網絡安全技術發展到今天,除了防火墻和殺毒系統的防護,入侵檢測技術也成為抵御黑客攻擊的有效方式。盡管入侵檢測技術還在不斷完善發展之中,但是入侵檢測產品的市場已經越來越大,真正掀起了網絡安全的第三股熱潮。
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。
入侵檢測被認為是防火墻之后的第二道安全閘門。IDS主要用來監視和分析用戶及系統的活動,可以識別反映已知進攻的活動模式并向相關人士報警。對異常行為模式,IDS要以報表的形式進行統計分析。產品提供的功能還要評估重要系統和數據文件的完整性。
一個成功的入侵檢測系統,不僅可使系統管理員時刻了解網絡系統,還能給網絡安全策略的制訂提供依據。它應該管理配置簡單,使非專業人員非常容易地獲得網絡安全。入侵檢測的規模還應根據網絡規模、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網絡連接、記錄事件和報警等。IDS分類入侵檢測通過對入侵行為的過程與特征進行研究,使安全系統對入侵事件和入侵過程作出實時響應。
IDS產品分類
目前市場上的IDS產品從技術上看,基本可分為兩大類:基于網絡的產品和基于主機的產品。混合的入侵檢測系統可以彌補一些基于網絡與基于主機的片面性缺陷。此外,文件的完整性檢查工具也可看做是一類入侵檢測產品。
基于網絡的入侵檢測產品放置在比較重要的網段內,對每一個數據包或可疑的數據包進行特征分析。商品化的產品包括:國外的ISS RealSecure Network Sensor、Cisco Secure IDS、CA e-Trust IDS、Axent的NetProwler,以及國內的金諾網安KIDS、北方計算中心NISDetector、啟明星辰天闐黑客入侵檢測與預警系統和中科網威“天眼”網絡入侵偵測系統等。
基于主機的入侵檢測產品主要對主機的網絡實時連接以及系統審計日志進行智能分析和判斷。基于主機的入侵檢測系統有:ISS RealSecure OS Sensor、Emerald expert-BSM、金諾網安KIDS等。
混合式入侵檢測系統綜合了基于網絡和主機的兩種結構特點,既可發現網絡中的攻擊信息,也可從系統日志中發現異常情況。商品化產品有:ISS Server Sensor、NAI CyberCop Monitor、金諾網安KIDS等。
文件完整性檢查工具通過檢查文件的數字摘要與其他一些屬性,判斷文件是否被修改,從而檢測出可能的入侵。這個領域的產品有半開放源代碼的Tripwire。
IDS產品形式
絕大多數的入侵檢測產品都以純軟件的形式出售,但為了達到性能最佳,往往需要對安裝的系統進行優化調整。這樣,把產品做成“黑盒子”的形式可以達到目的,如Cisco公司的Secure IDS和金諾網安KIDS。
隨著入侵檢測產品日益在規模龐大的企業中應用,分布式技術也開始融入到入侵檢測產品中來。同時,集中管理多個傳感器的中央控制臺也在不斷地完善。目前,絕大多數的入侵檢測產品,尤其是企業級產品都具有分布式結構。
產品重要指標
在入侵檢測產品中,有幾個重要的性能指標值得重視,比如網絡入侵檢測系統負載能力,網絡入侵檢測系統是非常消耗資源的,但很少有廠商公布自己的pps (packet per second)參數。
網絡入侵檢測系統可支持的網絡類型也是應該考慮的。目前,國內的入侵檢測廠商還只是支持以太網和快速以太網。
網絡入侵檢測系統運行在什么操作系統平臺上,網絡入侵檢測系統的運行平臺一般以Unix為主,也有少數使用專有設備或基于Windows平臺的入侵檢測系統。
