it167.com  设为主页
 收藏本站
 
  资讯:业界动态 | 软件动态 | 人物专栏 | 安全资讯 | 网络生活 | 电子商务 | 小游戏 | 视频 | 美女图片 | 音乐
  网络编程 | 网站运营 | 网页制作 | 图形图象 | 操作系统 | 媒体动画 | 软件教学 | 网络应用 | 邮件系统 | 网络安全 | 认证考试
asp | .net | php | jsp | Sql | java | Dreamweaver | FrontPages | Javascript | css | Coreldraw | photoshop | Flash | Coreldraw
当前位置: > 主页>网络安全>IDS/IPS >IDS值得投资吗
最新新闻
·机会与整合 边缘化互联
·TOM-Skype新增三大本地
·雅虎抢闸邮箱竞赛 网易
·新浪抢攻北京奥运
·洞悉网络口碑的掘金机会
·拆解网络病毒黑金交易
·木马下载器近期出现新变
·《互联网周刊》第17期文
·Web2.0是否催生自吹自擂
·三张宝宝裸照招来MSN封
热门新闻
·安全应用:应用IDS保卫
·快速了解关于IDS和IPS的
·IDS入侵检测系统的测试
·IPS如何实现深度检测和
·IDS的交换机局限问题的
·IDS没死:国内IDS产品发
·专家看点:IDS的缺陷 成
·企业面对深层攻击 IPS精
·启明星辰网络安全预警体
·基于Linux蜜网(Honeynet
推荐新闻
 
 

IDS值得投资吗 

作者:   来源:it167   点击:   日期:2007-01-27
入侵检测系统往往被认为是保护网络系统的“最后一道安全防线”。

今天的网络黑客已经学会将真正的攻击动作隐藏在大量虚假报警之中,这使得用户质疑——IDS值得投资吗

近年来,针对网络系统发起的攻击技术大有水涨船高之势,入侵检测系统的开发者正在面临一个两难选择:发现异常现象时,是报警,还是不报警?不报警,担心有漏网之鱼;报警,则有可能正中攻击者的圈套。

IDS值得投资吗

根据国外权威机构近来发布的入侵检测产品评测报告,目前主流的入侵检测系统大都存在三个问题:一、存在过多的报警信息,即使在没有直接针对入侵检测系统本身的恶意攻击时,入侵检测系统也会发出大量报警。二、入侵检测系统自身的抗强力攻击能力差。我们知道,入侵检测系统的智能分析能力越强,处理越复杂,抗强力攻击的能力就越差。目前入侵检测系统的设计趋势是,越来越多地追踪和分析网络数据流状态,使系统的智能分析能力得到提高,但由此引起的弊端是系统的健壮性被削弱,并且,对高带宽网络的适应能力有所下降。三是缺乏检测高水平攻击者的有效手段。现有的入侵检测系统一般都设置了阀值,只要攻击者将网络探测、攻击速度和频率控制在阀值之下,入侵检测系统就不会报警。鉴于以上三点,许多用户质疑:按照入侵检测系统目前的技术现状,它值得投资部署吗?

IDS需要技术创新

这种质疑不是没有道理。一个配置合理的防火墙加上完善的网络安全管理策略,完全可以对付低水平的攻击行为。人们费尽心机构建的“最后的防线”——入侵检测系统,必须能够有效防范“高手”攻击。但是,如果没有一个全新的设计思路,目前的入侵检测系统是不能完全胜任此项重任的。究其原因,主要在于以下三点。

首先,现有的入侵检测系统依赖于一个攻击特征库来识别已知攻击。从这个角度来看,它并不比一般的病毒检测方法高明多少。基于攻击特征库的设计有着两个明显的缺点。其一,很难发现新的攻击手段;其二,攻击者同样可以利用Internet上公布的攻击特征库,在一分钟之内,使一个入侵检测系统产生上千条报警。

第二,在网络安全体系结构的设计上,入侵检测系统通常被部署于防火墙之内。这并不是担心入侵检测系统会受到直接攻击,真正原因是,现有的网络攻击已经非常频繁,一个放置于防火墙之外的入侵检测系统会让安全管理者没有片刻的安宁。但这却是一个设计失误——被防火墙系统阻拦住的外部攻击包对于入侵检测系统进行有效网络攻击智能分析具有非常重要的价值。实际上,缺乏有效的信息源是现有的入侵检测系统表现“低能”的根本原因。

第三,网络中上演的攻击和反攻击与人类战争有相似之处,都是攻与防的较量,如果防守者不采取积极防御措施,永远只能处于被动挨打局面。具体到入侵检测系统,积极防御并不是在发现攻击者时发送警告,甚至回敬几个攻击包“打死”对方,而是一种“欺骗战术”,其基本思想是,建立一个完整的信息保护体系,使各种虚假信息和真实信息混于一体,从而达到信息保护的目的。就网络入侵检测而言,当一个攻击者在全面摸清了目标网络的详细情况之后,人们要想防止其进攻几乎是不可能的。一个攻击高手往往会用很长时间去探查一个网络,在进行一番详细侦察之后,攻击者只须静待一个新的系统漏洞的出现。例如,如果攻击者获悉了Windows 2000服务器存在的一个堆栈溢出漏洞,他就可能在一分钟之内,占领目标主机,并在另外一分钟之内,控制整个目标网络。

从积极防御的角度看,保护一个网络必须从两方面入手。一是在入侵者早期网络侦察时及时发现对方,二是通过回应欺骗信息给窥探者,并在随后发生的实际攻击时准确判定入侵者的身份。以上两点是相辅相成的。需要指出的是,这种基于欺骗战术的积极防御,不同于传统的陷阱系统设计,大多数安全专家认为,一个配置有误的陷阱系统无疑是一扇敞开的大门,而且一个被攻占的陷阱系统会给用户带来法律上的麻烦,他们不赞成使用。

积极防御是有益的尝试

ActiveDefense(积极防御)技术是由广州前卫信息安全技术有限公司自主研发的技术,它应用在其eDefence 2000入侵检测系统之中,可以使一个实际网络变得真假难辨。部署于防火墙之外的eDefence 2000系统能够实时检测网络攻击,同时还能够在入侵者前来窥探时施放各种“烟幕弹”。

该系统另一个与众不同的设计是,它将检测系统分为前后两台机器,后台系统不再是一个简单的管理终端,而是一个有着丰富知识库的专家系统。利用专家系统提供的面向分析推理的规则语言,只须编写几条规则,而后存入知识库,就可以一眼看出入侵者的真面目。一前一后的双机设计从根本上改善了整个入侵检测系统的抗攻击能力。

在网络世界中上演的的攻防战争将永远是一场没有尽头、“魔高一尺,道高一丈”的斗争。(责任编辑:zhaohb)



文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【论坛讨论

   相关文章:
·安全体系的核心——HIDS ·潘柱廷:IDS和IPS争议有误区
·冠群金辰中国储备粮管理总公司网络安全解 ·新型蜜罐提高入侵检测准确性
·曙光GodEye-HIDS主机入侵检测系统 ·破解IPS迷雾(1)

   文章评论:(0条)
  
 请留名: 匿名评论   点击查看所有评论 网管论坛
 

  责任编辑:it167  声明:刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。