当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 入侵检测及网络安全发展技术探讨

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 入侵检测及网络安全发展技术探讨


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 37 ::
收藏到网摘: n/a

随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。

  一、入侵检测系统(IDS)诠释

  IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应。

  在本质上,入侵检测系统是一种典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动地、无声息地收集它所关心的报文即可。入侵检测/响应流程如图1所示。



图1:入侵检测/响应流程图

  目前,IDS分析及检测入侵阶段一般通过以下几种技术手段进行分析:特征库匹配、基于统计的分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。

  二、IDS存在的问题

  1.误/漏报率高

  IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。

  2.没有主动防御能力

  IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。

  3.缺乏准确定位和处理机制

  IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。

  4.性能普遍不足

  现在市场上的IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包,形成DoS攻击。