数据流量超过入侵检测产品本身的包获取能力时，就会有部分数据包无法被分析，这样就有可能导致漏报。误报也是一个值得关注的问题。造成误报的主要原因有，当大量发送包含有

13、攻击特征数据到指定的网络环境时，就可能造成整个IDS/IPS系统被这些报警信息所淹没从而崩溃。(2) 隐私和安全之间的矛盾IDS/IPS可以接收到网络中所有的数据，并对此进行分析和记录，这一过程对于安全来说是非常重要的，但对于用户来说可能也会涉及到隐私被侵犯的问题。如何来权衡隐私和安全也是IDS/IPS所要面对的一大问题。(3) 告警信息处理首先因为安全设备的规范标准并不是很多，这样各个设备制造商都会定义自己告警信息格式，而格式上的不同就对告警的统一分析处理造成了一定的障碍。其次，入侵检测，防火墙等安全设备都会产生大量安全事件数据，单凭管理员手工对这些数据进行分析是完全难以想象的。再次，由于技

14、术上的原因很多现有的网络安全工具在对网络真实攻击，漏洞以及安全事件进行报警的同时还会产生大量的虚警。IDS/IPS发展趋势2003年Gartner公司说入侵检测系统不值得购买。此外还预测，到2005年入侵检测系统会变得过时。Gartner表示，入侵检测系统没有像厂商承诺的那样增加一个附加的安全层，许多情况证明入侵检测系统是既昂贵又无效的投资。作为替代产品，企业应该把钱花在提供网络级和应用级防火墙功能的软件上。还认为，入侵检测系统是一次市场失败，厂商现在大力宣传的入侵防御系统也停滞不前。入侵检测系统的功能正向防火墙转移，防火墙将能对内容和恶意流量阻塞执行深入的包检查，还能进行反病毒活动。但个人认

15、为入侵检测/防范技术并没有过时，因为要维护一个系统/网络的安全性需要首先按照系统的安全要求对系统进行安全配置，然后监视网络活动，发现入侵行为，此外还需要进行事后分析审计，然后重新返回到第一步重新进行安全配置，这是一个循环往复的过程。那么在这个过程中需要一个起到监视作用的预警系统，用来监视网络中的通信并进行实时的相应、告警。所以IDS/IPS对于维护系统/网络安全性是必不可少的，也是对防火墙的一种补充。防火墙虽然也可以在一定程度上提供审计的功能，但利用IDS进行监听网络流量不会影响到网络的性能，并且由于其本身的性质决定其功能也能够更强大一些。防火墙可以提供一些简单的入侵检测的功能，同样IPS也可

16、以提供一些简单的入侵阻断的功能，这也正是一种使不同安全产品联动起来，一起来为系统提供安全性保障的现象。IDS/IPS的发展趋势主要表现在以下几个方面：(1) 分析技术的改进IDS/IPS误报和漏报的解决最终还是要依靠分析技术的提高和改进。目前分析方法主要有统计分析、模式匹配、数据重组、协议分析以及行为分析等。(2) 结合数据挖掘技术 结合数据挖掘技术分析处理安全事件告警，能从海量告警数据中获取真正有意义的信息，从而使得IDS/IPS能够提供一种动态的策略。(3) 内容恢复和审计功能内容恢复功能在IDS/IPS应用和市场竞争中将具有很重要的作用。内容恢复即在协议分析的基础上，对系统或网络中发生的行为加以完整的重组和记录，这样系统或网络中发生的任何行为都逃不过它的监视。(4) 与其他安全产品联合与其他的安全产品联合构成严密的防御系统也是IDS/IPS技术发展的一个重要标志。(5) 产品标准化如果各大安全产品之间可以制定一套标准，那么也为安全产品之间的联合提供了方便。-